Dienst Certificering (CCB-Certification)
Het CCB-Certification team biedt begeleiding en ondersteuning aan Belgische bedrijven bij het EU cybersecurity certificeringsproces.
Het Centrum voor Cybersecurity België (CCB) wil tegen 2025 van België één van de minst kwetsbare landen in Europa zijn op vlak van cybersecurity. Certificering van ICT-producten, diensten en processen die voldoen aan bepaalde cyberveiligheidseisen is een belangrijke hefboom om de cyberveiligheid te verhogen. Door middel van certificering kan het vertrouwen in de digitale ééngemaakte markt verbeteren en verzekeren.
Het CCB is aangeduid als de Nationale Autoriteit voor Certificering van Cyberbeveiliging (National Cybersecurity Certification Authority, NCCA) door de Ministerraad.
De Cybersecurity Act
De zogenaamde Cybersecurity Act ((EU) 2019/881)) is een verordening waarmee de Europese Unie grensoverschrijdende cyberaanvallen beter het hoofd wil bieden. Deze verordening geeft onder meer Europese lidstaten een kader voor de vrijwillige certificering van ICT producten, processen en diensten op vlak van cyberveiligheid. Een EU-cyberbeveiligingscertificaat bevestigt dat een ICT-product, -proces of -dienst gecertificeerd is in overeenstemming met een Europese cyberbeveiligingscertificeringsregeling of schema en dat het voldoet aan de gespecificeerde cyberbeveiligingseisen en -regels.
In België zal certificering mogelijk zijn na een audit, test en/of certificering door een geaccrediteerde Conformity Assessment Body (CAB). Alle certificaten worden door het EU-agentschap voor cyberveiligheid (ENISA) gepubliceerd en zijn geldig binnen de Europese Unie.
Cybersecurityniveau
Afhankelijk van het risico dat samenhangt met het gebruik van de te certificeren ICT-oplossing, is een ander cybersecurityniveau van toepassing. Elk EU-schema geeft aan of certificering mogelijk is voor een betrouwbaarheidsniveau ‘basis’, ‘substantieel’ of ‘hoog’.
Onderstaande certificeringschema’s worden voorbereid voor de markt:
|
Common Criteria (EUCC): certificering van ICT-producten (zekerheidsniveau ‘substantieel’ of ‘hoog’) |
|
Cloud Services (EUCS): certificering van Clouddiensten (zekerheidsniveau ‘basis’, ‘substantieel’ of ‘hoog’) |
|
5G Networks (EU5G): certificering van 5G Netwerken (zekerheidsniveau ‘basis’, ‘substantieel’ of ‘hoog’) |
Implementatie van het certificeringproces
Bovenstaande figuur toont hoe een certificeringproces verloopt op nationaal niveau.
Een certificaat behalen kan via een conformiteitsbeoordelingsinstantie (CAB) of, indien de mogelijkheid is voorzien, via een conformiteitszelfbeoordeling.
- Een schema kan conformiteitszelfbeoordeling (1) voorzien. Dit betekent dat een fabrikant of aanbieder zelf evalueert of zijn ICT-product, -dienst of -proces voldoet aan de in een specifiek schema opgenomen beveiligingsvoorschriften. Wanneer deze conform is met de voorschriften in het schema, kan de fabrikant of aanbieder een certificaat behalen. Niet elk schema zal voorzien in deze mogelijkheid. Wanneer dit wel het geval is, zal dit enkel gelden voor het zekerheidsniveau ‘basis’. Enkel het EUCS voorziet zelfbeoordeling voor het zekerheidsniveau ‘basis’.
- BELAC, de nationale accreditatie instantie (2) (NAB), accrediteert een conformiteitsbeoordelingsinstantie (CAB) voor maximaal 5 jaar voor een bepaald schema.
Een geaccrediteerde CAB kan op zijn beurt een fabrikant of aanbieder certificeren voor hun ICT-producten, -diensten of -processen als die voldoet aan de beveiligingsvoorschriften van het schema waarvoor certificering wordt aangevraagd. Als de fabrikant of aanbieder niet voldoet aan de voorschriften, en het certificaat wordt al dan niet tijdelijk geweigerd door een CAB, kan men beroep aantekenen bij het CCB.
Door de Cybersecurity Act is het mogelijk dat een niet-Belgische CAB met een zetel in België zich kan laten accrediteren bij BELAC. Deze valt dan onder Belgische controle. België geeft momenteel de voorkeur aan volledige of gedeeltelijke delegatie aan de door BELAC geaccrediteerde CAB’s voor de Europese cyberbeveiligingscertificaten voor zekerheidsniveau “Hoog”.