Certificering van ICT-producten, -diensten, -processen en -organisaties die aan bepaalde cyberveiligheidseisen voldoen, is een belangrijk aspect om de cybersecurity te verhogen. Certificering kan het vertrouwen in de digitale interne markt verbeteren en waarborgen. 

De NCCA houdt toezicht op en controleert de naleving van het schema van certificaten die zijn afgegeven door Conformiteitsbeoordelingsinstanties (CABs). Het kan ook worden ingeschakeld bij klachten over of misbruik van de certificering van producten. De NCCA heeft de bevoegdheid om te informeren en, indien nodig, op te treden om naleving van de regelgeving te garanderen.


De NCCA heeft ook het mandaat om richtlijnen en richtsnoeren voor certificering op nationaal niveau uit te geven.

Wie kan gebruik maken van de National Cybersecurity Certificatie Autoriteit (NCCA)?

Belgische bedrijven die begeleiding nodig hebben bij het certificeringsproces voor cybersecurity kunnen contact opnemen met de NCCA.

Nationale en internationale partnerschappen

Het Centrum voor Cybersecurity België vertegenwoordigt België in de ontwikkeling van Europese richtlijnen inzake cybersecurity certificering. Momenteel zijn de volgende richtlijnen en activiteiten in ontwikkeling:

  • EU gemeenschappelijke criteria voor ICT-producten, -processen en -diensten
  • EU Cloud Schema
  • EU 5G
  • Cryptografische evaluatie (voor alle richtsnoeren)
Meer info over de afgifte van certificaten
Adres:
Wetstraat 18
1000 Brussel (België)
Telefoon:

+32 (0)2 501 05 60 (noodnummer, enkel voor dringende hulp bij incidenten) 

Email

Cyberfundamentals

Het CyFun- of Cyberfundamentals-raamwerk en de Cyberfundamentals-toolbox zijn beschikbaar: 

  • Cyberfundamentals ➝ SMALL (alleen richtlijnen)
  • Cyberfundamentals ➝ niveau BASIS
  • Cyberfundamentals ➝ niveau BELANGRIJK
  • Cyberfundamentals ➝ niveau ESSENTIEEL 

Zie FAQs

Wettelijke basis:

Het Centrum voor Cybersecurity België is door de ministerraad aangewezen als de National Cybersecurity Certification Authority (NCCA).

De Cybersecurity Act

De verordening voorziet in een kader voor de vrijwillige certificering van ICT-producten, -processen en -diensten op het gebied van cyberbeveiliging. Een EU-certificaat voor cyberbeveiliging bevestigt dat een IT-product, -proces of -dienst gecertificeerd is in overeenstemming met de Europese verordening of regeling voor cyberbeveiligingscertificering en dat het voldoet aan specifieke regels en vereisten voor cyberbeveiliging.

In België kan deze certificering worden verkregen na een audit, test of certificeringsproces door een geaccrediteerde conformiteitsbeoordelingsinstantie (CAB). Alle certificaten worden gepubliceerd door het EU-agentschap voor Cybersecurity (ENISA) en zijn geldig binnen de Europese Unie.

Image
handshake EU flag

Certificatie inzake cybersecurity en aanwijzing van een nationale autoriteit voor certificatie inzake cybersecurity

De Belgische nationale wet bepaalt de regels inzake de certificering van cybersecurity. De wet bepaalt ook de werking van de nationale certificeringsautoriteit voor cybersecurity inzake delegaties, markttoezicht en sancties, en staat delegatie van de autoriteit aan een aantal sectorale autoriteiten toe in een beperkt aantal specifieke gevallen.

Image
tablet with virtual world map

Aanwijzing van een nationale autoriteit voor cybersecurity

Het Koninklijk Besluit wijst het Centrum voor Cybersecurity België aan als nationale certificeringsautoriteit en breidt de opdrachten uit door het Koninklijk Besluit van 10 oktober 2014 betreffende de oprichting van het Centrum te wijzigen.

Image
laptop with virtual screen "updating"

FAQ

Veelgestelde vragen

  • Is certificering van ICT-producten, -diensten en -processen verplicht?

    Certificering gebeurt op vrijwillige basis, tenzij in het recht van de Unie of de lidstaten anders is bepaald. Aanbieders die hun ICT-oplossing willen laten certificeren, kunnen een certificaat aanvragen via een Conformity Assessment Body (CAB), volgens de regels die in de certificeringsregelingen zijn vastgesteld.

    De Commissie zal in de toekomst regelmatig de efficiëntie en het gebruik van de vastgestelde Europese schema’s beoordelen of er door middel van het relevante Unierecht een specifieke Europese schema verplicht wordt om te zorgen voor een passend niveau van cyberbeveiliging van ICT-producten, -diensten en -processen in de Unie en om de werking van de interne markt te verbeteren.

  • Wat zijn de verschillende zekerheidsniveau ‘s van certificering en wat betekenen deze niveaus?
    Image removed.

    Een zekerheidsniveau geeft een basis voor vertrouwen dat een ICT-product, -dienst of -proces aan de beveiligingsvoorschriften van een specifiek schema voldoet.  Het geeft aan op welk niveau het ICT-product, de ICT-dienst of het ICT-proces is geëvalueerd. Het is geen maatstaf voor de beveiliging van het ICT-product, -dienst of -proces.

  • Vanaf wanneer kan een producent een certificering van ICT-producten, -diensten en -processen aanvragen?

    Deze timing is afhankelijk van Europese besluitvorming en kan wijzigen:

    • EUCC (certificering van ICT-producten) vanaf eind 2024
    • EUCS (cloud services) vanaf begin 2025
    • EU5G (5G): nog te bepalen.
  • Zijn er al geaccrediteerde conformiteitsbeoordelingsinstanties actief in België?

    Voor de EU schema’s is nog geen accreditatie mogelijk vermits er nog geen finaal schema is gepubliceerd. De verwachte timing voor de start van het accreditatieproces van CAB’s is:

    • EUCC (certificering van IT producten): vanaf  midden 2024
    • EUCS (cloud services): vanaf eind 2024
    • EU5G (5G):  nog te bepalen

    Voor certificering van managementsystemen volgens ISO 27001 zijn er verschillende geaccrediteerde conformiteitsbeoordelingsinstanties (CAB’s) beschikbaar in België. BELAC publiceert de geaccrediteerde CAB’s op zijn website.  

  • Hoe worden de EU-certificeringsschema’s op het gebied van cyberbeveiliging ontwikkeld?

    Het EU-agentschap voor cyberbeveiliging (ENISA) ontwikkelt ontwerp-certificeringschema’s op verzoek van de Europese Commissie of de EU-lidstaten.  ENISA wordt bijgestaan door een groep deskundigen en werkt nauw samen met de Europese Commissie, de EU-landen en relevante belanghebbenden.

    De dienst certificering van het CCB vertegenwoordigt België in het overlegorgaan ECCG dat de Europese Commissie adviseert over de schema’s.

  • Hoe kunnen EU-certificeringschema’s op het gebied van cyberbeveiliging in de praktijk worden gebruikt?

    Het afleveren van de certificaten:

    Elke lidstaat kan ervoor kiezen EU-cyberbeveiligingscertificaten af te geven. Nationale cyberbeveiligingscertificeringsinstanties (NCCA's) houden toezicht op en controleren de naleving van de regeling van de door de Conformity Assessment Bodies (CAB’s) in hun lidstaat afgegeven certificaten.

    Om gecertificeerd te worden:

    Aanbieders die hun ICT-oplossing gecertificeerd willen zien, kunnen een certificaat aanvragen via een Geaccrediteerd Conformity Assessment Body (CAB), volgens de regels die in de certificeringschema’s zijn vastgesteld.

    Het gebruik van de certificaten:

    Gebruikers van ICT-oplossingen kunnen cyberbeveiligingscertificaten beschouwen als een bewijs dat een specifieke oplossing aan bepaalde beveiligingseisen voldoet.

  • Wat als een nieuw EU schema hetzelfde ICT-gebied dekt als een bestaand nationaal schema?

    Om de doelstellingen van deze Cybersecurity Act te verwezenlijken en de versnippering van de interne markt te voorkomen, dient de geldigheid van nationale certificeringschema’s  te vervallen, vanaf een door de Commissie vastgestelde datum. Elk EU-certificeringschema over cyberbeveiliging voorziet een overgangsperiode waarna de nationale schema’s niet langer van kracht zijn.

    Met andere woorden, certificaten die in het kader van deze schema’s zijn afgegeven, zijn niet langer geldig. Er is een overgang van bestaande schema’s naar EU-schema’s voorzien met de nodige richtlijnen voor Conformity Assessment Bodies (CAB's) die onder nationale regelingen werken.
    Deze CAB's mogen hun activiteiten rond bestaande schema’s niet stopzetten.

  • Zullen de EU cyberbeveiligingcertificaten in alle Europese landen worden erkend?

    EU-cyberbeveiligingcertificaten die zijn afgegeven door erkende Conformity Assessment Bodies (CAB’s) zijn geldig in alle EU-landen.

  • Wanneer kan men hulp inroepen van het CCB-Certification team?

    Het CCB-Certification team is operationeel en biedt begeleiding en ondersteuning van Belgische bedrijven in het EU cybersecurity certificeringsproces.

    Bij klachten over of bij misbruik van certificering van producten kan het CCB-Certification team ingeschakeld worden. Het CCB-Certification team heeft de bevoegdheid om te informeren en zo nodig op te treden om de regelgeving na te leven. Ze kan hiervoor de hulp inroepen van een ander NCCA als het certificaat uitgereikt werd in een ander Europees land.

  • Wordt het CCB als NCCA ook gecontroleerd?

    ENISA is verantwoordelijk voor de organisatie van een peer-evaluatie (evaluatie door Europese collega’s) van het NCCA’s. Ook het NCCA van het CCB zal hieraan deelnemen om zijn werking te verbeteren.

     

  • Hoe het CCB-Certification team contacteren?

    E-mail: certification@ccb.belgium.be

    Telefoon : +32 (0)2 501 05 60

Vacatures

Het Centrum for Cybersecurity België (CCB) werft nieuwe profielen aan.

Wacht niet, solliciteer nu

Other services

Cyber Emergency Response Team

Het Cyber Emergency Response Team (CERT.be) is een van de twee operationele diensten die de nationale CSIRT-activiteiten vormen.
De taak van het CERT.be bestaat erin cyberaanvallen binnen België te analyseren, in te dijken, te beperken en uit te roeien. Het CERT.be levert technische expertise en bijstand aan andere overheidsdiensten. Sommige diensten worden proactief geleverd, maar het grootste deel van het werk van het CERT.be is vergelijkbaar met dat van een cyberbrandweer.