Cybercertificering blijft opgeschort ondanks Poolse inspanningen
Vooruitgang in de certificering voor cybersecurity van cloudservices (EUCS) – die sinds 2019 in een impasse verkeert – lijkt waarschijnlijk te komen na de herziening van de Cybersecurity Act (CSA).
Discussies op EU-niveau over vrijwillige cybersecuritycertificering voor cloudservices (EUCS) zullen waarschijnlijk niet vooruitgaan in de eerste helft van dit jaar, ondanks inspanningen van Polen – dat tot juli de ministeriële bijeenkomsten van de EU voorzit – om een overeenkomst te bereiken, volgens bronnen die bekend zijn met de zaak.
In 2019 begon het Europese cybersecurityagentschap ENISA met het werken aan EUCS, op verzoek van de Commissie. Het is bedoeld voor bedrijven om aan te tonen dat gecertificeerde ICT-oplossingen het juiste niveau van cybersecuritybescherming hebben voor de EU-markt, maar het is in een politieke strijd over soevereiniteitsvereisten veranderd.
Frankrijk heeft met name weerstand geboden en wil er zeker van zijn dat het zijn eigen systeem – SecNum Cloud – kan blijven gebruiken na de goedkeuring van EUCS. Deze politieke verdeeldheid heeft geleid tot vertraging, wat betekent dat het systeem nog een advies van de Europese Cybersecurity Certificeringsgroep (ECCG) van ENISA nodig heeft. De volgende vergadering zou in februari kunnen plaatsvinden, ten vroegste.
Polen, dat op 1 januari begon met het voorzitterschap van de EU-regeringsvergaderingen, richt enkele van zijn evenementen in de eerste helft van 2025 op cybersecurity, zoals de informele bijeenkomst van telecomministers op 4-5 maart, en het is van plan een conferentie over ENISA-standaardisering te organiseren.
Echter, de industriegroepen zijn sceptisch of dit zal leiden tot een doorbraak in de impasse rond EUCS. BSA, een lobby voor de wereldwijde software-industrie, heeft aangegeven dat het “het betreurt” dat het proces voor de aanneming van de EUCS na vier jaar discussie nog steeds onvoltooid is. Een woordvoerder van het bedrijf zei: “De kernvraag is niet waar de data of het bedrijf zich bevindt, maar hoe goed de data wordt beschermd, daarom moeten we ons concentreren op de technische aspecten van cybersecurity en niet op politieke overwegingen.”
“De laatste versie van de EUCS weerspiegelt deze juiste balans, en we dringen er bij de Commissie op aan om het systeem zo snel mogelijk aan te nemen. Europa kan het zich niet veroorloven om meer tijd te verliezen in het waarborgen van zijn cybersecurityweerbaarheid,” voegde BSA toe.
Herziening van de Cyber Security Act
Anderen geloven dat de Commissie wil wachten met het herzien van het EUCS-proces totdat de Cyber Security Act (CSA), de verwante regelgeving, is herzien. Een woordvoerder van de Commissie vertelde dat “de CSA momenteel wordt geëvalueerd, maar er is nog geen beslissing genomen om de CSA te herzien.”
De CSA, die in 2019 van kracht werd, stelt het Europese cybersecurityagentschap ENISA in staat om certificeringsschema’s voor te bereiden. Het stond vorig jaar op de agenda voor herziening, maar dit heeft nog niet plaatsgevonden. Van de twee andere certificaten die sinds 2019 zijn voorgesteld, is er slechts één goedgekeurd, voor basis ICT-producten; een ander op 5G is nog in behandeling.
In de missiebrief van de nieuw aangetreden EU-commissaris voor Technologische Soevereiniteit, Veiligheid en Democratie, Henna Virkkunen, staat dat zij “bij zal dragen aan het versterken van cybersecurity […] met name door het adoptieproces van Europese cybersecuritycertificeringsschema’s te verbeteren.”
