FAQ (CCB-Certification)
- Is certificering van ICT-producten, -diensten en -processen verplicht?
-
Wat zijn de verschillende zekerheidsniveaus van certificering en wat betekenen deze niveaus?
-
Zijn er al geaccrediteerde conformiteitsbeoordelingsinstanties actief in België?
-
Hoe worden de EU-certificeringsschema’s op het gebied van cyberbeveiliging ontwikkeld?
-
Wat als een nieuw EU schema hetzelfde ICT-gebied dekt als een bestaand nationaal schema?
-
Zullen de EU cyberbeveiligingcertificaten in alle Europese landen worden erkend?
-
Wanneer kan men hulp inroepen van het CCB-Certification team?
▷ Is certificering van ICT-producten, -diensten en -processen verplicht?
Certificering gebeurt op vrijwillige basis, tenzij in het recht van de Unie of de lidstaten anders is bepaald. Aanbieders die hun ICT-oplossing willen laten certificeren, kunnen een certificaat aanvragen via een Conformity Assessment Body (CAB), volgens de regels die in de certificeringsregelingen zijn vastgesteld.
De Commissie zal in de toekomst regelmatig de efficiëntie en het gebruik van de vastgestelde Europese schema’s beoordelen of er door middel van het relevante Unierecht een specifieke Europese schema verplicht wordt om te zorgen voor een passend niveau van cyberbeveiliging van ICT-producten, -diensten en -processen in de Unie en om de werking van de interne markt te verbeteren.
▷ Wat zijn de verschillende zekerheidsniveau ‘s van certificering en wat betekenen deze niveaus ?
Een zekerheidsniveau geeft een basis voor vertrouwen dat een ICT-product, -dienst of -proces aan de beveiligingsvoorschriften van een specifiek schema voldoet. Het geeft aan op welk niveau het ICT-product, de ICT-dienst of het ICT-proces is geëvalueerd. Het is geen maatstaf voor de beveiliging van het ICT-product, -dienst of -proces.
▷ Vanaf wanneer kan een producent een certificering van ICT-producten, -diensten en -processen aanvragen?
Deze timing is afhankelijk van Europese besluitvorming en kan wijzigen:
- EUCC (certificering van ICT-producten) vanaf eind 2024
- EUCS (cloud services) vanaf begin 2025
- EU5G (5G): nog te bepalen.
▷ Zijn er al geaccrediteerde conformiteitsbeoordelingsinstanties actief in België?
Voor de EU schema’s is nog geen accreditatie mogelijk vermits er nog geen finaal schema is gepubliceerd. De verwachte timing voor de start van het accreditatieproces van CAB’s is:
- EUCC (certificering van IT producten): vanaf midden 2024
- EUCS (cloud services): vanaf eind 2024
- EU5G (5G): nog te bepalen
Voor certificering van managementsystemen volgens ISO 27001 zijn er verschillende geaccrediteerde conformiteitsbeoordelingsinstanties (CAB’s) beschikbaar in België. BELAC publiceert de geaccrediteerde CAB’s op zijn website.
▷ Hoe worden de EU-certificeringsschema’s op het gebied van cyberbeveiliging ontwikkeld?
Het EU-agentschap voor cyberbeveiliging (ENISA) ontwikkelt ontwerp-certificeringschema’s op verzoek van de Europese Commissie of de EU-lidstaten. ENISA wordt bijgestaan door een groep deskundigen en werkt nauw samen met de Europese Commissie, de EU-landen en relevante belanghebbenden.
De dienst certificering van het CCB vertegenwoordigt België in het overlegorgaan ECCG dat de Europese Commissie adviseert over de schema’s.
▷ Hoe kunnen EU-certificeringschema’s op het gebied van cyberbeveiliging in de praktijk worden gebruikt?
Het afleveren van de certificaten:
Elke lidstaat kan ervoor kiezen EU-cyberbeveiligingscertificaten af te geven. Nationale cyberbeveiligingscertificeringsinstanties (NCCA's) houden toezicht op en controleren de naleving van de regeling van de door de Conformity Assessment Bodies (CAB’s) in hun lidstaat afgegeven certificaten.
Om gecertificeerd te worden:
Aanbieders die hun ICT-oplossing gecertificeerd willen zien, kunnen een certificaat aanvragen via een Geaccrediteerd Conformity Assessment Body (CAB), volgens de regels die in de certificeringschema’s zijn vastgesteld.
Het gebruik van de certificaten:
Gebruikers van ICT-oplossingen kunnen cyberbeveiligingscertificaten beschouwen als een bewijs dat een specifieke oplossing aan bepaalde beveiligingseisen voldoet.
▷ Wat als een nieuw EU schema hetzelfde ICT-gebied dekt als een bestaand nationaal schema?
Om de doelstellingen van deze Cybersecurity Act te verwezenlijken en de versnippering van de interne markt te voorkomen, dient de geldigheid van nationale certificeringschema’s te vervallen, vanaf een door de Commissie vastgestelde datum. Elk EU-certificeringschema over cyberbeveiliging voorziet een overgangsperiode waarna de nationale schema’s niet langer van kracht zijn.
Met andere woorden, certificaten die in het kader van deze schema’s zijn afgegeven, zijn niet langer geldig. Er is een overgang van bestaande schema’s naar EU-schema’s voorzien met de nodige richtlijnen voor Conformity Assessment Bodies (CAB's) die onder nationale regelingen werken.
Deze CAB's mogen hun activiteiten rond bestaande schema’s niet stopzetten.
▷ Zullen de EU cyberbeveiligingcertificaten in alle Europese landen worden erkend?
EU-cyberbeveiligingcertificaten die zijn afgegeven door erkende Conformity Assessment Bodies (CAB’s) zijn geldig in alle EU-landen.
▷ Wanneer kan men hulp inroepen van het CCB-Certification team?
Het CCB-Certification team is operationeel en biedt begeleiding en ondersteuning van Belgische bedrijven in het EU cybersecurity certificeringsproces.
Bij klachten over of bij misbruik van certificering van producten kan het CCB-Certification team ingeschakeld worden. Het CCB-Certification team heeft de bevoegdheid om te informeren en zo nodig op te treden om de regelgeving na te leven. Ze kan hiervoor de hulp inroepen van een ander NCCA als het certificaat uitgereikt werd in een ander Europees land.
▷ Wordt het CCB als NCCA ook gecontroleerd?
ENISA is verantwoordelijk voor de organisatie van een peer-evaluatie (evaluatie door Europese collega’s) van het NCCA’s. Ook het NCCA van het CCB zal hieraan deelnemen om zijn werking te verbeteren.