Het Nederlandse cybersecurity certificeringslandschap na de intreding van de Cybersecurity Act

Het Tilburg Institute for Law, Technology, and Society heeft voor het NCSC een onderzoek verricht naar de toepassing van certificering om cybersecurityproblemen aan te pakken.

Er zijn vele mogelijkheden voor organisaties om om te gaan met cybersecurityproblemen. Dit onderzoek focust zich specifiek op standaarden en certificeringen na de invoering van de Cybersecurity Act van de Europese Unie in 2019.

Het doel van dit onderzoek was het in kaart brengen van het certificeringslandschap in Nederland, het identificeren van de impact van de Cybersecurity Act op de belangrijkste Nederlandse stakeholders, onder andere middels case studies in twee vitale sectoren, en een verkenning naar welke mogelijke rollen het NCSC in dit landschap zou kunnen hebben.

In Nederland is cybersecuritycertificering volgens een decentraal model ingericht met een verdeling van verantwoordelijkheden en rollen. De Autoriteit Telecom (AT) zal de nationale certificeringsautoriteit worden en heeft hiermee een formele rol in het kader van de Cybersecurity Act. Het NCSC richt zich voornamelijk op publiek-private samenwerking en andere taken en bevoegdheden zoals beschreven in de Wet op de beveiliging van netwerk- en informatiesystemen (Wbni).

In dit onderzoek is ook gekeken naar de opvattingen van twee vitale sectoren (energie en financiële sector) over certificering. Daaruit is naar voren gekomen dat bedrijven veel interesse hebben voor certificering en in sommige gevallen ook verplicht zijn om te voldoen aan cybersecuritynormen, maar niet altijd gemotiveerd zijn om certificering na te streven. De voornaamste belemmeringen die hierbij genoemd worden, zijn onbekendheid met certificeringen, strenge documentatievereisten en hoge kosten. Door een aantal partijen in de energiesector wordt verplichte cybersecuritycertificering wenselijk geacht, waar dit niet het geval is in de financiële sector, met name vanwege de vele andere normen waaraan al voldaan moet worden.

Aanbevelingen

Dit onderzoek heeft een eerste inzicht gegeven in hoe het landschap van cybersecuritycertificeringen aan het vormen is in Nederland. Het onderzoek heeft laten zien dat er een aantal mogelijke rollen die het NCSC hierin zou kunnen vervullen. Aangezien het AT de nationale certificeringsinstantie wordt, zal de rol van het NCSC ondersteunend, reactief en/of proactief kunnen zijn. Enkele voorbeelden hiervan zijn:

  • Het faciliteren van het delen van kennis over cybersecuritycertificeringen via ISAC’s of andere publiek-private samenwerkingen
  • Het vergroten van het bewustzijn over cybersecuritycertificeringen
  • Het uitbreiden van vrijwillige samenwerking met certificeringsinstanties en andere stakeholders
  • Bijstand verlenen aan de nationale certificeringsinstantie middels het leveren van advies en expertise
  • Het ontwikkelen van een nationaal schema en label voor onderwerpen die niet binnen de EU behandeld worden

The Cybersecurity Certification Landscape in the Netherlands after the Union Cybersecurity Act