Certificeerders en evaluatoren kunnen nu toetreden tot de nieuw gecreëerde Europese markt voor cybersecurity-certificering. Deze markt zal worden gestimuleerd door toekomstige EU-regelgeving die, in specifieke gevallen, certificering verplicht zal stellen voor ICT-producten, processen en diensten.

In de loop der jaren zal het aantal certificeringsschema’s toenemen om een breed scala aan certificeringsgebieden te bestrijken. Ook in Nederland hecht de overheid veel waarde aan efficiënte certificeringsprocessen. Om dit te waarborgen, heeft de Nederlandse Nationale Cybersecurity Certificeringsautoriteit (NCCA) haar processen opgezet in nauwe samenwerking met commerciële belanghebbenden. Met deze afgestemde processen faciliteert de Nederlandse NCCA de certificering en worden de verwerkingstijd en bureaucratie verminderd.

Licentieproces
Om deel te mogen nemen aan de certificering en/of evaluatie van producten, diensten en processen moet een Conformiteit Beoordelingsinstantie (CBI) het licentieproces van de Nederlandse NCCA volgen. Conformiteit Beoordelingsinstantie is een overkoepelende term voor instanties die certificeringsactiviteiten uitvoeren (d.w.z. CB’s) en instanties die evaluatieactiviteiten uitvoeren (d.w.z. ITSEF’s, penetratietestorganisaties). Een CBI mag zowel certificerings- als evaluatieactiviteiten uitvoeren, zolang de scheiding van activiteiten maar gewaarborgd is.

Toezicht
Elke gelicentieerde CBI wordt geregistreerd op de Europese ENISA-certificeringswebsite. Maar hoewel CSA-certificaten in de hele EU worden erkend is het toezicht op CSA-certificaten en CBI’s nationaal georganiseerd. Daarom vallen certificaten die in Nederland worden uitgegeven onder toezicht van de Nederlandse NCCA. De CSA houdt de instanties die certificeringsactiviteiten uitvoeren verantwoordelijk voor alle certificeringsactiviteiten, inclusief de evaluatieactiviteiten. Om een gelicentieerde CBI te worden onder de NCCA, moet de CBI geaccrediteerd worden door een Nationale Accreditatie Instantie (NAI) en het Nederlandse NCCA-licentieproces succesvol afronden.

Uitvoering
Accreditatie Accreditatie wordt uitgevoerd door een Nationale Accreditatie Instantie (NAI). In Nederland is dit de Raad voor Accreditatie (RvA). De accreditatiescope weerspiegelt onder andere het CSA-certificeringsschema en het hoogste zekerheidsniveau ondersteund door de CBI. Instanties die certificeringsactiviteiten willen uitvoeren, moeten geaccrediteerd zijn onder de ISO/IEC 17065-standaard, voor het CSA-certificeringsschema en de CSA Zekerheidsniveaus waarop zij actief willen zijn. Instanties die evaluatieactiviteiten willen uitvoeren, moeten geaccrediteerd zijn voor het toepasselijke CSA-certificeringsschema en de toepasselijke ISO/IEC-standaard die wordt vermeld in het implementatiereglement van het schema en de Standaarddocumenten.

Autorisatie
Een schema kan aanvullende schema-eisen bevatten voor de CBI’s, afhankelijk van het certificeringsschema en het zekerheidsniveau waarop de organisatie activiteiten wil uitvoeren. In het geval van aanvullende schema-eisen is een formele autorisatiebeslissing door de NCCA vereist om het Nederlandse NCCA-licentieproces succesvol af te ronden.
De Nederlandse NCCA werkt tijdens haar accreditatieproces samen met de RvA om deze aanvullende schema-eisen proactief te beoordelen. Door deze aanvullende schema-eisen tijdens de accreditatie te behandelen, kunnen alle eisen tegelijkertijd worden beoordeeld, wat zorgt voor efficiëntie en tijdigheid. In de praktijk betekent dit dat voor het nemen van een autorisatiebeslissing geen aanvullende beoordelingen zullen plaatsvinden in het Nederlandse NCCA-licentieproces.

Vereiste
Indien accreditatie niet door de RvA werd uitgevoerd, zal de Nederlandse NCCA een autorisatiebeoordeling uitvoeren in haar licentieproces om de aanvullende schema-eisen te controleren. Voor deze beoordeling kan de Nederlandse NCCA haar conclusies baseren op documentatie verstrekt door de CBI en indien nodig specifieke audits uitvoeren.
Voor nieuwe accreditatieverzoeken is het een vereiste om minstens één certificatie/evaluatieproject uit te voeren. Er kunnen echter aanvullende schema-eisen zijn om meer dan één certificatie/evaluatieproject uit te voeren voordat een licentie kan worden verleend.

CSA Zekerheidsniveaus
CSA-certificering is beschikbaar op drie zekerheidsniveaus: Basis, Aanzienlijk en Hoog. Elk schema bepaalt welke niveaus van toepassing zijn binnen dat schema. Certificering op de zekerheidsniveaus Basis of Aanzienlijk wordt altijd uitgevoerd door een CBI. Certificering op het zekerheidsniveau Hoog kan worden uitgevoerd door een CBI of door de NCCA zelf, afhankelijk van de implementatiemethode gekozen door de EU-lidstaat.
Nederland heeft ervoor gekozen om het CSA-voorafgoedkeuringsmodel te implementeren, waarmee de CBI’s zelf het beoordelings- en certificeringsproces kunnen uitvoeren voor het zekerheidsniveau Hoog. Als gevolg hiervan is Nederland in staat om deze certificeringsverzoeken snel en agile te verwerken.
Verplichtingen onder de CSA De CSA-schema’s omvatten bepaalde verplichtingen en toezicht door de NCCA. Er wordt momenteel een overzicht van deze verplichtingen gemaakt.