2min

Eurocommissaris Neelie Kroes (Digitale Agenda) pleit voor meer en strengere regelgeving voor bedrijven die beveiligingscertificaten uitgeven.

Volgens Kroes is het vertrouwen van burgers, overheidsinstanties en het bedrijfsleven aangetast door de DigiNotar kwestie. Daarom is het noodzakelijk dat de richtlijn voor e-handtekeningen wordt aangepast, de huidige richtlijn is in 1999 opgesteld door de Europese Commissie. Kroes zal volgend jaar hiermee aan de slag gaan.

Richtlijnen zijn richtsnoeren waaraan Europese lidstaten gehoor moeten geven. Ze hebben geen wettelijk of juridisch dwingend karakter, zoals bij wetten wel het geval is. Ze leggen evenmin vast hoe dit dient te gebeuren. Aan deze grondslag wil Kroes geen verandering aanbrengen om zo lidstaten de ruimte te geven om op hun eigen manier toezicht uit te oefenen bij het verstrekken van certificaten. De huidige richtlijn stelt dat lidstaten voor een "passend systeem voor toezicht op de op hun grondgebied gevestigde certificatiedienstverleners" moeten zorgen.

Kroes zegt dat het Europese Normalisatie-Instituut voor Telecommunicatie (ETSI) bezig is met het opstellen van nieuwe normen. Er moeten minimumeisen geformuleerd worden om het toezicht in alle Europese lidstaten te verbeteren. Daarnaast wil ze een meldplicht voor deze branche als er sprake is van een inbreuk in de Certificate Authority (CA). Overigens ziet Kroes geen aanleiding om de Public Key Infrastructure (PKI) te veranderen. Volgens de Eurocommissaris is er geen overeenstemming over betere of alternatieve beveiligingstechnologieën.

Europarlementariër Judith Sargenti (GroenLinks) reageert verheugd op de brief van Kroes, maar ze had graag gezien dat de Eurocommissaris een stap verder was gegaan. "Het vertrouwen in online certificering is gekelderd door het schimmige gepruts van Diginotar. Beter toezicht en een uitgebreide meldplicht zijn noodzakelijk. Het stelt me tegelijk teleur dat de Commissaris geen onderzoeken wil starten naar alternatieven voor het huidige systeem. Europa is bij uitstek geschikt om die ontwikkeling tot stand te brengen, maar die kans laat Kroes schieten", aldus Sargenti.

Met deze regels wil Kroes een tweede DigiNotar-kwestie voorkomen. De CA van dit beveiligingsbedrijf bleek te zijn gekraakt door een Iraanse hacker. Zodoende kon hij ongemerkt beveiligingscertificaten aanmaken en uitgeven. Diverse onderzoeken volgden en allemaal kwamen ze met dezelfde conclusies: DigiNotar heeft veel steken laten vallen. Half september sprak de Haarlemse rechter, op verzoek van moederbedrijf Vasco, faillissement uit voor DigiNotar.