De Cyberbeveiligingsverordening is gemaakt om de gehele Europese Unie bestendiger te maken tegen cyberaanvallen en de digitale interne markt te versterken. Dit doet het op twee manieren. Ten eerste, introduceert het een certificeringskader met technische eisen, normen en procedures voor de gehele EU en garandeert dat alle gecertificeerde ICT-producten en -diensten zijn geƫvalueerd en aan specifieke beveiligingsvoorschriften voldoen. Ten tweede, vergroot de verordening het mandaat van het agentschap voor de cyberbeveiliging, ENISA.
Certificeringsregeling
De verordening bevat cyberbeveiligingscertificeringsregelingen en vormt een EU-brede standaard. Op basis van deze regelingen kunnen er cyberbeveiligingscertificaten uitgegeven worden. Dit vindt op nationale basis plaats. Deze certificaten worden, indien een beoordeling met succes wordt afgerond, uitgegeven door een daartoe geaccrediteerde conformiteitsbeoordelingsinstantie. Tijdens deze beoordeling wordt er gekeken of het ICT-product of de ICT-dienst voldoet aan gespecificeerde technische vereisten.
ENISA
De Cyberbeveiligingsverordening bevat ook nieuwe taken en bevoegdheden voor ENISA. Met het in werking treden van de verordening, zal het agentschap voortaan optreden als het informatie- en kenniscentrum voor alle EU instellingen, organen, instanties en andere belanghebbende van de Unie.
ENISA heeft onder andere de taak om operationele samenwerking tussen EU lidstaten en instellingen in het kader van cyberveiligheid te bevorderen. Daarnaast adviseert het de Commissie over beleid en wetgeving rondom cyberveiligheid.
In het kader hiervan heeft ENISA ook cyberbeveiligingscertificeringsschema opgesteld, wat de Commissie op 31 januari 2024 heeft overgenomen in een uitvoeringsverordening. Dit leidde tot de zogenaamde Common Criteria-based Cybersecurity Certification Scheme (EUCC).
Decentrale relevantie
Omdat ook decentrale overheden vaak veelvuldig gebruik maken van dergelijke producten en diensten, biedt de verordening rechtszekerheid aan decentrale overheden wanneer zij bijvoorbeeld nieuwe ICT-producten en -diensten inkopen.
Stand van zaken
De verordening heeft rechtstreekse werking en trad op 27 juni 2019 in werking. Op 28 juni 2021 dienden de regels van de verordening (gedeeltelijk) te worden toegepast. Ter implementatie is in Nederland de Uitvoeringswet Cyberbeveiligingsverordening aangenomen, welke op 9 april 2022 in werking trad.
