De Cyberbeveiligingswet is een Europese verordening (EU 2019/881) die in juni 2019 in werking is getreden. Het doel ervan is om de cyberbeveiliging in de hele EU te versterken door het toekennen van ENISA een permanent mandaat en de oprichting van een EU-breed certificeringskader voor cyberbeveiliging voor ICT-producten, -diensten en -processen.
Terwijl eerdere EU-inspanningen op het gebied van cyberbeveiliging gericht waren op nationale strategieën en het melden van incidenten, verschuift de Cybersecurity Act de aandacht naar vertrouwen, transparantie en geharmoniseerde certificering op de digitale interne markt.
Twee belangrijke pijlers van de Cyberbeveiligingswet
- ENISA versterken
De wet geeft ENISA een permanente en uitgebreide rol, waardoor het agentschap verantwoordelijk wordt voor:- ondersteuning van de beleidsontwikkeling van de EU op het gebied van cyberbeveiliging;
- coördinatie van de samenwerking tussen de lidstaten;
- het verzamelen en delen van informatie over bedreigingen;
- het organiseren van grootschalige crisissimulaties;
- en het beheren van certificeringsprogramma's voor cyberbeveiliging.
- EU-certificeringskader voor cyberbeveiliging
Een van de belangrijkste innovaties is een EU-certificeringskader voor cyberbeveiliging. Hierdoor kunnen leveranciers aantonen dat hun ICT-producten of -diensten voldoen aan duidelijk gedefinieerde cyberbeveiligingseisen - een cruciaal element in sectoren als gezondheidszorg, energie, telecom en financiën.
Het certificeringskader omvat drie garantieniveaus:
- BasisBescherming tegen veelvoorkomende bedreigingen op laag niveau;
- Aanzienlijkbescherming tegen geavanceerdere bedreigingen;
- Hoogbescherming tegen zeer gerichte en geavanceerde aanvallen.
Certificering is vrijwillig tenzij anders verplicht door wetgeving zoals NIS2 of DORA.
Waarom de Cyberbeveiligingswet belangrijk is
In een digitale economie is vertrouwen essentieel. De Cybersecurity Act biedt:
- Zekerheid dat gecertificeerde producten voldoen aan minimale cyberbeveiligingsstandaarden;
- Transparantie over het beveiligingsniveau van producten en diensten;
- Vereenvoudigde toegang tot EU-marktenGefragmenteerde nationale regels worden vermeden;
- Stimulansen voor verkopers om praktijken voor beveiliging door ontwerp te gebruiken.
Voor organisaties die ICT-producten inkopen, vereenvoudigt de wet op risico gebaseerde besluitvorming met behulp van gestandaardiseerde, door de EU erkende certificeringen.
Hoe RiskStudio de Cybersecurity Act ondersteunt
Hoewel RiskStudio geen certificeringen afgeeft, helpt het platform organisaties om voldoen aan de verwachtingen en vereisten ingevoerd door de Cybersecurity Act.
Met RiskStudio kun je:
- Controleer of leveranciers gecertificeerde ICT-componenten gebruiken;
- Misconfiguraties of kwetsbaarheden identificeren die in strijd zijn met de certificeringsnormen;
- Kritieke leveranciers evalueren op basis van signalen uit de praktijk, zoals cyberratings, bekende inbreuken en publieke bekendheid.
Met deze inzichten ondersteunt RiskStudio zowel regelnaleving en slimmere besluitvorming bij de selectie van en het toezicht op leveranciers en digitale tools - zelfs als er nog geen sprake is van formele certificering.