Cybersecurity Act
Op 27 juni 2019 is de Europese cyberbeveiligingsverordening, in de volksmond ook wel “Cybersecurity Act” genoemd, in werking getreden. Deze verordening is van toepassing in heel Europa en regelt de invoering van een systeem van Europese beveiligingscertificaten. De verordening maakt het mogelijk om ICT-producten, -diensten en -processen Europees breed te laten certificeren.
Vertrouwen
Het voornaamste doel van certificering is het creëren van een groter vertrouwen in de cyberbeveiligingskenmerken van deze ICT-producten, -diensten en processen. Het vergroten van vertrouwen is volgens de Europese wetgever om een aantal redenen belangrijk. Allereerst zijn digitalisering en connectiviteit cruciale kenmerken aan het worden van steeds meer producten en diensten. Door de opkomst van het Internet of Things (IoT) zullen in de Europese Unie steeds meer verbonden digitale apparaten gebruikt worden. Steeds meer toestellen worden met het internet verbonden, maar bij het onderwerp wordt onvoldoende rekening gehouden met de beveiliging. Daarnaast verhogen de toenemende digitalisering en connectiviteit cyberbeveiligingsrisico’s, waardoor de maatschappij als geheel kwetsbaarder wordt voor cyberdreigingen. Om de risico’s te beperken moeten netwerk- en informatiesystemen, communicatiesystemen, digitale producten, diensten en toestellen beter beschermd worden.
De vrees van de Europese wetgever is niet onterecht. Regelmatig kunnen wij immers in het nieuws vernemen dat Nederlandse bedrijven het slachtoffer worden van cyberaanvallen.
Overigens is certificering van ICT-producten e.d. op nationaal vlak al langer mogelijk. De regels daaromtrent verschillen echter per lidstaat. Om aan dat versnipperde landschap een einde te maken, voorziet de Cybersecurity Act in één Europees kader.
ENISA
Verantwoordelijk voor de ontwikkeling en uitvoering van Europese beveiligingscertificaten is ENISA. Dit is een acroniem voor het European Network and Information Security Agency, dat in 2004 is opgericht en in Athene zetelt. Bij de oprichting zou ENISA slechts tijdelijk actief zijn, maar inmiddels heeft zij een vaste positie verworven.
Naast een Europees kader voor beveiligingscertificaten introduceert de Cybersecurity Act nieuwe taken voor ENISA op het gebied van cyberbeveiliging. ENISA heeft vooral een ondersteunende rol. Zij stelt richtsnoeren op en ontwikkelt goede praktijken wat betreft de cyberbeveiligingsvoorschriften.
Waarom certificeren?
Het gebruik van Europese beveiligingscertificaten gebeurt vooralsnog op vrijwillige basis. Waarom zou een IT-ondernemer zijn producten of diensten laten certificeren? Een goede reden zou kunnen zijn dat IT-bedrijven aan hun klanten willen laten zien dat hun producten voldoen aan Europese regelgeving op het gebied van cybersecurity. Daarmee kan certificering een belangrijk marketingdoel dienen.
Daarnaast is certificering aanbevelenswaardig voor “aanbieders van essentiële diensten” en “digitale dienstverleners” als bedoeld in de Netwerk- en Informatieveiligheid richtlijn (NIB-richtlijn). Deze Europese richtlijn is in Nederland geïmplementeerd in de Wet beveiliging netwerk- en informatiesystemen (Wbni; ook wel Cybersecuritywet genoemd). Aanbieders van essentiële diensten zijn publieke of private entiteiten die van vitaal belang zijn voor de Nederlandse samenleving, zoals aanbieders van gas, drinkwater, transport en financiën. Een digitale dienstverlener is een rechtspersoon die een online marktplaats, clouddienst of zoekmachine levert, in Nederland gevestigd is, meer dan 50 medewerkers heeft en een balanstotaal of jaaromzet van meer dan € 10 miljoen heeft.
Aanbieders van essentiële diensten en digitale dienstverleners zijn op grond van de Wbni, kort gezegd, verplicht om passende en evenredige technische en organisatorische maatregelen te nemen om de risico’s voor de beveiliging van hun netwerk- en informatiesystemen te beheersen. Met een Europees beveiligingscertificaat zouden zulke dienstverleners kunnen aantonen aan deze eis te voldoen.
Hetzelfde geldt voor aanbieders van openbare elektronische communicatiediensten (zoals internetproviders) en openbare elektronische communicatienetwerken (zoals beheerders of exploitanten van communicatienetwerken). Zij moeten op grond van artikel 11a.1 Telecommunicatiewet passende technische en organisatorische maatregelen nemen ter bescherming van persoonsgegevens. In het Besluit continuïteit openbare elektronische communicatienetwerken en -diensten is een aantal continuïteitsmaatregelen opgenomen die zulke aanbieders minimaal moeten opvolgen. Ook voor dit soort aanbieders zou een Europees beveiligingscertificaat uitkomst kunnen bieden.
Europees beveiligingscertificaat ≠ AVG-certificaat
Ook de AVG vereist dat degene die persoonsgegevens (rechtmatig) verwerkt “passende technische en organisatorische maatregelen” treft ter beveiliging van die persoonsgegevens (art. 32 AVG). Dat is dus een vergelijkbare verplichting als die voortvloeit uit de Wbni en de Telecommunicatiewet. Toch wordt in de juridische literatuur aangevoerd dat Europese beveiligingscertificaten niet gebruikt kunnen worden om compliance met de AVG aan te tonen. En ook is een Europees beveiligingscertificaat iets anders dan een AVG-certificaat (vgl. art. 42 AVG). Een belangrijk argument daarvoor is dat een AVG-certificaat meer omvat dan alleen beveiligingsaspecten. Het gaat bij AVG-certificering om de verwerking van persoonsgegevens in algemene zin.
Cyberbeveiligingscertificeringsautoriteit
Enkele bepalingen uit de Cybersecurity Act zijn pas van toepassing met ingang van 28 juni 2021. Een van die bepalingen stelt dat iedere lidstaat een nationale cyberbeveiligingscertificeringsautoriteit – een mooi galgjewoord – moet aanwijzen die met toezichthoudende taken wordt belast. In Nederland is het Agentschap Telecom daartoe aangewezen, dat valt onder de verantwoordelijkheid van het ministerie van Economische Zaken en Klimaat.
Zoals gezegd is het gebruik van Europese beveiligingscertificaten vooralsnog op vrijwillige basis. De Europese Commissie zal echter voor 2023 aangeven of bepaalde certificeringsschema’s alsnog in de EU verplicht worden via aanvullende wetgeving (o.a. Nederland pleit daarvoor).
Vragen?
De eerste Europese cybersecurity certificeringsschema’s worden momenteel al ontwikkeld, o.a. voor 5G-netwerkapparatuur. Voor veel, zo niet de meeste ICT-producten, -diensten en -processen bestaan nu dus nog geen certificaten. De verwachting is dat dit in de nabije toekomst gaat veranderen.
Het is goed om als bedrijf te anticiperen op komende regelgeving. Juist de Cyberbeveiligingsverordening kan men benutten als unique selling point voor IT-diensten IT-producten. Zoekt u een juridische partner om hierover met u te sparren? Dan bent u bij de specialisten van NORD aan het juiste adres.