Welke impact zal het eerste cyberbeveiligingscertificeringsprogramma van de EU op uw bedrijf hebben?
Inhoudsopgave:
In de digitale wereld is vertrouwen moeilijk te winnen en gemakkelijk te verliezen. Een deel van de reden hiervoor is het ontbreken van een universeel begrepen en geloofwaardig beveiligingskitemark-programma. Doe mee aan het EU-kader voor cyberbeveiligingscertificering: een jarenlang initiatief dat is ontworpen om het vertrouwen in IT-producten, -diensten en -processen binnen het blok en daarbuiten te harmoniseren.
EU-veiligheidsagentschap ENISA heeft zojuist het eerste dergelijke plan aangekondigd: het European Cybersecurity Scheme on Common Criteria (EUCC). Volgens deskundigen zal het een aanvulling vormen op de voorgestelde EU-regels voor cyberbeveiliging en zou het Britse bedrijven kunnen helpen hun eigen producten op de markt te brengen en de basisveiligheid in hun organisatie te verbeteren.
Waarom hebben we het EUCC nodig?
Tekortkomingen in IT-producten zijn een belangrijke oorzaak van cyberrisico’s. Ze kunnen vol zitten met softwarekwetsbaarheden, of beschikken over onveilige hardwarecomponenten, communicatieprotocollen en kant-en-klare configuraties die moeilijk te repareren zijn. Sommige fabrikanten beschikken mogelijk niet eens over een speciaal programma voor kwetsbaarheidsbeheer.
Maar tot nu toe was het voor IT-kopers een uitdaging om de veilige producten op de markt te onderscheiden van de ook-rans-producten en de ronduit onveilige producten. Alle bestaande certificeringsprogramma's werden op nationale basis uitgevoerd, wat niet goed is in een steeds mondialer en onderling verbonden wereld.
Wat is het EUCC?
Dit is waar het EUCC in beeld komt. Het is voorzien door de Cybersecurity Act (CSA) van de EU uit 2019 en is ontworpen om een “alomvattende reeks regels, technische standaardvereisten, standaarden en procedures te introduceren die in de hele unie moeten worden toegepast”, aldus ENISA.
Het gaat verder:
“Het nieuwe EUCC-programma, dat op vrijwillige basis is gebaseerd, biedt ICT-leveranciers die een bewijs van zekerheid willen tonen, de mogelijkheid om een door de EU algemeen begrepen beoordelingsproces te doorlopen om ICT-producten zoals technologische componenten (chips, smartcards), hardware en software te certificeren. Het schema is gebaseerd op de beproefde tijd SOG-IS gemeenschappelijke criteria evaluatiekader dat al in 17 EU-lidstaten wordt gebruikt. Het stelt twee niveaus van zekerheid voor, gebaseerd op het risiconiveau dat gepaard gaat met het beoogde gebruik van het product, de dienst of het proces, in termen van waarschijnlijkheid en impact van een ongeval.”
Volgens cybersecurityconsultant Adam Pilton van CyberSmart zijn er twee beveiligingsniveaus: ‘substantieel’ en ‘hoog’.
“Het substantiële niveau zorgt ervoor dat de ICT-producten, diensten en processen voldoen aan de gestelde functionaliteiten en zich op een niveau bevinden dat bedoeld is om bekende cyberveiligheidsrisico’s te minimaliseren die worden veroorzaakt door actoren met beperkte vaardigheden en middelen”, vertelt hij aan ISMS.online.
“De hoge mate van zekerheid zorgt ervoor dat ICT-producten, -diensten en -processen voldoen aan de gestelde functionaliteiten en zich op een niveau bevinden dat bedoeld is om state-of-the-art cyberaanvallen, uitgevoerd door actoren met aanzienlijke vaardigheden en middelen, tot een minimum te beperken.”
Certificering kan in sommige gevallen vijf jaar of langer duren. Maar als tijdens de looptijd van een certificering enig element van het betreffende asset verandert, zijn er maatregelen nodig om de zekerheidsniveaus te actualiseren. Als dit niet naar tevredenheid wordt afgerond, kan dit leiden tot opschorting of intrekking van de certificering, legt Pilton uit.
Hoe het EUCC Britse bedrijven ten goede zou kunnen komen
Er zijn twee belangrijke voordelen voor het EUCC. Hopelijk zal het:
Stimuleer ICT-leveranciers/fabrikanten om de veiligheid van hun producten, diensten en processen te verbeteren, door hen aan te moedigen zich aan de EUCC-vereisten te houden
Bied organisaties die IT-producten en -diensten kopen een handige manier om ervoor te zorgen dat hun aankopen aansluiten bij hun risicobereidheid
Een certificeringsprogramma is essentieel “om veilige apparaten en diensten te ontwikkelen, lanceren en effectief te beheren”, aldus Gil Bernabeu, CTO van de technische standaardenorganisatie GlobalPlatform.
“SOG-IS heeft dit de afgelopen tien jaar in Europa mogelijk gemaakt. En EUCC bouwt voort op die aanpak en breidt het bereik en de erkenning uit naar de 27 lidstaten, zodat leveranciers producten in heel Europa kunnen certificeren en verkopen onder de EU CSA”, vertelt hij aan ISMS.online.
“De sleutel tot succes zal zijn dat de beveiligingsniveaus consistent zijn in alle regio’s en markten op een manier die transparant is, afgestemd op de sector en toegankelijk voor de eindgebruiker. Het besparen van tijd, geld en moeite en het verbeteren van de cyberveiligheid in Europa kan alleen maar een goede zaak zijn.”
Hoewel de regeling op de EU is gebaseerd, kan elk bedrijf een certificering verkrijgen. Dat betekent dat Britse IT-leveranciers certificering kunnen gebruiken om de verkoopbaarheid van hun oplossingen onder een EU-klantenbestand te vergroten. Het zal ook IT-kopers in Groot-Brittannië ten goede komen, omdat zij proberen onderscheid te maken tussen leveranciers binnen het blok.
Volgens Pilton zou de invloed van het plan zich zelfs nog verder kunnen uitstrekken.
“Landen over de hele wereld waren betrokken bij de raadpleging van dit plan, waaronder Groot-Brittannië, de VS, Australië en China. En 82% van de deelnemers aan de consultatie gaf aan van plan te zijn gebruik te maken van de EUCC-regeling”, zegt hij.
“Het hebben van een EU-brede certificering zal een betrouwbaarder en veiliger Europa creëren. En nu andere landen aangeven van plan te zijn dit plan over te nemen, zal dit ongetwijfeld een mondiale impact hebben om ervoor te zorgen dat we toegang hebben tot betrouwbare producten, processen en diensten.”
Nog maar het begin
Hoewel vrijwillig, kan de regeling een aanzienlijke impact hebben, net als die in Groot-Brittannië Cyberbenodigdheden, zegt Pilton.
“Het EUCC is een plan dat een continent kan verenigen, ook een mondiaal invloedrijk continent. Het zal uiteraard de cyberveiligheid van de deelnemers direct verbeteren, maar ook het bewustzijn vergroten, waardoor cyberhygiëne en best practices voor alle bedrijven worden bevorderd”, beweert hij.
“In de loop van de tijd zal dit vertrouwen opbouwen en een verantwoorde ontwikkeling en inzet van veilige producten aanmoedigen. Vijfentwintig procent van degenen die de EUCC-consultatie bijwoonden, verklaarde dat zij van plan waren hun producten daarvoor te laten certificeren.”
Het EUCC zal ook een aanvulling vormen op andere wetgeving en richtlijnen die bijvoorbeeld op EU-niveau in ontwikkeling zijn helpen bij het naleven van NIS2 voor organisaties die moeten bewijzen dat entiteiten in hun toeleveringsketens aan de voorgeschreven normen voldoen, zegt Pilton.
Dat is ook de mening van Jesus Fernandez, die lid was van de ENISA-werkgroep over EUCC.
“De vrijwillige regeling zal een aanvulling vormen op de Wet Cyberweerbaarheid die bindende cyberbeveiligingseisen introduceert voor alle hardware- en softwareproducten in de EU. De EUCC-regeling zal ook de implementatie van de NIS2-richtlijn stimuleren.” argumenteert hij.
“Dus op dit moment is het verstandig om toekomstige verticale/sectorale regelgeving te verwachten die verplichte EUCC-certificeringen zou kunnen opleggen die specifiek zijn voor bepaalde soorten IT-producten bij gebruik in specifieke sectoren.”
Het is ook de moeite waard om te onthouden dat de EUCC de eerste van drie cyberbeveiligingscertificeringsprogramma's is, terwijl twee andere betrekking hebben op clouddiensten en 5G-netwerken die nog in de afrondende fase zijn. Samen zouden ze veel kunnen doen om de basisveiligheid in de regio en daarbuiten te verbeteren.
