EU gaat cybersecurity certificeren

Er komt een Europees keurmerk voor veilige (cloud)diensten. Deze certificering is onderdeel van bredere Europese wetgeving: de ‘Cybersecurity Act’. Deze wetgeving werd op 27 juni 2019 van kracht. Hiermee wil de EU afdwingen dat aanbieders van essentiële diensten, waaronder banken, cybersecurity op een meer gedegen en gestructureerde wijze adresseren.

De Cybersecurity Act moet onder andere voorzien in mogelijkheden tot certificering van producten en diensten als ‘slimme’ financiële (cloud) diensten, medische apparatuur en ‘connected’ auto’s en is onderdeel van een reeks aan Europese verordeningen. Middels certificering kunnen partijen laten zien dat zij de beschikbaarheid, integriteit en vertrouwelijkheid van hun diensten borgen. Deze borging moet plaatsvinden door een juiste en volledige implementatie van beheersingsmaatregelen, om daarmee te voldoen aan de relevante beveiligingseisen. De Nederlandse invulling van de wetgeving is de ‘Network & Information Security directive’ (NIS) en de Wet beveiliging netwerk- en informatiesystemen (Wbni).

Cybersecurity Act: voor wie?

De Cybersecurity Act - en daarmee de Wbni - is primair van toepassing op (aangewezen) aanbieders van essentiële diensten zoals digitale dienstverleners, energie, bankwezen, vervoer, digitaal kritische infrastructuur, vitale aanbieders zoals waterkeringen en elektronische communicatienetwerken/-diensten).

Impact op financiële dienstverleners

Omdat het bankwezen is aangewezen als aanbieder van essentiële diensten, gaan deze organisaties te maken krijgen met de Wbni en de certificeringseisen vanuit de Cybersecurity Act. De Cybersecurity Act richt zich in eerste instantie op het inrichten van een certificeringsregeling voor digitale dienstverleners. Hierdoor krijgen ook alle (financiële) dienstverleners die kritische digitale diensten verlenen (al dan niet via een derde partij), te maken met de certificeringsregeling.

Met de certificering kunnen genoemde financiële dienstverleners aantoonbaar maken dat zij voldoen aan de eisen uit de Wbni:

  • Zorgplicht: treffen van passende beveiligingsmaatregelen;
  • Meldplicht: melden van incidenten met aanzienlijke gevolgen voor continuïteit;
  • Informatieplicht: aanvullende informatie aangaande incidenten;
  • Verantwoordingsplicht: ‘aantoonbaar’ voldoen aan de zorgplicht, meldplicht en informatieplicht.

Voor meer informatie over de Wbni en verplichtingen voor digitale dienstverleners zie hier.

Het aantoonbaar voldoen aan beveiligingseisen en inrichting van beveiligingsmaatregelen is belangrijk voor digitale dienstverleners, omdat veel organisaties (waaronder aanbieders van essentiële diensten in de financiële sector), maar ook individuen gebruikmaken van digitale- en/of clouddiensten;  incidenten kunnen daardoor een verstorende impact op de maatschappij hebben.

Certificering: hoe werkt het?

Maar hoe gaat zo’n certificering er dan uitzien en waar moeten organisaties aan voldoen? Er zijn al veel verschillende standaarden en richtlijnen voor informatie-, IT- en cybersecurity, hoe verhouden deze zich tot deze certificering? En wat als we al aan een standaard voldoen. Voldoen we dan automatisch ook aan deze certificering? Allemaal valide vragen die op dit moment nog niet zijn beantwoord.

De verwachting is dat digitale dienstleveranciers in eerste instantie op vrijwillige basis gecertificeerd kunnen worden. De hiervoor gehanteerde meetlat zal zoveel mogelijk aansluiten bij bestaande standaarden voor informatiebeveiliging, zoals de ISO27001 richtlijn en het NIST Cybersecurity Framework. De wijze waarop certificering wordt geregeld, zal afhangen van het gewenste zekerheidsniveau dat de toezichthouder en het maatschappelijk belang vraagt. Maar ook hier is het logisch om zoveel mogelijk gebruik te maken van bestaande onafhankelijke certificeringsregelingen en assurance-richtlijnen (o.m. ISAE3000).

Wij constateren dat de vraag naar zekerheid over informatie-, IT- en cybersecurity nog steeds toeneemt en verwachten dat de verplichte certificering met een laag verantwoordingsniveau zal beginnen, bijvoorbeeld op basis van zelfbeoordeling. Dit zal uiteindelijk naar een grotere verantwoordingseis toegroeien en vragen om de werking van maatregelen aan de toezichthouders en andere belanghebbenden (aantoonbaar) onafhankelijk te kunnen verantwoorden.

Meer weten?

Wilt u meer weten over de Cybersecurity Act? Onze specialisten staan u graag te woord. Neem gerust vrijblijvend contact met ons op.

NEEM CONTACT OP