Woordenlijst · EU-cyberveiligheidskader EU Cybersecurity Act (EU Cybersecurity Act (Verordening (EU) 2019/881))
De EU-verordening uit 2019 die het fundamentele kader vaststelt voor EU-cyberveiligheidscertificering — waaronder EUCC (producten), EUCS (cloud-diensten) en andere sectorale certificeringsschema's worden aangenomen. Heeft ENISA ook uitgebreid tot een permanent EU-agentschap voor cyberveiligheid. De constitutionele laag onder de volledige architectuur voor EU-cyberveiligheidscertificering.
## Wat de EU Cybersecurity Act eigenlijk is
De EU Cybersecurity Act (Verordening (EU) 2019/881, vaak afgekort als CSA) is de fundamentele EU-verordening die het kader vastlegt voor EU-cyberveiligheidscertificering van ICT-producten, -diensten en -processen. Aangenomen in 2019 en van kracht sinds juni 2019, doet ze twee essentiële dingen:
1. **Stelt het EU-cyberveiligheidscertificeringskader vast** — de juridische grondslag waaronder specifieke certificeringsschema's ([EUCC](/nl/glossary/eucc/) voor producten, [EUCS](/nl/glossary/eucs/) voor cloud-diensten, andere nog te komen) worden aangenomen via uitvoeringsverordening.
2. **Maakt ENISA permanent** als het EU-cyberveiligheidsagentschap — opgewaardeerd van tijdelijke mandaten naar permanente EU-institutionele status met uitgebreide verantwoordelijkheden, waaronder het beheer van het certificeringskader.
Zonder de EU Cybersecurity Act zou geen van EUCC, EUCS of ander sectoraal EU-cyberveiligheidscertificeringswerk juridische basis hebben. Het is de constitutionele laag van de hele architectuur.
## Wat de Cybersecurity Act vaststelt
De verordening creëert het operationele kader langs drie pijlers.
### Pijler 1: EU-cyberveiligheidscertificeringskader
De CSA definieert:
- **Certificeringsschema's** — specifieke certificeringsprogramma's aangenomen via Uitvoeringsverordeningen van de Commissie onder het CSA-kader
- **Assurantieniveaus** — basis, substantieel, hoog (waarbij hoog NCA-toezicht vereist)
- **Conformity Assessment Bodies (CAB's)** — geaccrediteerde laboratoria die evaluaties uitvoeren
- **Nationale Cyberveiligheidscertificeringsautoriteiten (NCCA's)** — autoriteiten van lidstaten die toezicht houden op certificering
- **European Cybersecurity Certification Group (ECCG)** — coördinatieorgaan van autoriteiten van lidstaten
- **Wederzijdse erkenning** — EU-brede geldigheid van certificeringen uitgegeven onder CSA-gebaseerde schema's
### Pijler 2: Uitgebreid mandaat van ENISA
Vóór de CSA opereerde ENISA onder tijdelijke mandaten. De CSA maakte ENISA's rol permanent en breidde haar verantwoordelijkheden uit:
- **Operationele coördinatie** — centrale rol in de implementatie van EU-cyberveiligheidsbeleid
- **Ontwikkeling van certificeringsschema's** — voorbereiding van kandidaat-certificeringsschema's voor aanname door de Commissie
- **Capaciteitsopbouw** — ondersteuning van lidstaten bij het ontwikkelen van cyberveiligheidscapaciteit
- **Cybercrisismanagement** — coördinatie van de EU-respons op grootschalige incidenten
- **Standaarden en beleid** — directe betrokkenheid bij EU-cyberveiligheidsbeleidsvorming
- **Bewustwording** — educatieve en outreach-activiteiten op EU-niveau
### Pijler 3: Aannameproces voor cyberveiligheidscertificering
De CSA stelt een gestructureerd proces vast voor de aanname van nieuwe certificeringsschema's:
1. **Verzoek van de Commissie** — de Commissie verzoekt ENISA om een kandidaatschema voor te bereiden
2. **ENISA-voorbereiding** — multi-stakeholder consultatie, schema-ontwikkeling (doorgaans 18-36 maanden)
3. **Aanname door de Commissie** — de Commissie neemt aan via Uitvoeringsverordening
4. **Implementatie door lidstaten** — NCCA's operationaliseren het schema nationaal
5. **Continue evolutie** — periodieke herziening en updates
Dit proces is momenteel operationeel voor EUCC (aangenomen 2024), EUCS (in proces, omstreden) en opkomende schema's voor 5G, AI en andere technologiedomeinen.
## Schema's aangenomen onder de EU Cybersecurity Act
In 2026 zijn de volgende schema's in verschillende stadia onder het CSA-kader:
| Schema | Onderwerp | Status |
|--------|-----------|--------|
| **EUCC** | ICT-producten (Common Criteria-gebaseerd) | Aangenomen februari 2024 |
| **EUCS** | Cloud-diensten | In proces, politiek omstreden |
| **EU 5G Cybersecurity Certification** | 5G-netwerken en -componenten | Voorbereidingsfase |
| **EU AI Cybersecurity Certification** | AI-systemen | In discussie |
| **EU IoT Certification** | IoT-producten | Voorbereidingsfase |
Elk schema wordt aangenomen via een Uitvoeringsverordening van de Commissie onder het CSA-kader. De CSA zelf specificeert de schema-inhoud niet — het specificeert het kader waarbinnen schema's opereren.
## Waarom de Cybersecurity Act ertoe doet
### 1. Constitutionele laag voor EU-cyberveiligheidscertificering
Zonder de CSA zou EU-cyberveiligheidscertificering ofwel niet bestaan op EU-niveau ofwel opereren zonder samenhangend kader. De CSA biedt de constitutionele structuur die EUCC en EUCS juridisch mogelijk maakt.
### 2. Institutionele permanente status van ENISA
De verheffing door de CSA van ENISA van tijdelijk naar permanent agentschap is materieel significant. ENISA kan nu strategische investeringen op lange termijn doen, permanent gespecialiseerd personeel aannemen en functioneren als gelijke aan gevestigde EU-agentschappen.
### 3. Mechanisme voor wederzijdse erkenning
De bepalingen voor wederzijdse erkenning van de CSA betekenen dat een certificering uitgegeven onder een CSA-gebaseerd schema in één lidstaat automatisch juridische geldigheid heeft in de hele EU. Dit is operationeel significant — vóór de CSA werden nationale certificeringsschema's niet automatisch vertaald.
### 4. Coördinatiearchitectuur
De ECCG creëert een coördinatiemechanisme voor cyberveiligheidscertificeringsautoriteiten van lidstaten. Dit is het equivalent van het European Data Protection Board voor cyberveiligheidscertificering — en werkt op vergelijkbare wijze.
### 5. Fundament voor soevereiniteit
De CSA maakt impliciet de soevereiniteitsdimensies van EU-cyberveiligheidscertificering mogelijk — inclusief de omstreden EUCS-soevereiniteitscriteria. Zonder het CSA-kader zouden deze debatten niet op EU-niveau plaatsvinden.
## Hoe de Cybersecurity Act tech-inkoop beïnvloedt
### Voor Europese tech-leveranciers
CSA-gebaseerde certificeringen (EUCC, uiteindelijke EUCS, sectorale schema's) bieden geloofwaardige inkoopsignalen. Het behalen van certificering opent inkoopmogelijkheden in de publieke sector en gereguleerde sectoren die niet-gecertificeerde aanbieders niet kunnen bereiken.
### Voor Europese inkopers in de publieke sector
CSA-gebaseerde certificeringen worden steeds vaker verplicht of geprefereerd voor gevoelige inkoop. Verschillende lidstaten hebben specifieke CSA-schema's geïntegreerd in inkoopkaders.
### Voor leveranciers met Amerikaans hoofdkantoor
Amerikaanse leveranciers kunnen CSA-gebaseerde certificering nastreven, maar staan voor specifieke uitdagingen:
- **EUCC** is technisch haalbaar (geen soevereiniteitsvereiste voor leveranciers)
- **EUCS High**-soevereiniteitsvereisten kunnen directe deelname van Amerikaanse leveranciers uitsluiten
- **Sectorale schema's** verschillen in soevereiniteitspositionering
Voor Amerikaanse leveranciers die toegang zoeken tot de Europese gereguleerde markt is CSA-gebaseerde certificering steeds vaker een strategische voorwaarde.
### Voor inkoopteams
De CSA-gebaseerde certificeringsstatus is een steeds standaarder inkoopcriterium naast ISO 27001, SOC 2 en landspecifieke certificeringen. Het CSA-kader biedt gestructureerde taal voor Europese cyberveiligheidsinkoop.
## Cybersecurity Act vs andere EU-cyberveiligheidsregelgeving
| Verordening | Onderwerp | Relatie |
|-------------|-----------|---------|
| **EU Cybersecurity Act** | Certificeringskader + ENISA | Fundamenteel |
| **NIS2** | Cyberveiligheidsverplichtingen op entiteitsniveau | Bouwt voort op CSA-capaciteit |
| **Cyber Resilience Act** | Cyberveiligheidsvereisten op productniveau | Verwijst naar CSA-certificeringen |
| **Cyber Solidarity Act** | Collectieve EU-cyberveiligheidsrespons | Gecoördineerd met ENISA (CSA-empowered) |
| **CER Directive** | Veerkracht van kritieke entiteiten (niet-cyber) | Parallel kader |
| **DORA** | Operationele veerkracht financiële sector | Sectorspecifiek |
De CSA is de fundamentele laag; de andere bouwen erop voort of opereren ernaast.
## Cybersecurity Act 2.0 (in discussie 2026)
De Europese Commissie is begonnen met het overwegen van een geüpdatete EU Cybersecurity Act (informeel CSA 2.0) om:
- **Aannameprocessen voor certificering te stroomlijnen**
- **ENISA's mandaat verder uit te breiden** gezien operationele ervaring
- **Opkomende certificeringsbehoeften aan te pakken** (AI, post-kwantum, IoT-schaal)
- **Wederzijdse erkenningsmechanismen te versterken**
- **Af te stemmen op NIS2-implementatie-ervaring**
CSA 2.0 bevindt zich in 2026 in een vroege discussiefase; het wetgevingsproces wordt naar verwachting niet vóór 2027-2028 afgerond.
## Praktische implicaties
- **Voor Europese tech-leveranciers**: CSA-gebaseerde certificeringen worden steeds relevanter voor inkoop; volg de schema-beschikbaarheid voor je productcategorie
- **Voor inkoop in de publieke sector**: CSA-kader-certificeringen bieden gestructureerde evaluatiecriteria
- **Voor Amerikaanse leveranciers die EU-markten bedienen**: CSA-gebaseerde certificering is steeds vaker een voorwaarde voor inkoop in gereguleerde sectoren en de publieke sector
- **Voor beleids- en compliance-teams**: begrijp de CSA als de constitutionele laag onder sectorale schema's
- **Voor ENISA-betrokkenheid**: de CSA geeft ENISA institutionele autoriteit die haar beleidswerk materieel significant maakt
De EU Cybersecurity Act is de meest consequente afzonderlijke verordening in de architectuur van EU-cyberveiligheidscertificering. De specifieke bepalingen ervan doen er minder toe dan het kader dat ze vaststelt — waaronder het operationele cyberveiligheidscertificerings-ecosysteem (EUCC, EUCS, sectorale schema's) daadwerkelijk opereert.
Was dit nuttig?
Bedankt voor je feedback!