Agentschap Telecom als Nationale Cybersecuritycertificeringsautoriteit (NCCA)

De Nederlandse Nationale Cybersecurity certificeringsautoriteit (NCCA) heeft een rol bij het certificeren van IT-producten, -diensten en -processen en het toezicht daarop. De Nederlandse NCCA is ingesteld op grond van de CSA-uitvoeringswet. De CSA-uitvoeringswet ligt bij het parlement ter behandeling. In de Memorie van Toelichting spreekt de regering het voornemen uit om de NCCA-taken bij Agentschap Telecom te beleggen.

De Nederlandse NCCA

Wij zijn sinds april 2022 officieel de Nationale Cybersecurity certificeringsautoriteit (NCCA). Vanuit die nieuwe rol houden we toezicht op de certificering van IT-producten, diensten en processen. Doel ervan is digitale producten en diensten digitaal veiliger te maken en zo de digitale weerbaarheid van ons land te vergroten. Nederland heeft gekozen om certificerende taken volgens de CSA-optie van ‘prior approval’ uit te voeren. Oftewel, via de ‘voorafgaande goedkeuring’.

NCCA-certificering:

  • Beoordeelt of een conformiteitsbeoordelende instantie (CBI) Europese CSA-certificeringen kan en mag uitvoeren (toelating);
  • Beoordeelt op het CSA-zekerheidsniveau ‘hoog’ of een CBI aan het einde van het certificeringstraject een Europees certificaat mag uitreiken (voorafgaande goedkeuring);
  • Beoordeelt of een geaccrediteerde CBI toestemming mag geven aan de fabrikant om het ‘Common Criteria Recognition Arrangement’ (CCRA) logo te gebruiken bij communicatie over een gecertificeerd product.

NCCA-toezicht:

  • Houdt toezicht op de naleving van de certificeringsvereisten door fabrikanten en aanbieders die een IT-product, -dienst of -proces hebben laten certificeren.
  • Houdt toezicht op de naleving van de certificeringsvereisten door de toegelaten CBI’s.

De Europese certificeringregelingen zijn nog in ontwikkeling. De opbouw van de NCCA-taken bij Agentschap Telecom strekt zich daarom over meerdere jaren uit. Met elk nieuwe Europees certificeringsschema groeit de omvang van de NCCA-taken van Agentschap Telecom.

Het eerste certificeringsschema is het EUCC-schema voor certificering van IT-producten. ENISA heeft het kandidaatschema opgeleverd aan de Europese commissie die de tekst verwerkt in een Europese regeling onder de CSA. De verwachting is dat de regeling begin 2022 wordt gepubliceerd.