Europese regeling voor cyberbeveiligingscertificering op basis van gemeenschappelijke criteria (EUCC)

 

SAMENVATTING VAN:

Uitvoeringsverordening (EU) 2024/482 — uitvoeringsbepalingen van Verordening (EU) 2019/881 voor de vaststelling van de Europese regeling voor cyberbeveiligingscertificering op basis van gemeenschappelijke criteria

WAT IS HET DOEL VAN DE VERORDENING?

Deze uitvoeringsverordening bevat uitvoeringsbepalingen voor Verordening (EU) 2019/881 (zie de samenvatting) voor de Europese regeling voor cyberbeveiligingscertificering op basis van gemeenschappelijke criteria (EUCC).

De EUCC is een kader voor de beoordeling en certificering van de cyberbeveiliging van producten en beschermingsprofielen op het gebied van informatie- en communicatietechnologie (ICT). De regeling heeft als doel ervoor te zorgen dat ICT-producten voldoen aan strenge veiligheidsnormen door middel van een gestructureerd proces, gericht op het verbeteren van de cyberbeveiliging, het bereiken van consistentie in de hele Europese Unie (EU) en het verstrekken van betrouwbare certificering. De EUCC bouwt voort op de overeenkomst inzake wederzijdse erkenning (“MRA”) van IT-beveiligingscertificaten van de Groep van Hoge Ambtenaren voor de beveiliging van informatiesystemen (“SOG-IS”).

KERNPUNTEN

EVALUATIENORMEN EN -METHODEN

• De regeling maakt gebruik van de gemeenschappelijke criteria (ISO/IEC 15408) en de gemeenschappelijke evaluatiemethode (ISO/IEC 18045) voor evaluaties.
• Certificeringsinstanties geven EUCC-certificaten af op twee zekerheidsniveaus: “substantieel” (AVA_VAN-niveau* 1 of 2) en “hoog” (AVA_VAN-niveau 3, 4 of 5). Het zekerheidsniveau bepaalt de diepte en nauwkeurigheid van de evaluatie.
• ICT-producten worden gecertificeerd op basis van de beveiligingsdoelstellingen, die eventueel voorzien kunnen zijn van een gecertificeerd beschermingsprofiel indien van toepassing.
• Zelfbeoordeling voor conformiteit is niet toegestaan onder de EUCC-regeling.

CERTIFICERING VAN ICT-PRODUCTEN

• Evaluaties moeten voldoen aan de gemeenschappelijke criteria, de gemeenschappelijke evaluatiemethoden en de toepasselijke documenten over de huidige stand van de techniek.
• Certificering op hogere zekerheidsniveaus (AVA_VAN-niveau 4 of 5) moet als regel worden uitgevoerd op basis van technische domeinen of beschermingsprofielen die zijn aangenomen als documenten over de huidige stand van de techniek en die zijn opgenomen in Bijlage I.
• Aanvragers moeten uitvoerige documentatie overleggen, met inbegrip van eerdere beoordelingsresultaten, indien van toepassing, ter ondersteuning van het certificeringsproces.
• Certificeringsinstanties verstrekken de certificaten wanneer aan alle voorwaarden wordt voldaan, en deze certificaten bevatten de specifieke informatie die is opgenomen in Bijlage VII.
• Nationale cyberbeveiligingscertificeringsregelingen moeten worden afgestemd op de EUCC en hebben vanaf 12 maanden na de inwerkingtreding van deze verordening geen effect meer. Een nationaal certificeringsproces dat wordt gestart in deze periode, dient binnen 24 maanden na de inwerkingtreding te worden voltooid.
• Certificaten:
  • zijn maximaal vijf jaar geldig, maar kunnen na goedkeuring worden verlengd;
  • worden periodiek herzien om te garanderen dat aan de veiligheidseisen wordt voldaan;
  • worden ingetrokken indien het gecertificeerde product niet meer aan de vereiste normen voldoet of als er sprake is van significante non-conformiteiten.

CERTIFICERING VAN BESCHERMINGSPROFIELEN

Beschermingsprofielen bevatten beveiligingsvereisten voor specifieke ICT-productcategorieën. Deze profielen worden:

• op dezelfde wijze geëvalueerd als ICT-producten, om ervoor te zorgen dat ze voldoen aan de voor specifieke ICT-categorieën vereiste beveiligingsvereisten;
• gecertificeerd door nationale cyberbeveiligingscertificeringsautoriteiten of geaccrediteerde overheidsinstanties, of door een certificeringsinstantie, na voorafgaande goedkeuring.

MARKERING EN ETIKETTERING

• Op gecertificeerde producten mag een merkteken en etiket worden aangebracht waarop de certificeringsstatus wordt vermeld.
• Deze moeten duidelijk zichtbaar zijn en gegevens bevatten zoals het zekerheidsniveau, het unieke identificatienummer en een QR-code die gekoppeld is aan certificeringsinformatie.

CONFORMITEITSBEOORDELINGSINSTANTIE

• Certificeringsinstanties en faciliteiten voor de evaluatie van de beveiliging van informatietechnologie (ITSEF) dienen geaccrediteerd te worden in overeenstemming met Verordening (EG) nr. 765/2008 (zie de samenvatting), en voor hoge zekerheidsniveaus dienen zij geautoriseerd te worden door de nationale cyberbeveiligingscertificeringsautoriteit.
• Nationale cyberbeveiligingscertificeringsautoriteiten houden toezicht op de naleving van certificeringsinstanties, ITSEF’s en certificaathouders. Ze behandelen ook klachten en voeren onderzoek uit naar non-conformiteit.
• Niet-conforme producten dienen aan corrigerende maatregelen te worden onderworpen, en certificaten kunnen worden opgeschort of ingetrokken indien de kwesties niet worden opgelost.
• Certificeringsinstanties die certificaten met zekerheidsniveau “hoog” afgeven, moeten regelmatig collegiale toetsingen ondergaan om de consistentie en hoge normen in de certificeringspraktijken te waarborgen.
• De Europese Groep voor cyberbeveiligingscertificering speelt een essentiële rol bij het in stand houden van het systeem, het goedkeuren van documenten over de huidige stand van de techniek en het waarborgen van voortdurende relevantie en effectiviteit.

BEHEER EN OPENBAARMAKING VAN KWETSBAARHEDEN

• Certificaathouders moeten procedures voor het beheer en de openbaarmaking van kwetsbaarheden, voor het uitvoeren van kwetsbaarheidseffectbeoordelingen en voor het melden van aanzienlijke kwetsbaarheden aan certificeringsinstanties en -autoriteiten vaststellen.
• Ingetrokken certificaten moeten worden vermeld in relevante databanken, om de transparantie met betrekking tot bekende kwetsbaarheden te waarborgen.

BEWAREN EN BESCHERMEN VAN INFORMATIE

• Certificeringsinstanties en ITSEF’s moeten een register bijhouden van beoordelingen en certificeringen gedurende ten minste vijf jaar na intrekking van certificaten.
• Alle partijen die betrokken zijn bij het certificeringsproces, moeten bedrijfsgeheimen en vertrouwelijke informatie beschermen.

OVEREENKOMSTEN INZAKE WEDERZIJDSE ERKENNING MET NIET-EU-LANDEN

• Niet-EU-landen kunnen EUCC-certificaten erkennen door middel van overeenkomsten inzake wederzijdse erkenning, mits deze voldoen aan criteria voor monitoring, toezicht en kwetsbaarheidsbeheer.

VANAF WANNEER IS DE VERORDENING VAN TOEPASSING?

De verordening is sinds 27 februari 2025 van toepassing.

ACHTERGROND

Zie voor meer informatie:

• EU-cyberbeveiligingscertificering (Agentschap van de Europese Unie voor cyberbeveiliging)
• Kader voor cyberbeveiligingscertificering (Agentschap van de Europese Unie voor cyberbeveiliging)

KERNBEGRIPPEN

BELANGRIJKSTE DOCUMENT

Uitvoeringsverordening (EU) 2024/482 van de Commissie van 31 januari 2024 houdende uitvoeringsbepalingen van Verordening (EU) 2019/881 van het Europees Parlement en de Raad wat betreft de vaststelling van de Europese op gemeenschappelijke criteria gebaseerde cyberbeveiligingscertificeringsregeling (EUCC) (PB L, 2024/482, 7.2.2024).

GERELATEERDE DOCUMENTEN

Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad van 14 december 2022 betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie, tot wijziging van Verordening (EU) nr. 910/2014 en Richtlijn (EU) 2018/1972 en tot intrekking van Richtlijn (EU) 2016/1148 (NIS 2-richtlijn) (PB L 333 van 27.12.2022, blz. 80-152).

Achtereenvolgende wijzigingen in Richtlijn (EU) 2022/2555 werden in de basistekst opgenomen. Deze geconsolideerde versie is enkel van documentaire waarde.

Verordening (EU) 2019/881 van het Europees Parlement en de Raad van 17 april 2019 inzake Enisa (het Agentschap van de Europese Unie voor cyberbeveiliging), en inzake de certificering van de cyberbeveiliging van informatie- en communicatietechnologie en tot intrekking van Verordening (EU) nr. 526/2013 (de cyberbeveiligingsverordening) (PB L 151 van 7.6.2019, blz. 15-69).

Verordening (EU) 2019/1020 van het Europees Parlement en de Raad van 20 juni 2019 betreffende markttoezicht en conformiteit van producten en tot wijziging van Richtlijn 2004/42/EG en de Verordeningen (EG) nr. 765/2008 en (EU) nr. 305/2011 (PB L 169 van 25.6.2019, blz. 1-44).

Zie de geconsolideerde versie.

Verordening (EG) nr. 765/2008 van het Europees Parlement en de Raad van 9 juli 2008 tot vaststelling van de eisen inzake accreditatie en markttoezicht betreffende het verhandelen van producten en tot intrekking van Verordening (EEG) nr. 339/93 (PB L 218 van 13.8.2008, blz. 30-47).

Zie de geconsolideerde versie.

Aanbeveling 95/144/EG van de Raad van 7 april 1995 inzake gemeenschappelijke veiligheidsbeoordelingscriteria voor informatietechnologie (PB L 93 van 26.4.1995, blz. 27-28).

Laatste bijwerking 01.07.2024