De Rijksinspectie Digitale Infrastructuur (RDI) en Raad voor Accreditatie (RvA) intensiveren hun samenwerking rondom cybersecurity-certificeringen. De partijen gaan meer informatie delen en expertise uitwisselen. Ook kunnen de RDI en RvA effectiever en efficiënter besluiten nemen omtrent aanvragen. Instanties die een accreditatie en autorisatie aanvragen, ontvangen hierdoor sneller een beslissing.

Angeline van Dijk, Inspecteur-Generaal RDI: “Als RDI werken wij aan een digitaal veilige infrastructuur. Deze samenwerking is belangrijk omdat wij vanuit onze eigen rol als Rijkinspectie Digitale Infrastructuur en als Raad voor Accreditatie de krachten bundelen. Wij doen dat om Nederland digitaal veilig en weerbaar te maken en te houden.” Roeland Nieuweboer, voorzitter Raad van Bestuur RvA benadrukt de unieke samenwerking: “Tijdens een gezamenlijke beoordeling geven wij allebei invulling aan onze eigen rol. Dat kwam niet eerder voor. Bovendien verkrijgen beide partijen hierdoor een completer beeld van de betreffende instelling op dit onderwerp. Dit draagt fundamenteel bij aan de betrouwbaarheid van CSA-gecertificeerde producten, -diensten en processen.”

De RDI is de Nationale Cybersecurity Certificeringsautoriteit (NCCA) van Nederland. De organisatie toetst producten en diensten op cyberveiligheidseisen. Indien producten of diensten digitaal veilig zijn, geeft de NCCA een certificering af.

Snelle digitalisering
Nederland is in toenemende mate digitaal verbonden door de snelle digitalisering. Dit maakt digitale veiligheid van cruciaal belang. Met het certificeren van producten en diensten dragen de RDI en RvA hieraan bij. De RvA is de nationale accreditatie-instantie van Nederland. De Cybersecurity Act (CSA) van de Europese Unie schrijft accreditatie voor bij deze certificering.

Een certificerende instelling vraagt bij de RvA accreditatie aan om aanbieders van producten of diensten te mogen certificeren. Indien de RvA accreditatie verleent, volgt indien het gaat om een cybersecurity certificering in de meeste gevallen een toets door de RDI. Dit laatste proces wordt ook wel autorisatie genoemd. De beoordelingen vinden zoveel mogelijk plaats door een gecombineerd team van de RvA en RDI.

Zodra een aanvrager zowel de accreditatie als autorisatie heeft binnengekregen informeert de RDA ENISA, het Europees Agentschap voor netwerk- en informatiebeveiliging. Een certificerende instelling mag vervolgens producten en/of diensten toetsen en certificeren. Indien de certificerende instelling het testen van het product uitbesteed aan een derde partij, vindt ook daar een beoordeling door het gecombineerde RvA-RDI team plaats.

Zekerheid
De werkwijze geeft afnemers van CSA-gecertificeerde producten, -diensten en -processen de zekerheid dat deze voldoen aan de security-eisen uit de certificeringsregeling. De CSA is sinds juni 2019 van kracht.

Petra Claessen, Voorzitter van BTG en Boardmember BTG Services: “Met het oog op de snelle digitalisering van Nederland is de digitale veiligheid een belangrijke voorwaarde en aandachtspunt. Cybersecurity-certificeringen spelen hierbij een belangrijke rol en geven zekerheid over de digitale veiligheid van zowel producten, diensten als processen. De samenwerking tussen de RDI en RvA tilt het certificeringsproces naar een hoger niveau, waardoor aanvragers sneller een besluit kunnen verwachten. Hiervan profiteren niet alleen deze aanvragers, maar ook hun klanten die nieuwe producten en diensten hierdoor sneller in gebruik kunnen nemen.”