Europese Commissie lanceert de Security Act, een volgende stap in the “Digital Single Market”

  • Security
Cybersecurity

“Digital Single Market” werd een aantal jaar geleden in het leven geroepen door de Europese Commissie en regelt het vrije verkeer online. Om de toegang tot de digitale wereld nog beter te reguleren, werd op 7 juni 2019 de Europese Cybersecurity Act (Verordening (EU) 2019/881) gepubliceerd, die op 27 juni in werking is getreden. Deze Verordening kent een dubbel doel. Enerzijds de positie versterken van de “European Union Network and Information Security Agency”, beter gekend als ENISA, anderzijds het introduceren van een kader voor Europese certificering op vlak van cybersecurity.

De versterkte positie van ENISA

ENISA krijgt als reeds bestaande organisatie specifieke taken toegewezen in het kader van de uitvoering van het Europees Cybersecuritybeleid waarbij advies en expertise centraal staan. Eén van deze taken is het zorgen voor verdere verduidelijking bij de NIS-richtlijn. De NIS-richtlijn en diens omzetting in het nationaal recht legt security verplichtingen op aan essentiële dienstaanbieders, zijnde bedrijven die diensten leveren in energie, vervoer, financiën, gezondheidszorg, drinkbaar water en digitale infrastructuur. Echter, naast de expliciete erkenning van het ISO27K framework worden de te nemen maatregelen eerder oppervlakkig omschreven. ENISA zal als erkende entiteit verduidelijking brengen omtrent de verplichtingen en zo bedrijven (indirect) ondersteunen in de weg naar NIS-compliance.

Drie niveaus cybercertificering

Een tweede element dat door de Cybersecurity Act wordt opgepikt is het opzetten van een geharmoniseerd Europees kader voor cybercertificering voor ICT-producten, -diensten en -processen. Dit heeft als doel om de huidige versnippering in certificeringsmechanismen tegen te gaan. Hiervoor geldt het “one-stop-shop”-principe wat ervoor zorgt dat een certificering gebaseerd op dit kader, geldt in alle Europese lidstaten.

Het kader voorziet in een sleutelrol voor ENISA, waarbij daarnaast voorzien wordt in nationale autoriteiten en conformiteitsbeoordelingsinstanties die instaan voor de uitrol van het kader. Het certificeringskader is gebaseerd op drie niveaus: “basis”, “substantieel” en “hoog”. Het niveau wordt bepaald aan de hand van de risico’s en de doorstane beveiligingstesten. In eerste instantie wordt deze certificering gezien als vrijwillig, tenzij bepaalde wetgeving nationaal of internationaal anders bepaald. In het kader van de NIS-richtlijn wordt verwacht dat deze certificering een belangrijke rol zal spelen.

Wat mogen we in de toekomst nog verwachten?

Het belang van de Cybersecurity Act schuilt in de basis die opgezet wordt. Enerzijds door de rol van ENISA te versterken, anderzijds door een kader voor certificering vast te leggen. Deze basis bepaalt de krijtlijnen voor de “Digital Single Market” op vlak van security, maar vereist verdere acties om praktisch toegepast te kunnen worden. Hiervoor is het uitkijken naar de Commissie die ten laatste op 28 juni 2020 een werkprogramma met prioriteiten zal publiceren en de acties die ENISA zal ondernemen. Wordt vervolgd… We houden u zeker op de hoogte van nieuwe updates.

Indien u hierover vragen heeft, kan u altijd contact opnemen via [email protected]

Tijd voor een gesprek?

ICONS

Contacteer ons

Wil u weten hoe uw security en netwerk ervoor staan? Met een diepgaande audit brengen we uw security uitdagingen en volledige netwerk in kaart.