Certificering cybersecurity-paraatheid op EU-niveau

Toen ENISA in 2004 werd opgericht, bestond de noodzaak om het algehele niveau van cyberbeveiliging in de Europese Unie (EU) te verhogen. Ook was het volgens Lepassaar nodig om de ontwikkeling en uitvoering van cyberbeveiligingsbeleid te ondersteunen. “Ondanks de onzekerheden die aanvankelijk bestonden, heeft ENISA in de loop van de jaren een stevige reputatie opgebouwd. Enisa is momenteel actief op verschillende fronten en werkt samen met nationale cyberbeveiligingsautoriteiten, met instellingen, organen en instanties van de EU, alsook met private stakeholders aan essentiële prioriteiten van de EU op het gebied van cyberbeveiliging. Met de vaststelling van de cyberbeveiligingsverordening in 2019 is het mandaat van ENISA verder uitgebreid tot operationele samenwerking in situaties waarin zich een grootschalige, grensoverschrijdende cybercrisis voordoet. Bij deze verordening is ENISA ook belast met het opstellen van Europese cyberbeveiligingscertificeringsregelingen.”

Europese landen helpen om cyberveilig te worden

ENISA ondersteunt de lidstaten bij het ontwikkelen en herzien van hun cyberbeveiligingsstrategieën. Het Agentschap organiseert ook opleidingen en oefeningen waarbij Computer Security Incident Response Teams (CSIRT’s) zijn betrokken en is bezig met een aantal initiatieven voor het ondersteunen van de cyberbeveiligingsgemeenschap als geheel. Lepassaar: “Kortom, ENISA is een volwassen organisatie geworden die zowel de lidstaten als de instellingen, organen en instanties van de EU ondersteunt. Door de ervaringen die daarmee zijn opgedaan, heeft ENISA de mate van volwassenheid bereikt die ik vandaag zie en die essentieel is voor de nieuwe taken die voor ons staan.”

De cyberbeveiligingsverordening, die op 27 juni 2019 in werking is getreden, markeert een nieuw tijdperk in de ontwikkeling van ENISA en van de positionering van de EU in het mondiale cyberbeveiligingslandschap. Wat zijn die nieuwe taken? Lepassaar legt uit dat ENISA de Europese Commissie ondersteunt bij het beleid inzake cyberbeveiligingscertificering, dat het vertrouwen in de Digital Single Market moet vergroten. “Overeenkomstig de verordening heeft ENISA het verzoek ontvangen tot het opstellen van een potentiële regeling voor cyberbeveiligingscertificering op basis van de Common Criteria, met name voor chips en smartcards. ENISA heeft deze eerste regeling in mei van dit jaar voor goedkeuring naar de Europese Commissie gestuurd. We werken momenteel ook aan een potentiële regeling voor clouddiensten. De eerste versie van de Europese cyberbeveiligingscerficeringsregeling voor clouddiensten werd eind december 2020 gepubliceerd voor openbare raadpleging. In januari 2021 kwam de Europese Commissie ook met het verzoek om een nieuwe certificeringsregeling voor 5G te ontwikkelen. Vandaar dat we momenteel bezig zijn met het opzetten van een ad-hocwerkgroep voor 5G. Een andere nieuwe taak van ENISA is het analyseren van belangrijke trends op het vlak van cybersecurity, zowel aan de vraag- als aan de aanbodzijde.”

Belang en kansen EU-brede certificering

In het EU-kader voor cyberbeveiligingscertificering zijn de voorwaarden neergelegd die nodig zijn om het vertrouwen in en de veiligheid van ICT‑producten, ‑diensten en ‑processen te vergroten. Lepassaar zegt dat de Digital Single Market alleen kan gedijen als bij het grote publiek het vertrouwen bestaat dat dergelijke producten, diensten en processen een zekere mate van cyberveiligheid bieden. “Voor de invoering van een nieuw certificeringskader op EU-niveau is het belangrijk dat sprake is van internationale interoperabiliteit en compliance met internationale normen. Daar werken we aan. Ook helpen we de nationale overheden en de Commissie bij de invoering van dat kader.”

Het opstellen van certificeringsregelingen op EU-niveau moet criteria verschaffen voor het uitvoeren van hoogwaardige conformiteitsbeoordelingen om vast te stellen in hoeverre producten, diensten en processen aan specifieke eisen voldoen. Lepassaar: “Op basis van het risiconiveau dat verbonden is aan het beoogde gebruik van een product, dienst of proces, specificeert elke regeling een of meer zekerheidsniveaus, zoals ‘basis’, ‘substantieel’ of ‘hoog’. Uitvoerig onderzoek en een uitgebreide raadpleging maken het mogelijk om alomvattende regelingen op te stellen die zijn afgestemd op de behoeften van de lidstaten, waarmee ENISA samenwerkt om de Digital Single Market in geografisch opzicht minder versnipperd te maken. EU-brede certificeringsmechanismen zullen Europese ondernemingen in staat stellen om op nationaal, Unie- en mondiaal niveau te concurreren.”

Minimumnormen cyberbeveiliging

Lepassaar legt uit dat de cyberbeveiligingsverordening geen instrumenten bevat waarmee leveranciers kunnen worden gedwongen zich aan bepaalde minimumnormen voor cyberbeveiliging te houden. In plaats daarvan voorziet ze in een reeks maatregelen waarmee de toepassing van cyberbeveiligingsnormen wordt vergemakkelijkt en bevorderd. “Ten eerste voorziet de verordening in de genoemde ontwikkeling van Europese certificeringsregelingen voor ICT-producten, -processen en -diensten. Een Europese certificeringsregeling bevat verscheidene elementen, zoals beveiligingseisen en een specificatie van goedgekeurde evaluatiemethoden. Van alle lidstaten wordt verwacht dat ze onder een dergelijke regeling afgegeven certificaten erkennen, waarmee ze dan bevestigen dat aan de daarin gespecificeerde beveiligingseisen is voldaan. Dat maakt het voor bedrijven gemakkelijker om grensoverschrijdend handel te drijven en voor gebruikers om de beveiligingskenmerken van een product of dienst te begrijpen. Met andere woorden: Europese certificeringsregelingen zullen leveranciers stimuleren om aan cyberbeveiligingsnormen te voldoen. Ten tweede ondersteunt ENISA het opstellen en toepassen van Europese en internationale normen voor risicobeheersing en voor de beveiliging van ICT-producten, ‑diensten en ‑processen in het algemeen. In samenwerking met de lidstaten en de sector verleent ENISA advies en stelt het richtsnoeren op met betrekking tot de technische gebieden die verband houden met de beveiligingseisen voor aanbieders van essentiële en digitale diensten, alsook met betrekking tot normen. Ten derde helpt ENISA bij de ontwikkeling en uitvoering van Uniebeleid en ‑recht. In deze context helpt het agentschap bij de uitvoering van de richtlijn netwerk- en informatiebeveiliging, die van specifieke entiteiten, zoals aanbieders van essentiële diensten, verlangt dat ze op basis van cyberbeveiligingsnormen een minimumniveau van beveiliging handhaven. Last but not least geeft de cyberbeveiligingsverordening ENISA de opdracht om het publiek bewust te maken van cyberbeveiligingsrisico’s en ‑bedreigingen en bedrijven richtsnoeren voor goede praktijken te geven. Bewustmakingsacties zijn belangrijk om leveranciers te informeren over de cyberbeveiligingsrisico’s die aan hun activiteiten zijn verbonden.”

ENISA heeft nog maar net de eerste potentiële cyberbeveiligingscertificeringsregeling, de Common Criteria based European candidate cybersecurity certification scheme of EUCC, voor goedkeuring aan de Europese Commissie voorgelegd. Lepassaar: “Het is nog te vroeg om iets te zeggen over de resultaten, zoals het aantal landen en leveranciers dat hun producten en diensten certificeert. Vooralsnog kunnen we zeggen dat lidstaten die nationale certificeringsregelingen hebben ontwikkeld, al bezig zijn met certificeren. Certificering trekt natuurlijk de aandacht van leveranciers die hun klanten een extra laag zekerheid willen geven. Beslissingen over eisen en over de weg vooruit worden genomen in nauw overleg met de lidstaten en de sector, zodat de regelingen de EU als geheel ten goede komen.”

Volgens de cyberbeveiligingsverordening is de certificering van cyberbeveiliging vrijwillig, tenzij in Unierecht of nationale wetgeving anders is bepaald. Volgens Lepassaar zal de Europese Commissie regelmatig de efficiëntie en het gebruik van de vastgestelde Europese cyberbeveiligingscertificeringsregelingen beoordelen en of door middel van het Unierecht een bepaalde regeling verplicht moet worden gesteld. “De eerste beoordeling wordt naar verwachting uiterlijk op 31 december 2023 uitgevoerd. Op basis van deze beoordelingen beslist de Commissie welke producten, diensten en/of processen die onder een bestaande certificeringsregeling vallen, in een verplichte regeling opgenomen moet worden.”

Begeleiden kleine en middelgrote ondernemingen

De afgelopen twee jaar heeft ENISA een aantal aanbevelingen en rapporten gepubliceerd ten behoeve van kleine en middelgrote ondernemingen (kmo’s). Daarnaast heeft het kort geleden een SecureSME-tool beschikbaar gesteld, dat het gemakkelijk maakt om te navigeren naar tips, richtsnoeren en aanbevelingen van ENISA betreffende cyberbeveiliging voor kmo’s. Lepassaar: “Het is bijvoorbeeld belangrijk voor kmo’s om een noodplan voor cyberincidenten te ontwikkelen, dat onder meer richtlijnen bevat en taken en verantwoordelijkheden omschrijft, zodat adequaat, tijdig en professioneel op incidenten kan worden gereageerd. Kmo’s zouden ook onderzoek moeten doen naar tools voor het monitoren van bedreigingen die in geval van een verdachte activiteit of inbreuk op de beveiliging een waarschuwing afgeven. Het veilig houden van toestellen door de software up-to-date te houden en tijdig te patchen is een andere aanbeveling. Dit zijn slechts een paar voorbeelden uit de cyberbeveiligingsgids voor kmo’s die ENISA onlangs heeft gepubliceerd en die behalve in het Engels ook in tien andere Europese talen beschikbaar is gemaakt. Daarnaast helpt ENISA de lidstaten om de nationale cyberbeveiligingsstrategieën in overeenstemming met de nieuwe cyberbeveiligingsstrategie van de Unie te ontwikkelen en zodoende de normen te verhogen en in alle lidstaten een vergelijkbaar hoog niveau van beveiliging te krijgen, zoals voorzien in de richtlijn netwerk- en informatiebeveiliging. ENISA heeft onlangs een beoordelingskader voor nationale capaciteiten (NCAF) gepubliceerd aan de hand waarvan de lidstaten zelf een beoordeling kunnen maken van het volwassenheidsniveau van hun cyberbeveiligingscapaciteit.”

Uitdagingen en kansen

“De digitale wereld is een snelle wereld”, zegt Lepassaar. “Bij ENISA moeten we dus ook snel zijn. Een deel van ons werk is om latente uitdagingen te herkennen, op die uitdagingen te anticiperen en beschikbare kansen op te sporen. Tot die uitdagingen behoren — naast het ontwikkelen van de certificeringsregelingen — kunstmatige intelligentie, 5G en mogelijk postkwantumcryptografie. Kunstmatige intelligentie is op zichzelf weliswaar niet nieuw, maar is nog niet volledig geanalyseerd in termen van cyberbeveiliging.” Lepassaar legt uit dat het vraagstuk van kunstmatige intelligentie en cyberbeveiliging gezien zijn aard en de zeer verschillende en ruime toepassingen van kunstmatige intelligentie, buitengewoon complex is. “Cryptografie en postkwantumcryptografie zijn een buitengewoon ernstig en ook vrij gevoelig thema. Op dit terrein moeten we anticiperen op de toekomst, ook als we niet zeker weten wat die brengt. Het is nog de vraag of kwantumcomputers ooit werkelijkheid worden, maar als dat gebeurt, zullen ze een bedreiging vormen voor de veiligheid van de technologieën die we vandaag gebruiken, omdat onze huidige beveiligingssystemen niet bestand zijn tegen de rekenkracht van een kwantumcomputer. We willen onze digitale weerbaarheid niet in gevaar brengen. Daarom is het belangrijk dat we die vergroten en dat met verstand doen, met het oog op de toekomst. Zoals gezegd ontwikkelen technologieën zich razendsnel. We moeten niet vergeten dat door almaar opkomende nieuwe apparatuur en technologieën, technologieën die we vandaag gebruiken, morgen al verouderd en inefficiënt kunnen zijn. Om de digitale weerbaarheid van producten en diensten te vergroten, is het onze rol als ENISA om het dreigingslandschap in kaart te brengen en informatie te verspreiden over de beste beveiligingsmaatregelen en goede praktijken. Naast deze praktische aspecten is er de uitdaging dat de lidstaten moeten beschikken over actuele kennis en tools waarmee geïnformeerde besluiten kunnen worden genomen om beleidsinitiatieven uit te voeren.”

“Tot besluit zou ik willen zeggen dat de wijze waarop ENISA zich heeft ontwikkeld en de mate waarin we nu samenwerken met betrokken partijen in de hele EU, tal van kansen en mogelijkheden biedt voor het uitwisselen van informatie en creëren van belangrijke synergieën.”