Artikel 52 Zekerheidsniveaus van Europese cyberbeveiligingscertificeringsregelingen

In een Europese cyberbeveiligingscertificeringsregeling kunnen voor ICT-producten, -diensten en -processen een of meer van de volgende zekerheidsniveaus worden gespecificeerd: ‘basis’, ‘substantieel’ of ‘hoog’. Het zekerheidsniveau staat in verhouding tot het niveau van risico dat verbonden is aan het beoogde gebruik van een ICT-product, -dienst of -proces, wat betreft de waarschijnlijkheid en de gevolgen van een incident.

In Europese cyberbeveiligingscertificaten en EU-conformiteitsverklaringen wordt verwezen naar een zekerheidsniveau dat staat aangegeven in de Europese cyberbeveiligingscertificeringsregeling uit hoofde waarvan het Europese cyberbeveiligingscertificaat of de EU-conformiteitsverklaring is afgegeven.

In de betrokken Europese cyberbeveiligingscertificeringsregeling worden de overeenkomstige beveiligingsvoorschriften voor elk zekerheidsniveau bepaald, waaronder de overeenkomstige beveiligingsfuncties en de overeenkomstige grondigheid en diepgang van de evaluatie waaraan dat ICT-product, die ICT-dienst of dat ICT-proces wordt onderworpen.

Het certificaat of de EU-conformiteitsverklaring geeft de daaraan gerelateerde technische specificaties, normen en procedures, waaronder technische controles, weer, welke tot doel hebben het risico van cyberbeveiligingsincidenten te verminderen of die incidenten te voorkomen.

Een Europees cyberbeveiligingscertificaat of EU-conformiteitsverklaring voor het zekerheidsniveau ‘basis’ biedt de zekerheid dat de ICT-producten, -diensten en -processen voldoen aan de, waarvoor dat certificaat of die EU-conformiteitsverklaring is afgegeven, de overeenkomstige beveiligingsvoorschriften, waaronder beveiligingsfuncties, en dat zij geëvalueerd zijn op het niveau dat bedoeld is om de bekende basisrisico's van cyberincidenten en cyberaanvallen tot een minimum te beperken. De te ondernemen evaluatiewerkzaamheden behelzen ten minste een toetsing van technische documenten. Indien een dergelijke toetsing niet geschikt is, worden vervangende gelijkwaardige evaluatiewerkzaamheden ondernomen.

Een Europees cyberbeveiligingscertificaat voor het zekerheidsniveau ‘substantieel’, biedt de zekerheid dat de ICT-producten, -diensten en -processen voldoen waarvoor dat certificaat is afgegeven aan de overeenkomstige beveiligingsvoorschriften, waaronder beveiligingsfuncties, en dat zij geëvalueerd zijn op een niveau dat bedoeld is om de bekende cyberbeveiligingsrisico's, en het risico op cyberincidenten en cyberaanvallen door actoren met beperkte vaardigheden en middelen, tot een minimum te beperken. De te ondernemen evaluatiewerkzaamheden behelzen ten minste het volgende: verifiëren dat er geen algemeen bekende kwetsbaarheden zijn, en testen of bij de ICT-producten, -diensten of -processen de benodigde beveiligingsfuncties correct worden toegepast. Indien dergelijke evaluatiewerkzaamheden niet geschikt zijn, worden vervangende gelijkwaardige evaluatiewerkzaamheden ondernomen.

Een Europees cyberbeveiligingscertificaat voor het zekerheidsniveau ‘hoog’, biedt de zekerheid dat de ICT-producten, -diensten en -processen waarvoor dat certificaat is afgegeven voldoen aan de overeenkomstige beveiligingsvoorschriften, waaronder beveiligingsfuncties, en dat zij geëvalueerd zijn op een niveau dat bedoeld is om het risico van geavanceerde cyberaanvallen door actoren met aanzienlijke vaardigheden en middelen, tot een minimum te beperken.

De te ondernemen evaluatiewerkzaamheden behelzen ten minste het volgende: verifiëren dat er geen algemeen bekende kwetsbaarheden zijn, testen of bij de ICT-producten, -diensten of -processen de beveiligingsfuncties correct, volgens de huidige stand van de techniek, worden toegepast, en het testen van hun weerbaarheid tegen deskundige aanvallers door middel van penetratietests. Indien dergelijke evaluatiewerkzaamheden niet geschikt zijn, worden vervangende gelijkwaardige evaluatiewerkzaamheden ondernomen.

In een Europese cyberbeveiligingscertificeringsregeling kunnen meerdere evaluatieniveaus worden aangegeven, afhankelijk van de grondigheid en de diepgang van de gebruikte evaluatiemethodologie. Elk evaluatieniveau komt overeen met één van de zekerheidsniveaus en wordt door middel van een passende combinatie van zekerheidscomponenten omschreven.