Woordenlijst · EU-cybersecuritycertificering EUCC (European Cybersecurity Certification scheme on Common Criteria)
Het eerste EU-brede cybersecurity-certificeringsschema, aangenomen onder de Cybersecurity Act. Vastgesteld bij Uitvoeringsverordening 2024/482 van de Commissie in februari 2024. Geldt voor ICT-producten (hardware, software, componenten) en is gebaseerd op de internationale Common Criteria-standaard, met EU-specifieke assurance-niveaus.
## Wat EUCC feitelijk is
EUCC is het **European Cybersecurity Certification scheme on Common Criteria**. Het is het eerste cybersecurity-certificeringsschema dat op EU-niveau is aangenomen onder het kader van de EU Cybersecurity Act (Verordening 2019/881).
EUCC werd in **februari 2024** vastgesteld via Uitvoeringsverordening 2024/482 van de Commissie, na enkele jaren voorbereidend werk onder leiding van [ENISA](/nl/glossary/enisa/). Het schema dekt ICT-producten — hardware, software en componenten — en is gebouwd op de internationale Common Criteria-standaard (ISO/IEC 15408), die sinds de jaren negentig de wereldwijde basis vormt voor cybersecuritycertificering op productniveau.
Belangrijk: EUCC is **niet** hetzelfde als [EUCS](/nl/glossary/eucs/). EUCC is voor producten. EUCS is het voorgestelde (en omstreden) schema voor clouddiensten. Het zijn zusterregelingen die verschillende categorieën adresseren.
## Waarom EUCC ertoe doet
Vóór EUCC was cybersecuritycertificering van ICT-producten in Europa versnipperd over nationale schema's. Frankrijk had CSPN (uitgegeven door ANSSI). Duitsland had BSI's Common Criteria-certificering. Nederland, Italië, Spanje en de Noordse landen hadden eigen varianten. Een product dat in het ene land was gecertificeerd, werd niet automatisch in het andere erkend — zelfs wanneer beide certificeringen op Common Criteria steunden.
EUCC dicht dat gat door één EU-brede certificering te creëren met wederzijdse erkenning in alle lidstaten. Een apparaat dat op EUCC-assurance-niveau "high" in Duitsland is gecertificeerd, heeft nu dezelfde juridische status in Frankrijk, Italië en in de hele EU.
## Wat EUCC certificeert
EUCC certificeert *Targets of Evaluation* — doorgaans:
- **Hardware Security Modules (HSM's)** — voor cryptografisch sleutelbeheer
- **Smartcards en secure elements** — betaalkaarten, eID-chips, simkaarten
- **Embedded systemen** — voor IoT, industriële besturing, automotive
- **Operating-systeemkernels en beveiligingskritische componenten**
- **Netwerkapparatuur** — firewalls, encryptie-appliances
- **PKI- / certificeringsautoriteitproducten**
De certificeringsomvang is het feitelijke product, beoordeeld tegen een gedefinieerde set functionele beveiligingseisen en een assurance-niveau.
## EUCC-assurance-niveaus
EUCC definieert twee assurance-niveaus boven het "basic" basisniveau van de Cybersecurity Act:
### Substantial
Komt overeen met Common Criteria EAL 1 tot EAL 4. Omvat kwetsbaarheidsanalyse op basis van publiek bekende dreigingen, basis-penetratietesten en standaard documentatie-eisen. Geschikt voor algemene beveiligingsproducten.
### High
Komt overeen met Common Criteria EAL 5 tot EAL 7. Omvat geavanceerde kwetsbaarheidsanalyse, geavanceerde penetratietesten tegen statelijke dreigingen, formele beveiligingsmodellering voor kritieke functies en uitgebreide review van ontwerpdocumentatie. Vereist voor producten die nationale veiligheid, kritieke infrastructuur of grote financiële transacties verwerken.
Beide assurance-niveaus omvatten een laboratoriumevaluatie door een geaccrediteerde Conformity Assessment Body. Certificeringen op "high"-niveau vereisen daarnaast toezicht door de nationale certificeringsautoriteit (NCA) — de nationale cybersecurityautoriteit (ANSSI in Frankrijk, BSI in Duitsland) valideert de evaluatie rechtstreeks.
## Hoe EUCC zich verhoudt tot bestaande schema's
EUCC absorbeert en vervangt expliciet bestaande nationale schema's op basis van Common Criteria:
| Pre-EUCC-schema | Land | Status onder EUCC |
|------------------|---------|---------------------|
| CSPN | Frankrijk (ANSSI) | Blijft voorlopig; overlap met EUCC "substantial" |
| BSI Common Criteria | Duitsland | EUCC-certificeringen volledig erkend |
| OCSI | Italië | EUCC volledig geïntegreerd |
| CCN | Spanje | EUCC-certificeringen erkend |
| NSCIB | Nederland | EUCC volledig geïntegreerd |
Nationale schema's blijven bestaan tijdens een overgangsperiode. Uiteindelijk worden ze ofwel opgenomen in EUCC ofwel behouden voor zeer specifieke gevallen (bijvoorbeeld producten met nationale rubricering).
## Verplicht vs vrijwillig
Onder het kader van de Cybersecurity Act zijn EU-cybersecuritycertificeringen standaard *vrijwillig*. Leveranciers kunnen hun producten laten certificeren voor commercieel voordeel, maar zijn er niet toe verplicht.
Lidstaten kunnen EUCC-certificering echter onder nationaal recht *verplicht* maken voor specifieke productcategorieën. Verschillende landen doen dat al:
- **Frankrijk**: ANSSI maakt EUCC in de praktijk verplicht voor producten in publieke aanbestedingen en aanbieders van essentiële diensten
- **Duitsland**: BSI integreert EUCC-certificering in regelgeving voor kritieke infrastructuur
- **Estland, Finland, Nederland**: stemmen nationale aanbestedingskaders af op een EUCC-voorkeur
De [Cyber Resilience Act](/nl/glossary/cyber-resilience-act/), die EU-brede cybersecurity-eisen aan producten oplegt, verwijst naar EUCC als erkende conformiteitsbeoordelingsroute. Producten met EUCC-certificering profiteren onder de CRA van een vermoeden van conformiteit. Dat is de belangrijkste aanjager van adoptie.
## EUCC en in de VS gevestigde leveranciers
Anders dan [SecNumCloud](/nl/glossary/secnumcloud/) en de omstreden EUCS-soevereiniteitscriteria stelt EUCC géén eisen aan de bedrijfsstructuur of jurisdictie van de *leverancier*. Een in de VS gevestigde hardwarefabrikant kan EUCC-certificering verkrijgen voor een product dat is ontworpen en gemaakt in overeenstemming met de standaard.
Wat EUCC wél vereist, is dat de *evaluatie* wordt uitgevoerd door een in de EU gevestigd, geaccrediteerd laboratorium onder EU-toezicht. Het product mag overal gemaakt zijn; de evaluatie moet binnen de regulatoire perimeter van de EU plaatsvinden.
Dat sluit aan bij de Common Criteria-traditie — wereldwijd erkend, lokaal geëvalueerd.
## Wat EUCC in de praktijk betekent
### Voor fabrikanten van ICT-producten
Als u Hardware Security Modules, smartcards, secure embedded systems of netwerkbeveiligings-appliances verkoopt aan EU-markten, wordt EUCC-certificering een basisverwachting in plaats van een onderscheidend kenmerk. Publieke aanbesteders en gereguleerde sectoren accepteren steeds minder vaak niet-EUCC-producten voor gevoelige toepassingen.
### Voor EU-kopers
EUCC-certificering is betekenisvol bewijs van productveiligheid. Een product met een EUCC "high"-certificering is geëvalueerd door een geaccrediteerd EU-laboratorium onder toezicht van een nationale cybersecurityautoriteit. Dat is wezenlijk anders dan zelf-verklaarde beveiligingsclaims.
### Voor leveranciers uit de VS en wereldwijd
EUCC-deelname vraagt investering — doorgaans €200.000 tot €500.000 voor een "substantial"-certificering van een matig complex product; aanzienlijk meer voor "high". Die drempel is opzettelijk. Leveranciers die bereid zijn in EUCC-certificering te investeren, signaleren een serieuze toewijding aan EU-markten.
### Voor cybersecurityonderzoekers
De gepubliceerde EUCC-certificeringsrapporten worden hoogwaardige publieke documentatie van de beveiligingseigenschappen van producten. De rapporten zijn doorzoekbaar via de certificeringsdatabase van ENISA.
## Wat 2026-2027 brengt
- **Meer producten gecertificeerd op EUCC "high"** naarmate het schema rijpt
- **Afronding van EUCS** — het zusterschema voor clouddiensten, nog politiek omstreden over soevereiniteitscriteria
- **EU 5G-certificeringsschema** in het verlengde van EUCC, vermoedelijk in 2027
- **EU-AI-certificering** wordt besproken als mogelijk derde EU-schema
- **Onderhandelingen over wederzijdse erkenning** met niet-EU certificeringsregimes (met name het Amerikaanse FIPS en opkomende Britse schema's)
## Praktische implicaties
- **Voor Europese bedrijven die ICT-producten kiezen**: EUCC-certificering is betekenisvol en steeds relevanter bij aanbestedingen
- **Voor Europese ICT-fabrikanten**: investering in certificering wordt nodig voor serieuze positionering bij EU-overheden
- **Voor fabrikanten uit de VS / wereldwijd**: EUCC-deelname is de route naar de EU-overheidsmarkt voor beveiligingskritische producten
- **Voor EU-regelgevers**: EUCC is het fundament; verwacht parallelle schema's voor cloud (EUCS), 5G, AI en andere technologiedomeinen
EUCC zet de toon voor EU-cybersecuritycertificering die grensoverschrijdend werkt zonder soevereiniteit op te offeren. EUCS — voor cloud — is dezelfde vraag met veel politiek omstredener antwoorden.
Was dit nuttig?
Bedankt voor je feedback!