Agentschap Telecom als Nationale Cybersecuritycertificeringsautoriteit (NCCA)

De Nederlandse NCCA

Agentschap Telecom bereidt zich al vanaf 2019 voor op de certificerende NCCA-taken en de NCCA-toezichthoudende taken. Nederland heeft gekozen om certificerende taken volgens de CSA-optie van ‘prior approval’ uit te voeren, de ‘voorafgaande goedkeuring’.

NCCA-certificering:

• Beoordeelt of een conformiteitsbeoordelende instantie (CBI) Europese CSA-certificeringen kan en mag uitvoeren (toelating);
• Beoordeelt op het CSA-zekerheidsniveau ‘hoog’ of een CBI aan het einde van het certificeringstraject een Europees certificaat mag uitreiken (voorafgaande goedkeuring);
• Beoordeelt of een geaccrediteerde CBI toestemming mag geven aan de fabrikant om het ‘Common Criteria Recognition Arrangement’ (CCRA) logo te gebruiken bij communicatie over een gecertificeerd product.

NCCA-toezicht:

• Houdt toezicht op de naleving van de certificeringsvereisten door fabrikanten en aanbieders die een IT-product, -dienst of -proces hebben laten certificeren.
• Houdt toezicht op de naleving van de certificeringsvereisten door de toegelaten CBI’s.

De Europese certificeringregelingen zijn nog in ontwikkeling. De opbouw van de NCCA-taken bij Agentschap Telecom strekt zich daarom over meerdere jaren uit. Met elk nieuwe Europees certificeringsschema groeit de omvang van de NCCA-taken van Agentschap Telecom.

Het eerste certificeringsschema is het EUCC-schema voor certificering van IT-producten. ENISA heeft het kandidaatschema opgeleverd aan de Europese commissie die de tekst verwerkt in een Europese regeling onder de CSA. De verwachting is dat de regeling begin 2022 wordt gepubliceerd.