Europese certificering voor IT-producten en -diensten op komst

Abonneer je gratis op Techzine!

Europa werkt aan een beveiligingscertificaat, waarbij bedrijven voldoen aan alle door de EU vereiste security maatregelen. Het doel is om het vertrouwen, de veiligheid en digitale weerbaarheid van Europese bedrijven en de economie te verstevigen.

De COVID-19-crisis laat zien dat we steeds meer afhankelijk zijn van IT, en ook gevoelig zijn voor cybercrime. Recentelijk bleek dat veel klanten van met name ING slachtoffer zijn geworden van ‘spoofing’, waarbij criminelen in staat zijn met valse sms’jes of telefoonnummers zich voor te doen als medewerkers van de desbetreffende bank. Recentelijk berichtte het NRC over een nieuwe vorm van cybercrime genaamd ‘sim-swap’ fraude, waarbij criminelen de controle overnemen van iemands mobiele nummer door een nieuwe simkaart aan te vragen met valse identificatie. Door de corona-crisis zullen cybercriminelen zich in ieder geval nog meer gaan richten op thuiswerkers, die veelal een gemakkelijke prooi zijn voor cyberaanvallen omdat hun ‘Internet of Things’ (IoT)-apparaten en routers vaak niet (goed) beveiligd zijn.

Uiteindelijk kan een cybersecurity-incident grote gevolgen hebben, zowel voor het bedrijf zelf als voor de consument. Gevoelige data kan op straat komen te liggen, consumenten kunnen het slachtoffer worden van oplichting en grote storingen kunnen er zelfs toe leiden dat de business continuity van een bedrijf in gevaar komst. De bedrijven die IT-producten en diensten aanbieden hebben ook een ‘zorgplicht’ op het gebied van cybersecurity, waaronder het treffen van passende beveiligingsmaatregelen.

De EU ziet ook het gevaar van cybersecurity-incidenten. Als veel Europese bedrijven slachtoffer worden van een cybersecurity-incident, schaadt dit het vertrouwen en de veiligheid en uiteindelijk ook de Europese economie. Om de ‘digitale weerbaarheid’ van Europa te vergroten en zijn toonaangevende positie in de digitale economie te behouden, zijn er diverse Europese regels van toepassing op grond waarvan bedrijven passende beveiligingsmaatregelen moeten treffen. In dat verband heeft de EU in 2019 ook de zogenaamde ‘Cybersecurity Act’ geïntroduceerd die onder meer een kader schept voor de komst van één (1) Europees cyberbeveiligingscertificaat (hierna: ‘beveiligingscertificaat’).

Het Europese beveiligingscertificaat

Zoals hiervoor al kort aangestipt, bestaat er een zorgplicht om passende beveiligingsmaatregelen te treffen. Het komt er kort gezegd op neer dat een passend beveiligingsniveau wordt geboden dat in verhouding staat tot het risico, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging. Die kunnen onder meer bestaan uit het gebruik van tweefactorauthenticatie, een systeem voor security patches, het zich aansluiten bij gedragscodes en/of het gebruik van certificeringsmechanismen. Volgens de toelichting op de Cybersecurity Act blijkt dat er beperkt gebruik is van certificering waardoor gebruikers te weinig informatie hebben over de cyberbeveiligingskenmerken van IT-producten en diensten. Bovendien is de ‘cyberbeveiligingsbranche’ in Europa erg versnipperd, waardoor vooral nationale certificaten in omloop zijn die niet worden erkend in andere EU-lidstaten.

Met behulp van de Cybersecurity Act kan een Europees beveiligingscertificaat worden ontwikkeld en tot stand gebracht. IT-bedrijven kunnen hiermee aantonen dat hun producten en diensten in de gehele EU voldoen aan de beveiligingseisen. Meer specifiek dat de beschikbaarheid, integriteit en vertrouwelijkheid van hun producten en diensten worden geborgd. Dat heeft enkele voordelen, waaronder dat Europese IT-aanbieders gemakkelijk(er) kunnen aantonen compliant te zijn met de diverse (strenge) beveiligingseisen, en daardoor ook (operationele en juridische) kosten worden bespaard. Bovendien wordt het voor die ondernemingen gemakkelijker om met elkaar te concurreren op zowel nationaal als Europees niveau, en zal er in de praktijk minder snel sprake zijn van (deels) tegenstrijdige en/of elkaar overlappende nationale beveiligingscertificaten. ‘Last but not least’ zal de consument via die Europese certificaten hopelijk meer vertrouwen krijgen in de veiligheid van de diverse (online) producten en diensten. Dat is met de vele thuiswerkers van vandaag een belangrijk pluspunt.

Het is aan het Europese agentschap ENISA om beveiligingscertificering verder te ontwikkelen en in dat verband onder meer kennis te delen en regelingen voor certificering voor te bereiden en te evalueren. ENISA heeft samen met een werkgroep (bestaande uit stakeholders en experts) de eerste Europese certificeringsregeling voor IT-producten opgesteld, genaamd de “EUCC” (European candidate cybersecurity certification). De EUCC is gebaseerd op de Common Criteria (ISO/IEC 15408 en ISO/IEC 18045) en de opvolger van de SOG-IS. Er is afgelopen zomer een consultatieronde geweest zodat stakeholders hun mening konden geven op deze eerste versie van de EUCC. Een tweede Europese certificeringsregeling is ook in de maak en heeft betrekking op de certificering van cloud diensten (de “CSP certification scheme”).

Conclusie

Bedrijven hebben een zorgplicht om hun IT- producten of diensten passend te beveiligen. Vanwege COVID-19 is er een stijging in het aantal cybersecurity-incidenten, waardoor goede beveiliging van IT-producten en -diensten alleen maar belangrijker is geworden. Dankzij de Europese Cybersecurity Act wordt certificering hopelijk nog aantrekkelijker. Met een Europees cyberbeveiligingscertificaat kan een IT-bedrijf laten zien dat zijn producten c.q. diensten in de gehele EU voldoen aan de meest recente en (strenge) vereisten op het gebied van cybersecurity beveiliging. Dit is niet alleen goed voor (het imago van) het bedrijf zelf, maar vergroot ook het vertrouwen van de consument dat hij ‘online veilig is’. Nederlandse softwarebedrijven en cloud service providers doen er dan ook goed aan de ontwikkelingen van de hiervoor genoemde Europese certificeringsregelingen op de voet te volgen.

Dit is een ingezonden bijdrage van Jasper Hulsebosch, advocaat IE/IT bij De Vos & Partners Advocaten. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.