Nr. 6 NOTA NAAR AANLEIDING VAN HET VERSLAG

De leden van de VVD-fractie vinden het onduidelijk welke ICT-producten, -diensten en -processen gemoeid zijn met dit wetsvoorstel. Zij vragen de regering meer duidelijkheid te geven over welke producten en diensten dit wetsvoorstel beoogt te certificeren? Wat is hierin het aandeel van slimme apparaten?

Met het wetsvoorstel wordt uitvoering gegeven aan enkele bepalingen van Verordening (EU) nr. 2019/881 van het Europees Parlement en de Raad van 17 april 2019 inzake Enisa (het Agentschap van de Europese Unie voor cyberbeveiliging), en inzake de certificering van de cyberbeveiliging van informatie- en communicatietechnologie en tot intrekking van Verordening (EU) nr. 526/2013 (hierna: de cyberbeveiligingsverordening). Deze verordening biedt een kader om op Europees niveau cyberveiligheidscertificeringsregelingen te ontwikkelen en certificering uit te voeren. Dit kader kent een brede reikwijdte inzake de categorieën van ICT-producten, – diensten en -processen die gecertificeerd kunnen worden. Hiermee kan de Europese Commissie voor een breed segment van ICT-producten, -diensten en processen Europese cyberbeveiligingscertificeringsregelingen opstellen.

Momenteel worden er twee Europese cyberbeveiligingscertificeringsregelingen ontwikkeld. Het gaat om een cyberbeveiligingscertificeringsregeling voor ICT-beveiligingsproducten (EUCC) en een cyberbeveiligingscertificeringsregeling voor clouddiensten. In het werkprogramma van de Europese Commissie zijn de eerste categorieën van ICT-producten, -diensten en -processen genoemd waarvoor Europese cyberbeveiligingscertificeringsregelingen worden ontwikkeld. In het werkprogramma kondigt de Europese Commissie aan dat het de intentie heeft om een Europese cyberbeveiligingscertificeringsregeling voor slimme apparaten voor consumenten te ontwikkelen. Daarnaast is de Europese Commissie voornemens om Europese cyberbeveiligingscertificeringsregelingen te ontwikkelen voor 5G-netwerkapparatuur en geautomatiseerde industriële controlesystemen.

De leden van de VVD-fractie vragen hoe het mandaat van het Europees Agentschap voor netwerk- en informatiebeveiliging (Enisa) zich verhoudt tot dat van het Computer Emergency Response Team for the EU Institutions, bodies and agencies (CERT-EU).

Het mandaat van Enisa is vastgelegd in de cyberbeveiligingsverordening. De verantwoordelijkheden van Enisa op grond van deze verordening beslaan onder andere het bijdragen aan Europees cyberbeleid, het verhogen van de betrouwbaarheid van ICT-producten, -diensten en -processen door middel van certificering en het adviseren over uitdagingen op het gebied van cybersecurity voor de toekomst. Enisa vervult deze rol door het delen van kennis, het verhogen van bewustzijn en capaciteitsopbouw. Enisa is dus het expertisecentrum op het gebied van cybersecurity voor de EU en haar lidstaten.

CERT-EU is het Computer Emergency Response Team (CERT) voor de EU-instellingen, agentschappen en lichamen. Dit betekent dat CERT-EU op grond van de Europese NIB-richtlijn1 deze doelgroepen kan adviseren en bijstand kan leveren op het gebied van preventie, detectie en respons tegen cyberaanvallen. In tegenstelling tot Enisa heeft CERT-EU daarbij een operationele rol.

De leden van de VVD-fractie lezen in de memorie van toelichting dat de Europese Commissie bevoegd wordt om Europese cyberbeveiligingscertificeringsregelingen voor ICT-producten, -diensten en -processen vast te stellen. Op basis van welke indicatoren gaat de Europese Commissie deze regelingen vaststellen? Hoe zijn deze indicatoren tot stand gekomen?

De cyberbeveiligingsverordening biedt een kader op grond waarvan er Europese cyberbeveiligingscertificeringsregelingen vastgesteld kunnen worden. In het antwoord van een eerdere vraag van de VVD fractie hierover is toegelicht dat de Europese Commissie onder meer in het voortschrijdend werkprogramma van de Unie een aantal prioriteiten voor de ontwikkeling van cyberbeveiligingscertificeringsregelingen heeft geïdentificeerd, gebaseerd op de criteria genoemd in artikel 47, derde lid, van de cyberbeveiligingsverordening, waaronder voor clouddiensten. De lidstaten zijn betrokken bij de het tot stand komen van het genoemde werkprogramma, middels de Europese Groep voor cyberbeveiligingscertificering (de «EGC», een adviesgremium bestaande uit de lidstaten). Daarnaast adviseert een adviserend gremium bestaande uit stakeholders de Europese Commissie hierbij.

De cyberbeveiligingsverordening stelt eisen aan de ontwikkeling en inhoud waaraan elke Europese cyberbeveiligingscertificeringsregeling moet voldoen. Een aantal minimumeisen staat in artikel 54 van de cyberbeveiligingsverordening genoemd.

De leden van de CDA-fractie lezen dat de cyberbeveiligingsverordening lidstaten vrijlaat om aanvullende maatregelen te nemen om het gebruik van de in beginsel voor de commerciële markt bedoelde gecertificeerde ICT-producten, -diensten en -processen in de voornoemde domeinen te beperken, te verbieden of hieraan aanvullende eisen te stellen. Zij vragen of de regering voornemens is dit te doen.

De regering is op dit moment niet voornemens om op nationaal niveau aanvullende maatregelen op het gebied van openbare beveiliging, defensie, nationale veiligheid en activiteiten van de staat op het gebied van het strafrecht te nemen welke leiden tot het beperken, verbieden of stellen van aanvullende eisen.

De leden van de SP-fractie lezen dat met de verordening de Europese Commissie bevoegd wordt om Europese cyberbeveiligingscertificeringsregelingen voor categorieën van ICT-producten, – diensten en processen vast te stellen. Zij vragen waar de behoefte voor deze soevereiniteitsoverdracht vandaan komt. Immers, de verordening heeft geen betrekking op bevoegdheden van lidstaten betreffende activiteiten inzake openbare beveiliging, defensie, nationale veiligheid en strafrecht aangezien deze thema’s onder de nationale competentie van lidstaten vallen. De leden vragen wat de verordening effectief zal betekenen in het bevorderen van cyberveiligheid, of dat zij met name de markt voor cyberveiligheidsproducten zal bevorderen?

De regering is positief ten aanzien van de subsidiariteit van de cyberbeveiligingsverordening, gezien het inherent grensoverschrijdende karakter van cyberbeveiliging en cyberdreiging. Ten aanzien van het certificeringsraamwerk zijn de voordelen van schaalvergroting het grootst wanneer certificaten EU-breed gelden en de Digitale Interne Markt wordt hierdoor versterkt. De Europese cyberbeveiligingscertificeringsregelingen hebben immers een EU brede werkingssfeer en bevatten beveiligings- en beschermingsvoorschriften ten aanzien van ICT-producten, -diensten en -processen, hierdoor ontstaat meer uniformiteit inzake de cyberbeveiliging, wordt het gelijke speelveld in de digitale interne markt behouden en de concurrentiepositie van Nederlandse bedrijven versterkt. Daarnaast blijft de mogelijkheid bestaan om in het kader van de nationale veiligheid aanvullende nationale maatregelen te treffen.

De cyberbeveiligingsverordening levert tevens een bijdrage aan het versterken van vertrouwen van burgers en bedrijven in de veiligheid van producten en diensten. Op dit moment is deze markt sterk versnipperd en functioneert daardoor niet effectief. De schaalvergroting die optreedt door ontwikkeling van Europees geharmoniseerde certificeringsregelingen kan certificering op EU-niveau efficiënter maken. Deze effecten kunnen niet door de lidstaten afzonderlijk worden bereikt.

De leden van de GroenLinks-fractie lezen in de memorie van toelichting dat de verordening voorziet in de harmonisatie van de vereisten die worden gesteld aan certificaten. Waarom is er niet gekozen voor harmonisatie van de certificaten zelf? Leidt de huidige opzet niet alsnog tot een grote proliferatie aan verschillende certificaten, waardoor eindgebruikers alsnog het overzicht verliezen? Leidt het bovendien niet ertoe dat bedrijven kunnen inzetten op certificatieshopping, waarbij ze certificaten aanvragen bij beoordelingsinstanties in lidstaten die makkelijker zijn in het afgeven van certificaten? Op welke manier wordt dit risico beperkt? Is het niet duidelijker en effectiever om tot een Europees certificaat te komen?

Inderdaad voorziet de cyberbeveiligingsverordening in de harmonisatie van de vereisten die worden gesteld aan de Europese cyberbeveiligingscertificaten. De verordening voorziet in het creëren van een geharmoniseerd Europees certificatiestelsel, waarbij in verschillende EU landen certificaten voor ICT-producten, -diensten, en -processen op dezelfde wijze worden uitgegeven, aan de hand van een specifieke Europese cyberbeveiligingscertificeringsregeling. In die zin is er dus sprake van een Europees cyberbeveiligingscertificaat, en van harmonisatie van de certificaten zelf.

De leden van de GroenLinks-fractie vragen of het cyberbeveiligingscertificeringskader enkel toeziet op certificatieschema’s van lidstaten, of ook op schema’s die worden beheerd door particuliere organisaties.

Het cyberbeveiligingscertificeringskader ziet toe op Europese cyberbeveiligingscertificeringsregelingen die op grond van de cyberbeveiligingsverordening zijn vastgesteld. Het heeft geen betrekking op private initiatieven. Met de inwerkingtreding van een nieuwe Europese cyberbeveiligingscertificeringsregeling onder de cyberbeveiligingsverordening, vervallen eventuele publieke nationale certificeringsregelingen. Eventuele private initiatieven kunnen hiernaast blijven bestaan.

De leden van de ChristenUnie-fractie lezen in de memorie van toelichting dat met dit wetsvoorstel wordt gestreefd naar een geharmoniseerd kader voor het ontwikkelen van certificeringsregelingen. Deze leden onderschrijven het belang van het voorkomen van fragmentatie van de Europese digitale interne markt. Toch lezen zij ook in het advies van de Afdeling advisering van de Raad van State dat verplichte certificering op Europees niveau mogelijk pas over enkele jaren wordt verwacht. De regering zal tot die tijd de markt stimuleren om gebruik te maken van de bestaande certificeringstrajecten. Deze leden vragen of er problemen kunnen ontstaan in de transitie van de bestaande nationale certificeringsregelingen naar de nog te verwachten Europese cyberbeveiligingscertificeringsregelingen die pas over enkele jaren verwacht worden. Deze leden vragen de regering hoe deze transitie vormgegeven wordt om het doel van voorkomen van fragmentatie van de Europese digitale interne markt te bewerkstelligen.

Nederland kent momenteel één nationale cyberbeveiligingscertificeringsregeling, namelijk het Nederlandse Schema voor Certificatie op het gebied van IT-Beveiliging (NSCIB). De Europese markt is op dit moment gefragmenteerd. De inwerkingtreding van de Europese cyberbeveiligingscertificeringsregelingen zal tot verdere harmonisering leiden. Bij de ontwikkeling van de Europese cyberbeveiligingscertificeringsregelingen is er specifiek aandacht voor het borgen van een goede transitie. De insteek van de Europese Commissie en de EGC z(Europese Groep voor cyberbeveiligingscertificering, een adviesgremium bestaande uit de lidstaten) is ervoor te zorgen dat er geen situaties ontstaan waarbij zowel de nationale cyberbeveiligingscertificeringsregeling als de Europese cyberbeveiligingscertificeringsregelingen tegelijkertijd niet meer van toepassing zijn. Het dient dan ook mogelijk te blijven voor fabrikanten en aanbieders om te laten certificeren.

De leden van de VVD-fractie stellen vragen over het feit dat binnen deze wet de mogelijkheid bestaat van conformiteitszelfbeoordeling waarbij een fabrikant of aanbieder zelf in plaats van een onafhankelijke instantie, bepaalt of er aan voorschriften van de certificeringsregeling is voldaan. Hoe beoordeelt de regering deze mogelijkheid in het kader van onafhankelijke toetsing en daarmee ook de doelmatigheid van dit wetsvoorstel?

De regering juicht het toe dat fabrikanten of aanbieders een conformiteitszelfbeoordeling kunnen doen. Bij een conformiteitszelfbeoordeling voert de fabrikant of de aanbieder van ICT-producten, -diensten of -processen zelf alle inspecties uit om te zorgen dat de ICT-producten, -diensten of -processen in overeenstemming zijn met de Europese cyberbeveiligingscertificeringsregeling. Dit betreft een efficiënte mogelijkheid voor fabrikanten of aanbieders om aan te tonen dat is voldaan aan de eisen van de betreffende cyberbeveiligingscertificeringsregeling. Om de doelmatigheid van het wetsvoorstel te behouden, is een aantal voorwaarden gesteld aan de conformiteitszelfbeoordeling. De mogelijkheid van conformiteitszelfbeoordeling dient expliciet te zijn bepaald in de desbetreffende Europese cyberbeveiligingscertificeringsregeling en wordt enkel geschikt geacht voor ICT-producten, -diensten en -processen met een geringe complexiteit (eenvoudig ontwerp en productiemechanismen) die een laag risico voor het openbaar belang opleveren. Voorts dient conformiteitszelfbeoordeling ten aanzien van ICT-producten, -diensten of -processen alleen te worden toegestaan wanneer deze zekerheidsniveau «basis» hebben. Bovendien is het toezichthoudende kader onverkort van toepassing op de EU-conformiteitsverklaringen die is afgegeven na de conformiteitszelfbeoordeling.

De leden van de VVD-fractie vragen hoe en door welke instantie wordt bepaald welk zekerheidsniveau (basis, substantieel en hoog) geldt voor welk product, dienst of proces. Op basis van welke parameters wordt dit gedaan?

Per Europese cyberbeveiligingscertificeringsregeling worden de betreffende categorieën van ICT-producten, -diensten of -processen op welke de regeling van toepassing is, vastgelegd. Daarbij gaat de Europese cyberbeveiligingscertificeringsregeling ook in op de zekerheidsniveaus die van toepassing kunnen zijn, en welke eisen gelden per zekerheidsniveau. De desbetreffende aanbieder kan dan bij een aanvraag voor een certificaat zelf kiezen voor welk zekerheidsniveau het ICT-product, dienst of proces gecertificeerd moet worden.

De Europese cyberbeveiligingscertificeringsregelingen worden door de Europese Commissie vastgesteld. De Europese Commissie doet voor het opstellen van een certificeringsregeling een verzoek aan Enisa. Bij de uitwerking van de certificeringsregelingen vindt nauwe samenwerking plaats met de Europese Groep voor cyberbeveiligingscertificering. Ook wordt bij de ontwikkeling van een certificeringsregeling een ad-hoc werkgroep ingericht. Vervolgens stelt de Europese Commissie de certificeringsregelingen vast door middel van uitvoeringshandelingen.

De leden van de VVD-fractie lezen dat de nationale autoriteit de mogelijkheid heeft om sancties op te leggen aan aanbieders en producenten wanneer zij hun verplichtingen niet nakomen. In hoeverre wordt bij het opleggen van deze sancties rekening gehouden met het zekerheidsniveau van de aangeboden producten/diensten/processen?

Het zekerheidsniveau is op zichzelf geen factor waar rekening mee moet worden gehouden bij het opleggen van sancties. Het zekerheidsniveau is gekoppeld aan de eisen voor het behalen van een certificaat.

Bij cyberbeveiligingscertificering gaat het in de kern om het waarborgen van het publieke vertrouwen in het certificaat. Dat vertrouwen staat los van het zekerheidsniveau van het certificaat, ook de afnemers van ICT-producten, -processen of -diensten van certificaten (o.a. bedrijven, consumenten, overheidsorganisaties) op een lager zekerheidsniveau moeten kunnen vertrouwen op de kwaliteit van het certificaat. In dat opzicht worden alle certificaten gelijk behandeld.

De leden van de VVD-fractie lezen verder dat de nationale autoriteit het mandaat krijgt om cyberbeveiligingscertificaten met zekerheidsniveau hoog weer in te trekken indien het certificaat niet blijkt te voldoen aan de voorliggende certificeringsregeling. Ligt er een bepaalde overweging ten grondslag aan de mogelijkheid om louter certificaten met zekerheidsniveau hoog in te trekken? Zo ja, welke analyse ligt hieronder? Welke (juridische) mogelijkheden hebben fabrikanten of aanbieders in het geval van intrekking van certificaten nog?

Een intrekkingsbesluit is een besluit in de zin van de Algemene wet bestuursrecht waartegen bezwaar en beroep open staan. Belanghebbenden, zoals fabrikanten of aanbieders, kunnen volgens de gebruikelijke procedures bezwaar aantekenen tegen een intrekkingsbesluit van de nationale autoriteit.

De leden van de CDA-fractie lezen in de memorie van toelichting dat de cyberbeveiligingsverordening stelt dat iedere lidstaat een (of meerdere) nationale cyberbeveiligingscertificeringsautoriteit(en) moet aanwijzen die met toezichthoudende taken wordt belast. Onder andere Cyberveilig Nederland merkt in reactie op het wetsvoorstel op dat de nationale autoriteit over voldoende personele middelen dient te beschikken. Deze leden vragen of dit op tijd gaat lukken, gelet op de schaarste aan ICT-personeel die dikwijls eerder hun weg vinden naar het bedrijfsleven in plaats van naar de overheid. Welke wervingsacties worden op dit terrein ondernomen? Waarom is er niet voor gekozen het Nationaal Cyber Security Centrum als nationale autoriteit aan te wijzen? Onderkent de regering dat het toezicht op cyberveiligheid nu heel gefragmenteerd is, terwijl er steeds vaker bevoegdheden/taken op dit terrein vanuit Europa geïmplementeerd zullen moeten worden, zonder dat er een echt geschikte toezichthouder is?

Vanuit het oogpunt van effectiviteit en efficiëntie wordt de nationale cyberbeveiligingscertificeringsautoriteit ondergebracht bij een bestaande organisatie, zijnde het Agentschap Telecom, die geruime ervaring heeft met zowel uitvoerende als, afdoende daarvan gescheiden, toezichthoudende werkzaamheden binnen het digitale domein. Zo houdt AT niet alleen toezicht op de zorgplicht van aanbieders van openbare elektronische communicatienetwerken en openbare elektronische communicatiediensten maar ook op de wetgeving inzake elektronische handtekeningen. Ook is AT de toezichthouder op de Wet beveiliging netwerk- en informatiesystemen (Wbni) voor de energiesector, digitale infrastructuur en digitale diensten.

AT is daarom al enige jaren actief en succesvol met het uitbreiden van de expertise inzake cyberbeveiliging.

Het Nationaal Cyber Security Centrum (NCSC) is het centrale informatieknooppunt en expertisecentrum voor cybersecurity in Nederland. Op grond van de Wbni heeft het NCSC onder andere de taak de rijksoverheid en vitale aanbieders te informeren, te adviseren en waar nodig te ondersteunen bij dreigingen en incidenten met betrekking tot netwerk- en informatiesystemen. Het NCSC draagt bij aan het vergroten van de digitale weerbaarheid van de Nederlandse samenleving, en is daarbij geen toezichthouder. De rol als nationale cyberbeveiligingscertificeringsautoriteit past daarom niet bij het NCSC.

Cybersecurity is een vraagstuk wat in alle sectoren speelt en ook onder de verantwoordelijkheid valt van elke Minister. Bij het implementeren van Europese (sectorale) wet- en regelgeving is het van belang om ook het toezicht te beleggen bij de toezichthouder met kennis en ervaring van de desbetreffende sector. Het aanwijzen van AT als nationale cyberbeveiligingscertificeringsautoriteit past bij de bestaande verantwoordelijkheden, kennis en ervaring.

De leden van de VVD-fractie constateren dat Enisa om de vijf jaar elke vastgestelde Europese cyberbeveiligingscertificeringsregeling evalueert. Op basis van welke analyse is deze termijn vastgesteld? Hoe verhoudt deze termijn zich tot de driejarige termijn van de Europese Commissie om bepaalde certificeringsregelingen verplicht te stellen? Ziet de regering ruimte om deze termijnen samen te brengen om verplichting logischer te laten volgen op evaluatie?

Europese cyberbeveiligingscertificeringsregelingen zullen op verschillende momenten in de tijd gereed zijn en kennen vanaf het moment van de publicatie een eigen evaluatiecyclus van vijf jaar. Deze evaluatie heeft betrekking op de inhoud van de regeling – de cyberbeveiligingsnormen, evaluatiemethoden en accreditatievoorwaarden. De periode van maximaal vijf jaar is gekozen omdat aan de ene kant technologie en cyberdreigingen voortdurend in beweging zijn, en aan de andere kant certificeringsregelingen hanteerbaar moeten zijn voor aanbieders, certificerende instelling en testlaboratoria en dus niet kort cyclisch kunnen veranderen. In de certificeringsregelingen zullen de eisen daarom zo zijn gesteld dat bij de toetsing en gedurende de levenscyclus van producten, diensten en processen er rekening gehouden moet worden met de actuele cyberdreigingen en kwetsbaarheden.

De periodieke inhoudelijke evaluatie van de Europese cyberbeveiligingscertificeringsregelingen heeft een andere focus dan de beoordeling van de Europese Commissie voor eind 2023 of er verplichtingen ten aanzien van certificering noodzakelijk zijn. Overigens zullen in de meeste gevallen eventuele verplichtingen tot certificering of gebruik van gecertificeerde producten, diensten en processen worden opgenomen in andere Europese regelgeving (bijvoorbeeld in het voorstel van de herziening van de NIB-richtlijn).

De regering ziet op dit moment nog geen aanleiding om de evaluatietermijnen samen te brengen.

De leden van de VVD-fractie constateren tevens dat reeds bestaande nationale certificeringsregelingen voor ICT-producten, -diensten en -processen zal komen te vervallen en zal worden vervangen door Europese cyberbeveiligingscertificeringsregelingen. In hoeverre brengen de Europese regelingen een aanscherping aan op de nationale regeling?

Het is op voorhand niet te zeggen of Europese cyberbeveiligingscertificeringsregelingen die nog moeten worden ontwikkeld een aanscherping zullen betekenen van nationale regelingen. Voor zover bekend is de enige nationale regeling die zal komen te vervallen het Nederlandse Schema voor Certificatie op het gebied van IT-Beveiliging (NSCIB). Dit internationaal multilaterale schema wordt voor de EU ondergebracht in het stelsel van de cyberbeveiligingsverordening. De eerste Europese cyberbeveiligingscertificeringsregeling voor ICT-beveiligingsproducten (EUCC) die dit jaar wordt verwacht, kent een beperkt aantal verschillen en aanscherpingen voor de partijen die de conformiteitsbeoordeling uitvoeren en laat het lage zekerheidsniveau buiten beschouwing. Dit verschilt met het huidige NSCIB dat is opgesteld naar de internationale SOG-IS criteria (waar een aantal EU landen waaronder Nederland aan deelneemt).

De leden van de CDA-fractie lezen in de memorie van toelichting dat nationale cyberbeveiligingscertificeringsregelingen die hetzelfde onderwerp regelen als een Europese cyberbeveiligingscertificeringsregelingen vanaf een bij de certificeringsregeling vastgestelde datum zullen vervallen. Begrijpen deze leden correct dat op dit moment nog niet kan worden vastgesteld welke nationale cyberbeveiligingscertificeringsregelingen dit zijn?

Voor zover bekend zal door de ontwikkeling van een Europese cyberbeveiligingscertificeringsregeling voor ICT-beveiligingsproducten (EUCC), het Nederlandse Schema voor Certificatie op het gebied van IT-Beveiliging (NSCIB) komen te vervallen en worden vervangen voor de EUCC.

De leden van de GroenLinks-fractie zijn van mening dat het, om vertrouwen en veiligheid in de digitale economie te borgen, een helder kader voor de certificering van digitale producten, diensten en processen essentieel is. Deze leden juichen dan ook toe dat de cyberbeveiligingsverordening werk maakt van verduidelijking en harmonisatie van dit kader. Zij vragen echter of de huidige opzet, gestoeld op vrijwillige certificering, ver genoeg gaat. Deze leden begrijpen dat een duidelijk kader voor vrijwillige certificering een marktdynamiek in gang kan zetten waarbij steeds meer fabrikanten hun producten vrijwillig laten certificeren. De ervaring leert echter dat er vaak een groep is die zich daar juist aan onttrekt, en wellicht een bewuste keuze maakt voor goedkopere, maar ook onveiligere producten, waar de eindgebruiker, en uiteindelijk de samenleving als geheel, de negatieve gevolgen van dragen. Waarom is er in de verordening niet gekozen voor een meer verplichtend karakter van cyberbeveiligingscertificering? Is de regering bereid om zich hiervoor in te spannen?

De cyberbeveiligingsverordening biedt marktpartijen in eerste instantie de mogelijkheid om op vrijwillige basis te certificeren.

De regering deelt uw beeld dat een duidelijk kader voor vrijwillige certificering een marktdynamiek in gang kan zetten waarbij steeds meer fabrikanten hun producten vrijwillig laten certificeren. Hiermee kunnen aanbieders en fabrikanten zich onderscheiden.

De regering zal daarnaast conform motie Paternotte c.s.2 blijven pleiten voor verplichte cybersecurity certificering op Europees niveau. In de cyberbeveiligingsverordening is opgenomen dat de Europese Commissie voor eind 2023 aan zal geven of bepaalde Europese cyberbeveiligingscertificeringsregelingen alsnog in de EU verplicht worden via aanvullende wet- en regelgeving.

De leden van de GroenLinks-fractie vragen waarom de regering er met het wetsvoorstel voor heeft gekozen om geen gebruik te maken van de mogelijkheid onder artikel 56 om certificering verplicht te stellen.

De regering is er voorstander van dat op Europees niveau besloten wordt om cyberbeveiligingscertificering te verplichten en niet op nationaal niveau. Hiermee ontstaat meer uniformiteit inzake de cyberbeveiliging, wordt het gelijke speelveld in de digitale interne markt behouden en de concurrentiepositie van Nederlandse bedrijven versterkt.

De leden van de GroenLinks-fractie lezen dat bij de uitwerking van specifieke certificeringsregelingen nader ingegaan zal worden op de wijze waarop voorheen onopgemerkte kwetsbaarheden moeten worden aangepakt, door middel van passende regels inzake updates, hacks of patches. Klopt het dat de wijze waarop dat wordt gedaan niet verder wordt ingevuld en dat het daarmee mogelijk blijft dat een certificeringsregeling slechts lichte vereisten stelt op dit gebied? In hoeverre vormt dat een risico? Waarom zijn de minimumvereisten ten aanzien van de omgang met updates, hacks of patches niet opgenomen in de verordening, en in de uitvoeringswet daarvan, zelf?

De cyberbeveiligingsverordening biedt een kader om Europese cyberbeveiligingscertificeringsregelingen te ontwikkelen voor ICT-producten, ICT-diensten en ICT-processen. De regels omtrent het beschikbaar stellen en uitvoeren van updates en de wijze waarop voorheen onopgemerkte kwetsbaarheden in de cyberbeveiliging, zoals bijvoorbeeld een hack, moeten worden aangepakt zijn inderdaad niet in de cyberbeveiligingsverordening zelf opgenomen maar zullen een onderdeel zijn van iedere Europese cyberbeveiligingscertificeringsregeling (artikel 51, aanhef en onder j, respectievelijk artikel 54, eerste lid, aanhef en onder m, van de cyberbeveiligingsverordening). Omdat deze regels geen deel uitmaken van de cyberbeveiligingsverordening, zijn die niet in het onderhavige wetsvoorstel opgenomen.

De op grond van de cyberbeveiligingsverordening vastgestelde certificeringsregelingen hebben onder meer als doelstelling dat ICT-producten, -diensten en -processen worden geleverd met actuele software en hardware die geen algemeen bekende kwetsbaarheden bevatten, en met mechanismen voor beveiligde updates (artikel 51, aanhef en onder j, van de cyberbeveiligingsverordening).

De passende regels inzake updates, hacks of patches en de gevolgen van de updates, hacks of patches voor het zekerheidsniveau en het afgegeven certificaat zullen dus per afzonderlijke Europese cyberveiligheidscertificeringsregeling moeten worden bepaald. Deze en andere regels kunnen per certificeringsregeling verschillen, aangezien deze betrekking zullen hebben op verschillende categorieën van ICT-producten, -diensten en -processen en zullen sterk verbonden zijn aan het betreffende zekerheidsniveau, zodat er tegemoet wordt gekomen aan de verschillende onderlinge eigenschappen van ICT-producten, -diensten en -processen.

De regering zal bij de uitwerking van specifieke Europese cyberbeveiligingscertificeringsregelingen erop toezien dat de regels inzake updates, hacks of patches voldoende zijn.

De leden van de D66-fractie horen graag of verwacht wordt dat een evaluatie om de vijf jaar op vastgestelde Europese cyberbeveiligingscertificeringsregeling, door ENISA, voldoende recht doet aan de snel veranderende sector waar de verordening op toeziet. Deze leden horen graag of de regels bij cyberbeveiligingscertificeringsregling omtrent het beschikbaar stellen van updates universeel zullen zijn en welke termijnen momenteel hiertoe overwogen worden.

Op grond van de cyberbeveiligingsverordening worden de Europese cyberbeveiligingscertificeringsregelingen in elk geval om de vijf jaar geëvalueerd. Zoals eerder aangegeven in antwoord op een vraag van de leden van de VVD-fractie, zal deze evaluatie betrekking hebben op de inhoud van de regeling – de cyberbeveiligingsnormen, evaluatiemethoden en accreditatievoorwaarden. De periode van maximaal vijf jaar is gekozen omdat aan de ene kant technologie en cyberdreigingen voortdurend in beweging zijn en, aan de andere kant, certificeringsregelingen hanteerbaar moeten zijn voor aanbieders, certificerende instelling en testlaboratoria en dus niet kort cyclisch kunnen veranderen.

Het is echter ook van belang dat de Europese cyberveiligheidscertificeringsregeling zelf voldoende mogelijkheid biedt om recht te doen aan de snel veranderende sector. In de certificeringsregelingen zullen de eisen daarom zo zijn opgesteld dat bij de toetsing en gedurende de levenscyclus van producten, diensten en processen er rekening gehouden moet worden met de actuele cyberdreigingen en kwetsbaarheden. De bedoelde regels zullen per certificeringsregeling zijn aangepast op de producten, diensten en processen waarvoor de regeling is bedoeld. Er is dan ook per Europese cyberbeveiligingscertificeringsregeling de noodzaak voor maatwerk.

De leden van de CDA-fractie constateren dat de cyberbeveiligingscertificeringsregelingen de basis vormen van de uitgifte van de cyberbeveiligingscertificaten en Europese Unie-conformiteitsverklaringen. Deze uitgifte geschiedt nationaal, door ofwel een conformiteitsbeoordelingsinstantie (zekerheidsniveaus «basis» en «substantieel») ofwel de nationale cyberbeveiligingscertificeringsautoriteit (zekerheidsniveau «hoog»). Kan de regering deze verschillende zekerheidsniveaus met voorbeelden toelichten?

Het aantal eisen en de zwaarte van de eisen in een Europese cyberbeveiligingscertificeringsregeling neemt toe naarmate het zekerheidsniveau stijgt en dit kan eveneens gelden voor de zwaarte van de toetsing in het kader van de certificering.

Zolang de specifieke certificeringsregelingen niet beschikbaar zijn, zijn de verschillen in zekerheidsniveau alleen op een generieke wijze aan te geven.

Een Europees cyberbeveiligingscertificaat of EU-conformiteitsverklaring voor het zekerheidsniveau «basis» biedt de zekerheid dat de ICT-producten, -diensten en -processen waarvoor dat certificaat of die EU-conformiteitsverklaring is afgegeven, voldoen aan de overeenkomstige beveiligingsvoorschriften, waaronder beveiligingsfuncties, en dat zij geëvalueerd zijn op het niveau dat bedoeld is om de bekende basisrisico’s van cyberincidenten en cyberaanvallen tot een minimum te beperken. De te ondernemen evaluatiewerkzaamheden behelzen ten minste een toetsing van technische documenten. Indien een dergelijke toetsing niet geschikt is, worden vervangende gelijkwaardige evaluatiewerkzaamheden ondernomen.

Een Europees cyberbeveiligingscertificaat voor het zekerheidsniveau «substantieel», biedt de zekerheid dat de ICT-producten, -diensten en -processen waarvoor dat certificaat is afgegeven, voldoen aan de overeenkomstige beveiligingsvoorschriften, waaronder beveiligingsfuncties, en dat zij geëvalueerd zijn op een niveau dat bedoeld is om de bekende cyberbeveiligingsrisico’s, en het risico op cyberincidenten en cyberaanvallen door actoren met beperkte vaardigheden en middelen, tot een minimum te beperken. De te ondernemen evaluatiewerkzaamheden behelzen ten minste het volgende: verifiëren dat er geen algemeen bekende kwetsbaarheden zijn, en testen of bij de ICT-producten, -diensten of -processen de benodigde beveiligingsfuncties correct worden toegepast. Indien dergelijke evaluatiewerkzaamheden niet geschikt zijn, worden vervangende gelijkwaardige evaluatiewerkzaamheden ondernomen.

Een Europees cyberbeveiligingscertificaat voor het zekerheidsniveau «hoog» biedt de zekerheid dat de ICT-producten, -diensten en -processen waarvoor dat certificaat is afgegeven, voldoen aan de overeenkomstige beveiligingsvoorschriften, waaronder beveiligingsfuncties, en dat zij geëvalueerd zijn op een niveau dat bedoeld is om het risico van geavanceerde cyberaanvallen door actoren met aanzienlijke vaardigheden en middelen, tot een minimum te beperken.

De leden van de SP-fractie vragen in welke mate lidstaten kiezen voor het laten verstrekken van nationale cyberbeveiligingscertificaten voor zekerheidsniveau hoog door de nationale cyberbeveiligingscertificeringsautoriteit dan wel door een conformiteitsbeoordelingsinstantie. Welke gevolgen heeft het gebruik van verschillende regimes voor de wederzijdse erkenning?

Op dit moment is nog onvoldoende duidelijk in welke mate lidstaten kiezen voor het laten verstrekken van nationale cyberbeveiligingscertificaten voor zekerheidsniveau hoog door de nationale cyberbeveiligingscertificeringsautoriteit dan wel door een conformiteitsbeoordelingsinstantie. Het gebruik van verschillende regimes voor de uitgifte van Europese cyberbeveiligingscertificaten met zekerheidsniveau hoog heeft geen gevolgen voor de wederzijdse erkenning van deze certificaten. Het maakt voor wederzijdse erkenning dus niet uit of een certificaat met zekerheidsniveau hoog wordt afgegeven door een nationale cyberbeveiligingscertificeringsautoriteit dan wel door een conformiteitsbeoordelingsinstantie.

De leden van de GroenLinks-fractie lezen dat de verordening ruimte biedt voor conformiteitszelfbeoordelingen door fabrikanten waar het gaat om ICT-producten, -diensten en -processen met een laag risico. Waarom is deze mogelijkheid geboden, zo vragen deze leden? Erkent de regering dat de gevolgen van een cybersecurity incident rond een product met laag risico alsnog serieus kunnen zijn? Wat zijn de risico’s van de mogelijkheid tot zelfbeoordeling, en op welke wijze worden die gemitigeerd?

De regering erkent dat er ook risico’s zijn verbonden aan producten met een laag risico. Deze risico’s zijn echter meer beperkt en hebben naar verwachting een minder ontwrichtend karakter. Het gaat immers om producten met een geringe complexiteit. Om de risico’s bij conformiteitszelfbeoordeling te beperken, is een aantal voorwaarden gesteld aan de conformiteitszelfbeoordeling. De mogelijkheid van conformiteitszelfbeoordeling dient expliciet te zijn bepaald in de desbetreffende Europese cyberbeveiligingscertificeringsregeling en wordt enkel geschikt geacht voor ICT-producten, -diensten en -processen met een geringe complexiteit (eenvoudig ontwerp en productiemechanismen) die een laag risico voor het openbaar belang opleveren. Voorts dient conformiteitszelfbeoordeling ten aanzien van ICT-producten, -diensten of -processen alleen te worden toegestaan wanneer deze zekerheidsniveau «basis» hebben. Bovendien is het toezichthoudende kader onverkort van toepassing op de EU-conformiteitsverklaringen die zijn afgegeven na de conformiteitszelfbeoordeling.

Bij het opstellen van de cyberbeveiligingsverordening hebben de lidstaten de mogelijkheid voor conformiteitszelfbeoordeling niet willen uitsluiten omwille van de volledigheid en toepasselijkheid van het zekerheidsmodel. Per Europese cyberbeveiligingscertificeringsregeling wordt echter bepaald of een conformiteitzelfbeoordeling afhankelijk van de risico’s kan worden toegepast.

De leden van de CDA-fractie lezen in een bijlage bij de cyberbeveiligingsverordening de vereisten waaraan een conformiteitsbeoordelingsinstantie moet voldoen om te worden geaccrediteerd om Europese cyberbeveiligingscertificaten te kunnen verstrekken. Hoeveel van deze instanties zijn er momenteel in Nederland?

Conformiteitsbeoordelingsinstanties kunnen voor een Europese cyberbeveiligingscertificeringsregeling worden geaccrediteerd op het moment dat die regeling beschikbaar is. Dat is op dit moment nog niet het geval. De markt van conformiteitsbeoordelingsinstanties is in beweging met fusies en overnames. Er zijn meer dan twintig conformiteitsbeoordelingsinstanties in Nederland actief. Een deel daarvan is op dit moment al actief op het terrein van cybersecurity, een ander deel mogelijk in de toekomst. De keuze om zich te laten accrediteren is aan de conformiteitsbeoordelingsinstantie zelf en afhankelijk van eigen zakelijke afwegingen.

De leden van de SP-fractie vragen welke belangen conformiteitsbeoordelingsinstanties hebben bij het verstrekken van cyberbeveiligingscertificaten.

De onafhankelijkheid van conformiteitsbeoordelingsinstanties is een kernvoorwaarde van het accreditatiestelsel. Een conformiteitsbeoordelingsinstantie heeft geen belang bij het verstrekken van een certificaat. Het verdienmodel van de conformiteitsbeoordelingsinstantie is gebaseerd op de aanvraag van een certificaat en niet op afgifte. De Raad voor Accreditatie houdt toezicht op de geaccrediteerde conformiteitsbeoordelingsinstanties. De accreditatie ziet toe op onpartijdigheid, competentie en consistente bedrijfsvoering.

De leden van de CDA-fractie vragen op welke datum de cyberbeveiligingsverordening moet zijn geïmplementeerd in nationale wetgeving en of de verwachting is dat zowel Nederland als andere lidstaten deze deadline zullen halen.

Op 27 juni 2019 is de Europese cyberbeveiligingsverordening grotendeels in werking getreden. Een aantal bepalingen dient uiterlijk op 28 juni 2021 geïmplementeerd te zijn. Het onderhavige wetsvoorstel geeft uitvoering aan deze verordening. Gezien de fase waarin het wetsvoorstel zich thans bevindt, zal de implementatiedatum licht worden overschreden. De verwachting is dat het grote merendeel van de lidstaten de deadline niet zal halen.

De leden van de CDA-fractie vragen de regering of zij de overeenkomsten en verschillen met de huidige CE-markering kan schetsen. Deze leden vragen tevens of de regering kan aangeven hoe de cyberbeveiligingscertificering in de Verenigde Staten is georganiseerd. Zijn er parallellen met wat nu in Europa wordt voorgesteld?

De CE-markering is onderdeel van het Europese raamwerk van richtlijnen voor productveiligheid, het zogenaamde Nieuwe wetgevingskader (NWK). De richtlijnen reguleren de productveiligheidseisen voor toegang tot de Europese interne markt, inclusief toezicht. De radioapparatenrichtlijn is een voorbeeld van een richtlijn uit dit raamwerk. De cyberbeveiligingsverordening staat naast het systeem van de CE-markering en kent een aantal verschillen. De cyberbeveiligingsverordening heeft een bredere scope dan fysieke producten, namelijk ICT-producten, -diensten en -processen en de Europese cyberbeveiligingscertificeringsregelingen kunnen meerdere veiligheidsniveaus bevatten. Daarnaast is de cyberbeveiligingsverordening een vrijwillig systeem van certificering die geen betrekking heeft op markttoegang tot de Europese interne markt. Op basis van de Roadmap Digitaal Veilige Hard- en Software zet Nederland in op zowel cybersecurity certificering van ICT-producten, diensten en processen via de cyberbeveiligingsverordening als op het realiseren van cybersecurity minimumeisen voor Internet of Things (IoT)-apparaten via de Europese radioapparatenrichtlijn3. Beide maatregelen kunnen op het gebied van IoT-apparaten complementair aan elkaar worden ingevuld.

De aanpak in de Verenigde Staten (VS) lijkt op die van de Europese Unie, ondanks de constitutionele verschillen, want de verhouding van de Staten in de VS tot het Federale niveau is niet volledig vergelijkbaar met de verhouding tussen de EU en de soevereine lidstaten.

De VS beschikt over een federaal standaardisatie instituut, NIST, dat op ook op het terrein van cybersecurity standaarden uitbrengt. Deze standaarden worden in federale regelgeving opgenomen als richtinggevend voor federale en statelijke -organisaties die zich over de naleving moeten verantwoorden. De private organisaties die onderhevig zijn aan de regelgeving, bijvoorbeeld als onderdeel van een vitale infrastructuur in een staat moeten zich over de naleving verantwoorden naar hun «ministerie». Bij een dergelijke verantwoording door organisaties worden veelal onafhankelijke private auditbedrijven ingehuurd die aan de hand van de NIST-standaarden een toetsing uitvoeren en daarover een conformiteitsverklaring afgegeven. Het gebruik van het specifieke construct van ISO-certificatie is in de VS niet heel breed verbreidt.

De leden van de VVD-fractie achten het positief dat het Agentschap Telecom (AT) wordt aangewezen als nationale autoriteit van deze cyberbeveiligingsverordening gezien de geruime ervaring op het gebied van toezichthoudende werkzaamheden op het digitale domein. Echter, deze leden willen benadrukken dat het beleggen van deze taken bij de Agentschap Telecom een zekere mate van capaciteit vereist en dat andere, huidige taken niet in het geding mogen komen. Hoeveel fulltime equivalent (FTE) gaat de taak van nationale autoriteit naar uw inschatting vereisen? Beschikt het Agentschap Telecom over deze capaciteit?

De regering zet in op versterking en behoud van een relatief sterke cyberbeveiligingscertificeringsmarkt. De taken voor toezicht en uitvoering van de cyberbeveiligingsverordening zullen groeien met het aantal Europese cyberbeveiligingscertificeringsregelingen dat door de Europese Commissie wordt vastgesteld. AT is als nationale cybersecuritycertificeringsautoriteit vanaf de start betrokken bij de ontwikkeling van Europese cyberbeveiligingscertificeringsregelingen en maakt daarmee tijdig een dynamische inschatting van de benodigde extra kennis en capaciteit en van het moment waarop die capaciteit in huis moet zijn gehaald. De bijbehorende extra financiële middelen voor deze nieuwe taak worden aan AT beschikbaar gesteld en op de ontwikkeling aangepast. De extra taken gaan dus niet ten koste van de bestaande taken van AT.

De voorbereiding op deze taken loopt sinds de tweede helft van 2019. Het jaar 2021 moet worden gezien als de bouwfase. Naast de op te bouwen taken voor certificering en toezicht in het kader van de cyberbeveiligingsverordening is tevens capaciteit vrijgemaakt voor de noodzakelijke betrokkenheid bij de ontwikkelfase van lopende nieuwe Europese cyberbeveiligingscertificeringsregelingen. In de projectbegroting voor 2021 zijn in totaal 7 FTE opgenomen waarvan ongeveer 3FTE inzet van bestaand personeel betreft en 4 FTE al van buiten is aangetrokken of nog wordt aangetrokken. De verwachting is dat het aantal betrokken FTE zal groeien in de aankomende jaren met het aantal Europese cyberbeveiligingscertificeringsregelingen en certificeringen, echter het is op dit moment niet aan te geven in welke mate en tempo.

De leden van de CDA-fractie constateren dat volgens het wetsvoorstel de uitvoering van de taken van de Nationale cyberbeveiligingscertificeringsautoriteit berust bij het Agentschap Telecom. Het AT is in het digitale domein zowel uitvoerder als toezichthouder. Kan de regering de keuze voor het AT als uitvoerder nog eens beargumenteren? Vindt zij dit naast de meest effectieve/efficiënte ook de meeste wenselijke oplossing? Heeft het AT thans voldoende slagkracht om deze extra taken erbij te kunnen nemen? Indien niet, wat heeft het AT nodig om zowel haar nieuwe als bestaande taken optimaal te kunnen doen?

Zoals eerder vermeld in de beantwoording van een vraag van de leden van de CDA-fractie over aanwijzing van een nationale cyberbeveiligingscertificeringsautoriteit heeft de regering ervoor gekozen om de taken van de nationale cyberbeveiligingscertificeringsautoriteit bij Agentschap Telecom onder te brengen wegens de geruime ervaring die organisatie heeft met zowel uitvoerende als, afdoende daarvan gescheiden, toezichthoudende werkzaamheden binnen het digitale domein. Ik verwijs dan ook verder naar de eerdere beantwoording.

De slagkracht van Agentschap Telecom zal voldoende zijn en mee gaan groeien met het aantal Europese cybersecuritycertificeringsregelingen en aantal certificeringen. De organisatie wordt immers specifiek gefinancierd om de taken van nationale cyberbeveiligingscertificeringsautoriteit naar behoren uit te kunnen oefenen.

De leden van de GroenLinks-fractie begrijpen de keuze voor het AT als de Nederlandse uitvoerder van de taken die vallen onder de nationale cyberbeveiligingscertificeringsautoriteit. Wat betekent deze uitbreiding van het takenpakket voor de benodigde capaciteit bij het Agentschap Telecom? Ook vragen deze leden op welke wijze de relevante instanties die onder de Minister van Justitie & Veiligheid vallen, zoals het Nationale Cybersecurity Centrum (NCSC), betrokken worden bij de uitvoering van deze taken?

De uitvoering van het takenpakket betekent dat Agentschap Telecom over meer personele en materiele middelen dient te beschikken. Hiermee wordt rekening gehouden in de financiering van de organisatie.

Om haar taken goed uit te kunnen oefenen zal Agentschap Telecom relaties onderhouden met andere relevante overheidsinstanties. De Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) is bij dit dossier betrokken in het kader van zijn coördinerende rol op gebied van digitale weerbaarheid. AT kan eveneens een beroep doen op het NCSC vanuit diens operationele, adviserende rol op het gebied van cybersecurity. Ook zal er samenwerking plaatsvinden met de Algemene Inlichtingen- en Veiligheidsdienst wegens haar ervaring inzake certificering op het gebied van cyberbeveiliging.

De leden van de CDA-fractie lezen in de memorie van toelichting dat fabrikanten en aanbieders gevestigd in andere lidstaten en derde landen een conformiteitsbeoordeling kunnen laten uitvoeren in Nederland. Geldt dit ook andersom, of zijn er ook (derde) landen waar een conformiteitsbeoordeling voor Nederlandse fabrikanten en aanbieders niet mogelijk is (wederkerigheid)?

Nederlandse fabrikanten en aanbieders kunnen in een andere lidstaat van de EU een conformiteitsbeoordeling laten verrichten. Aanbieders kunnen in derde landen geen Europees cyberbeveiligingscertificaat verkrijgen. De cyberbeveiligingsverordening en de Europese cyberbeveiligingscertificeringsregelingen zijn immers alleen in de EU van toepassing.

De leden van de CDA-fractie constateren dat Nederlandse conformiteitsbeoordelingsinstanties in Nederland geaccrediteerd moeten te zijn. Dienen zij ook uit Nederland afkomstig te zijn, of is het mogelijk dat een buitenlandse organisatie uit bijvoorbeeld China een accreditatie krijgt om in Nederland conformiteitsbeoordelingen te doen?

De regels voor accreditatie zijn wettelijk vastgelegd. De Raad voor Accreditatie heeft deze regels vervat in beleidsregels en op haar website gepubliceerd. Binnen de Europese Unie moet een conformiteitsbeoordelingsinstantie, op basis van verordening EU 765/20084, accreditatie aanvragen bij haar nationale accreditatie instantie. Om in Nederland een accreditatie te verkrijgen moet een organisatie een vestiging in Nederland hebben waarbij de eis is dat een substantieel deel van de activiteiten ook door die Nederlandse vestiging worden uitgevoerd.

De leden van de VVD-fractie lezen in de memorie van toelichting dat deelname van fabrikanten en aanbieders aan de cyberbeveiligingscertificeringsregelingen vooralsnog vrijwillig is. Dit overwegende, hoe beoordeelt de regering deze mate van vrijwilligheid in het licht van de doelmatigheid van deze wet? Hoe beoordeelt de regering vrijwilligheid bij certificering van producten met een hoog zekerheidsniveau? Deelt de regering de mening dat een verplichtend karakter verstandig kan zijn bij certificering van producten met hoge zekerheidsniveaus in verband met de grote maatschappelijke en economische risico’s die verbonden zijn aan deze categorie?

De regering deelt de mening dat een verplichte cybersecurity certificering wenselijk is en zal zich conform de motie Paternotte c.s. blijven inzetten voor verplichte cybersecuritycertificering op Europees niveau.5. Dit geldt ook voor verplichte certificering voor zekerheidsniveau hoog. Risico’s, verplichtingen en zekerheidsniveaus staan inderdaad met elkaar in relatie. In de Europese besluitvorming over certificeringsverplichtingen zullen maatschappelijke en economische aspecten en risico’s worden betrokken.

De leden van de CDA-fractie constateren dat de regering met dit wetsvoorstel kiest voor een goedkeuringsmodel, met voorafgaande goedkeuring door de nationale autoriteit, waarbij zowel de markt als de nationale autoriteit actief betrokken zijn bij de conformiteitsbeoordeling. Dit om efficiënt te kunnen inspelen op behoeftes van fabrikanten en leveranciers en wegens hun deskundigheid enerzijds en vanuit kostenoogpunt anderzijds. Zitten hier ook risico’s aan, bijvoorbeeld in situaties wanneer de druk op overheidsbudgetten groot is?

De regering voorziet geen dergelijke risico’s bij dit model. De inzet vanuit de overheid is vanuit het perspectief van kosten juist zo efficiënt mogelijk voorzien. Door middel van het voorgestelde marktgeoriënteerde nationale stelsel maken bedrijven gebruik van de capaciteit, expertise en schaalbaarheid van marktpartijen voor conformiteitbeoordelingen. De voorgestelde inrichting van het nationale stelsel biedt ook economische kansen voor Nederlandse cybersecurity bedrijven om zich te ontwikkelen als conformiteitsbeoordelingsinstantie onder de verordening. De regering is van mening dat deze inrichting van het nationale stelsel Nederland aantrekkelijker maakt voor bedrijven om hun ICT-producten, -diensten en -processen te laten certificeren in Nederland.

De leden van de CDA-fractie constateren dat een certificatietraject voor zekerheidsniveau «hoog» doorgaans een langdurig en kostbaar traject is, waarbij aanzienlijke investeringen van de opdrachtgevers worden gevraagd. Hierom is gekozen voor een goedkeuringsmodel, met een hoge mate van zekerheid en voorspelbaarheid, bedoeld om onnodige kosten te beperken. Wordt de keuze voor dit model door opdrachtgevers en andere stakeholders gesteund?

Vanuit een aantal fabrikanten, aanbieders, conformiteitsbeoordelingsinstanties en evaluatielaboratoria is positief gereageerd op de keuze voor dit model. Dit kwam naar voren in contact met de overheid, onder andere tijdens het experiment voor de opkomende Europese cyberbeveiligingscertificeringsregeling voor clouddiensten.

De leden van de CDA-fractie lezen in de memorie van toelichting de schets van de goedkeuringsprocedure, die zal worden opgedeeld in meerdere stappen. De conformiteitsbeoordelingsinstantie doet melding bij de nationale autoriteit dat een certificeringstraject wordt gestart, legt het onderzoeksplan ter goedkeuring voor aan de nationale autoriteit, legt het onderzoeksrapport en het bijhorende Europese cyberbeveiligingscertificaat dat de conformiteitsbeoordelingsinstantie voornemens is af te geven ter goedkeuring voor aan de nationale autoriteit en geeft het Europese cyberbeveiligingscertificaat af na goedkeuring door de nationale autoriteit.

De leden van de CDA-fractie vragen of met deze procedure/dit model/deze werkwijze geoefend of ervaring opgedaan is. Indien ja, wat waren de uitkomsten daarvan? Waren alle stakeholders hierbij betrokken?

De optie van het goedkeuringsmodel is op aandringen van Nederland in de cyberbeveiligingsverordening opgenomen. Een van de redenen hiervoor was dat dit goedkeuringsmodel ruimte geeft om de huidige werkwijze onder het Nederlandse Schema voor Certificatie op het gebied van IT-Beveiliging (NSCIB), waar goede ervaring mee was, voort te zetten, en optimaal gebruik te maken van de kracht, flexibiliteit en schaalbaarheid van de certificeringsmarkt.

De stakeholders worden nu ook betrokken bij de uitwerking van het goedkeuringsmodel bij de specifieke cyberbeveiligingsregelingen. Zo loopt nu ook een experiment (proof of concept) voor de opkomende Europese cyberbeveiligingscertificeringsregeling voor clouddiensten. De resultaten worden binnenkort met Enisa gedeeld.

De leden van de CDA-fractie vragen of de regering kan aangeven wat de (maximale) termijnen/doorlooptijden zijn voor eerdergenoemde stappen, zodat een beeld kan worden gevormd van hoe lang een certificeringstraject kan duren. Verwacht de regering dat een lang en kostbaar certificeringstraject opdrachtgevers kan afschrikken om aan vrijwillige certificering mee te doen, waardoor zowel de verordening als het wetsvoorstel hun doel voorbijschieten?

Aan de conformiteitsbeoordeling zijn reeds bepaalde doorlooptijden en kosten verbonden. Bij de ontwikkeling bij Europese cyberbeveiligingscertificeringsregelingen wordt nadrukkelijk aandacht besteed aan kosteneffectiviteit en uitvoerbaarheid van de regelingen.

Bij de afgifte van een cyberbeveiligingscertificaat met zekerheidsniveau «hoog» voorziet het wetsvoorstel een rol voor de nationale cyberbeveiligingscertificeringsautoriteit. Het afgeven van formele goedkeuring door de nationale cyberbeveiligingscertificeringautoriteit bij certificaten met zekerheidsniveau hoog, aan het onderzoeksplan en de uitreiking van het certificaat is gebonden aan een wettelijke beslistermijn van acht weken met de mogelijkheid tot eenmalige verlenging tot zes weken.

De leden van de CDA-fractie constateren dat de nationale autoriteit ten behoeve van haar besluitvorming advies kan vragen van andere (overheids-)organisaties, zoals de Algemene Inlichtingen- en Veiligheidsdienst (AIVD). Dit advies is echter niet-bindend van aard. Waarom is hiervoor gekozen? Acht de regering het voorstelbaar dat de nationale autoriteit een advies van de AIVD naast haar neerlegt? In welke situaties? Zou dit geen veiligheidsrisico’s met zich meebrengen?

Agentschap Telecom kan advies vragen van andere (overheids-)organisaties, zoals de Algemene Inlichtingen- en Veiligheidsdienst (AIVD). Dit kunnen ook andere (overheids-)organisaties zijn, zoals bijvoorbeeld het NCSC. Dit advies is niet-bindend van aard. Agentschap Telecom dient als nationale cyberbeveiligingscertificeringsautoriteit een zelfstandige afweging te maken om tot een besluit te komen, rekening houdend met alle relevante informatie. Uiteraard spelen veiligheidsrisico’s hierbij een belangrijke rol.

De leden van de CDA-fractie lezen in de memorie van toelichting dat gegevens die de nationale autoriteit in het kader van het goedkeuringsproces en het uitoefenen van een beperkt aantal toezichthoudende taken verkrijgt voor zekerheidsniveau «hoog» uitgezonderd zijn van de toepassing van de Wet openbaarheid van bestuur, ter bescherming van de openbare veiligheid en de concurrentiepositie van bedrijven. Dit lijkt deze leden goed en belangrijk.

De leden van de CDA-fractie lezen verder dat de Wet openbaarheid van bestuur wel van toepassing is op de uitoefening van alle overige toezichthoudende taken met betrekking tot cyberbeveiligingscertificaten met zekerheidsniveau «hoog» (artikelen 58, zevende lid, onderdelen b, c, d, e, f, g en i van de cyberbeveiligingsverordening) op alle toezichthoudende taken inzake cyberbeveiligingscertificaten met zekerheidsniveaus «basis» en «substantieel». Brengt dit nog risico’s met zich mee?

De keuze met betrekking tot de beperking van het uitzonderen van de toepassing van de Wet openbaarheid bestuur (Wob) tot cyberbeveiligingscertificaten met zekerheidsniveau niveau «hoog» is gebaseerd op de grote risico’s die ICT-producten, -processen of -diensten die gecertificeerd zijn voor dit zekerheidsniveau met zich kunnen brengen. Gegevens die zijn verkregen in het kader van het goedkeuringsproces en het uitoefenen van toezichthoudende taken kunnen kwetsbare (veiligheids-)informatie bevatten en de openbaarmaking ervan zou aanzienlijke negatieve gevolgen kunnen hebben op het openbare leven.

De regering is van oordeel dat eventuele risico’s bij openbaarmaking van informatie omtrent cyberbeveiligingscertificaten met zekerheidsniveaus «basis» en «substantieel» voldoende kunnen worden ondervangen met de uitzonderingsgronden uit de Wob. In het kader van transparantie is ervoor gekozen om dergelijke informatie niet van de toepassing van de Wob uit te zonderen. In het geval van een Wob-verzoek zal getoetst worden of de gevraagde informatie openbaar kan worden gemaakt of dat een weigeringsgrond van toepassing is, zoals bijvoorbeeld de weigeringsgrond inzake bedrijfsvertrouwelijke gegevens. Het is, in laatste instantie, aan de rechter om te bepalen of de weigeringsgronden juist zijn toegepast.

De regering erkent dat openbaarmaking van informatie omtrent cyberbeveiligingscertificaten met zekerheidsniveaus «basis» en «substantieel» ook risico’s met zich meebrengt. Echter de maatschappelijke invloed van die risico’s acht de regering beperkter. In het kader van transparantie is ervoor gekozen om dergelijke informatie niet van de toepassing van de Wob uit te zonderen. Daarnaast zal in het geval van een Wob-verzoek uiteraard getoetst worden of de gevraagde informatie openbaar kan worden gemaakt of dat een weigeringsgrond van toepassing is, zoals bijvoorbeeld de weigeringsgrond inzake bedrijfsvertrouwelijke gegevens. Het is, in laatste instantie, aan de rechter om te bepalen of de weigeringsgronden juist zijn toegepast.

De leden van de SP-fractie lezen dat in de memorie van toelichting wordt gesteld dat Nederland goede ervaringen heeft met modellen waarbij de markt wordt ingezet. Kan worden toegelicht welke modellen dit zijn?

Een voorbeeld is het Nederlandse Schema voor Certificatie op het gebied van IT-Beveiliging (NSCIB), waarbij de conformiteitsbeoordeling wordt uitgevoerd door conformiteitsbeoordelingsinstanties, en waarbij de overheid, in de vorm van de NBV, een rol heeft. Deze positieve ervaringen hebben bijgedragen aan de nationale inrichting in dit wetsvoorstel om conformiteitsbeoordeling op het niveau «hoog» door marktpartijen te laten uitvoeren met betrokkenheid van de nationale cyberbeveiligingscertificeringsautoriteit.

De leden van de VVD-fractie lezen met verbazing dat de extra regeldruk voor bedrijven «iets anders ligt» dan voor burgers. Deze leden behoeven meer toelichting van de regering wanneer het gaat om de extra kosten en uren die hiermee gemoeid zijn voor (kleine) ondernemers. Vanzelfsprekend zijn deze leden zich bewust van de noodzaak om strengere eisen te stellen aan de producten/diensten en processen van vitale aanbieders. Deze leden vragen in hoeverre het wenselijk is dat ondernemers in het midden- en kleinbedrijf te maken krijgen met dezelfde regeldruk als grote vitale aanbieders in het geval van eventuele verplichting. Hoe beoordeelt de regering de proportionaliteit van het voorliggende wetsvoorstel in het licht van de verplichtingen die hiervoor worden aangegaan door kleine ondernemers ten opzichte van de grootte en functie van deze bedrijven? Is de regering bereid om meer inzicht te geven in de eventuele extra regeldruk voor bedrijven en specifiek kleine ondernemers?

De regering benadrukt dat het hier vooralsnog gaat om vrijwillige certificering. In hoeverre het midden- en kleinbedrijf hier gebruik van zal maken voor de ICT-producten, -diensten en -processen die zij aanbieden, is een bedrijfsmatige afweging. Zo geldt dat ook voor de keuze voor certificaten met zekerheidsniveau hoog, substantieel of basis. De regering is zich terdege bewust van het belang om ook het klein en middenbedrijf te stimuleren, en zet zich hier op Europees niveau voor in. Wat betreft een eventuele verplichte certificering geldt dat ook hier indien nodig onderscheid gemaakt zou kunnen worden. De regering zal het belang van regeldruk voor het midden- en kleinbedrijf meewegen wanneer in de EU een eventuele verplichting aan de orde is.

De regering acht het wetsvoorstel proportioneel. Het wetsvoorstel betreft een implementatie van een verordening die rechtstreeks van toepassing is en kent geen tot nauwelijks beoordelingsruimte.

De leden van de CDA-fractie lezen in de memorie van toelichting dat momenteel nog niet duidelijk is hoeveel Europese cyberbeveiligingscertificeringsregelingen er zullen komen, op welke ICT-producten, -processen, of -diensten deze cyberbeveiligingscertificeringsregelingen betrekking zullen hebben, hoe deze regelingen eruit zullen zien en hoeveel er gebruik van zal worden gemaakt. Deze leden merken op dat het ontbreken van deze informatie het lastig maakt om de volledige (regeldruk)effecten van dit wetsvoorstel te overzien. Wanneer denkt de regering dat hierover meer bekend is?

Het is inderdaad complex om op dit moment de volledige (regeldruk) effecten van het wetsvoorstel in te schatten. Het wetsvoorstel geeft namelijk uitvoering aan een Europees certificeringskader dat op een later moment zal nader worden ingevuld door Europese cyberbeveiligingscertificeringsregelingen. De keuze voor een Europese cyberbeveiligingscertificeringsregeling wordt op Europees niveau gemaakt en de regelingen worden op Europees niveau vastgesteld en bepaald, en zijn vooralsnog vrijwillig.

Op het moment wordt gewerkt aan de eerste certificeringsregelingen, zoals de Europese cyberbeveiligingscertificeringsregeling voor ICT-beveiligingsproducten (EUCC). Naar verwachting wordt deze regeling in de tweede helft van dit jaar vastgesteld. Vervolgens zal in de loop van volgend jaar de cyberbeveiligingscertificeringsregeling inzake clouddiensten vastgelegd worden. Wanneer een Europese cyberbeveiligingscertificeringsregeling is vastgesteld, kan inzicht gegeven worden in de daaruit voortvloeiende regeldruk en kosten.

De leden van de ChristenUnie-fractie vragen wat de nog te verwachten Europese cyberbeveiligingscertificeringsregelingen voor invloed zullen hebben op de regeldruk en kosten voor bedrijven die ICT-producten, -diensten en -processen laten certificeren. Is er een mogelijkheid voor toezicht op of evaluatie van de regeldruk en kosten die de nog te verwachten Europese cyberbeveiligingscertificeringsregelingen mogelijk met zich meebrengen? Is hier bijvoorbeeld een rol voor de nationale cyberbeveiligingscertificeringsautoriteit weggelegd?

Iedere Europese cyberbeveiligingscertificeringsregeling zal verschillende gevolgen hebben voor regeldruk en kosten. De Europese cyberbeveiligingscertificeringsregelingen bevatten immers bepalingen die verplichtingen opleggen en welke effect kunnen hebben op kosten. Van belang is ook dat het vooralsnog gaat om vrijwillige certificering.

Bij de totstandkoming van een nieuwe Europese cyberbeveiligingscertificeringsregeling wordt nadrukkelijk aandacht besteed aan onder andere de regeldruk en kosten.

De leden van de CDA-fractie lezen in de memorie van toelichting dat er een opwaartse ontwikkeling zichtbaar is van het aantal certificeringen dat in Nederland wordt uitgevoerd. Kan de regering dit kwantificeren?

Het aantal certificeringen voor het Nederlandse Schema voor Certificatie op het gebied van IT-Beveiliging (NSCIB) is al een aantal jaren aan het groeien. In 2020 is het aantal nieuwe certificaten gegroeid van 30 in voorgaande jaren naar 54 certificaten. In de eerste prognose voor 2021 lijkt dit te stabiliseren maar betrokken marktpartijen houden rekening met verdere groei, ook onder de Europese certificeringsregeling voor ICT-beveiligingsproducten (EUCC) die het Nederlandse schema gaat vervangen.

Voor andere toekomstige Europese cyberbeveiligingscertificeringsregelingen is een dergelijke kwantificering niet mogelijk omdat er geen huidige praktijk bestaat.

De leden van de CDA-fractie constateren dat de kosten per certificering sterk kunnen verschillen en zijn afhankelijk van de eisen die een cyberbeveiligingscertificeringsregeling bevat per zekerheidsniveau, de complexiteit van een product, dienst of het proces dat wordt gecertificeerd, de aard van het product, dienst of proces dat moet worden gecertificeerd en de geldigheidsduur van een certificaat. Deze leden vragen of de ontwikkeling van deze kosten zal worden gemonitord.

Het is inderdaad niet mogelijk om op dit moment in generieke zin over de kostenontwikkeling van een Europees cyberbeveiligingscertificaat te spreken en die te monitoren. Uiteraard wordt bij de ontwikkeling van Europese cyberbeveiligingscertificeringsregelingen het aspect van kosteneffectiviteit steeds opnieuw vanaf de start van de ontwikkeling meegenomen. Immers de omvang en zwaarte van de certificeringseisen zijn uiteindelijk de bepalende aspecten voor de kosten van een certificering.

De leden van de CDA-fractie lezen in de memorie van toelichting dat de totale extra last voor een conformiteitsbeoordelingsinstantie wordt dan bij certificeringen op zekerheidsniveau «hoog» op 270 euro worden geschat. Het is een keuze van de conformiteitsbeoordelingsinstantie om deze kosten aan de aanbieder door te berekenen. Is de verwachting dat veel conformiteitsbeoordelingsinstanties dit zullen doen?

Conformiteitbeoordeling is een hoog arbeidsintensieve activiteit met beperkte marges. Het is daarom te verwachten dat conformiteitsbeoordelingsinstanties in principe alle kosten doorberekenen aan hun klanten. Het is echter aan de conformiteitsbeoordelingsinstanties om de prijs van hun diensten te bepalen.

De leden van de D66-fractie horen graag een nadere toelichting waarom er niet voor gekozen wordt om de omgang met updates of hacks vast te leggen in het wetsvoorstel, zoals voorgesteld wordt door zowel de Afdeling advisering van de Raad van State als verschillende inbrengen geleverd bij de internetconsultatie. Waarom zou het wenselijker zijn om dit middels en ministeriële regeling vast te leggen?

Zoals eerder aangegeven in antwoord op een vraag van de leden van de GroenLinks-fractie biedt de cyberbeveiligingsverordening een kader om Europese cyberbeveiligingscertificeringsregelingen te ontwikkelen voor ICT-producten, ICT-diensten en ICT-processen. De regels omtrent het beschikbaar stellen en uitvoeren van updates en de wijze waarop voorheen onopgemerkte kwetsbaarheden in de cyberbeveiliging, zoals bijvoorbeeld een hack, moeten worden aangepakt zijn inderdaad niet in de cyberbeveiligingsverordening zelf opgenomen maar zullen een onderdeel van iedere Europese cyberbeveiligingscertificeringsregeling zijn (artikel 51, aanhef en onder j, respectievelijk artikel 54, eerste lid, aanhef en onder m, van de cyberbeveiligingsverordening). Omdat deze regels geen deel uitmaken van de cyberbeveiligingsverordening, zijn die niet in het wetsvoorstel opgenomen.

Aan de Europese cyberbeveiligingscertificeringsregelingen kan uitvoering worden gegeven middels een ministeriële regeling. Artikel 7 van het wetsvoorstel voorziet in een delegatiegrondslag voor regels ter uitvoering van deze uitvoeringshandelingen indien en voor zover dat nodig is voor een goede uitvoering van de cyberbeveiligingsverordening of een Europese cyberbeveiligingscertificeringsregeling.

De leden van de CDA-fractie merken op dat twee organisaties in hun advies hebben gesteld dat de beslistermijnen van de goedkeuringsprocedure tot onnodige vertraging zullen leiden, met een mogelijk negatieve marktwerking in Nederland tot gevolg. De Algemene wet bestuursrecht (Awb) stelt dat een besluit binnen een redelijke termijn van maximaal acht weken genomen dient te worden. Het uitganspunt van de regering is dat de besluitvormingsprocessen binnen de autoriteit niet tot onnodige vertraging zullen gaan leiden en waar mogelijk gewerkt zal worden met standaardprocedures. Worden de doorlooptijden gemonitord?

Agentschap Telecom gaat de doorlooptijden inderdaad monitoren.

De leden van de CDA-fractie merken op dat het Adviescollege Toetsing Regeldruk (ATR) adviseert om aan de hand van scenario’s een indicatie van de totale regeldrukgevolgen in kaart te brengen van verplichte certificering van ICT-producten, -diensten en -processen. Dit is nu niet mogelijk, omdat veel relevante informatie nog niet bekend is. Is de regering voornemens in een later stadium alsnog het advies van het ATR op te volgen?

Wanneer middels Europese wetgeving wordt overgegaan tot verplichte certificering, zal de regering, overeenkomstig de gebruikelijke procedures, de regeldruk in kaart brengen en voorleggen aan het ATR.

De leden van de CDA-fractie merken op dat het AT adviseert om in het wetsvoorstel een grondslag op te nemen voor verplichte certificering op nationaal niveau, op grond waarvan het agentschap adequaat kan ingrijpen op «zich in de praktijk snel en onverwacht manifesterende cyberrisico’s». De regering neemt dit advies niet over, omdat het voorstander is van certificering op Europees niveau. Hoe denkt de regering op andere wijze aan de zorgen van het AT tegemoet te kunnen komen, daar het AT zelf schrijft dat «de bestaande bevoegdheden van het agentschap ontoereikend zijn om bij bepaalde risico’s te kunnen ingrijpen»?

AT adviseert om een grondslag op te nemen waarin certificering op nationaal niveau kan worden verplicht. Dit voorstel heeft de regering niet overgenomen. Ten aanzien hiervan dient opgemerkt te worden dat de regering inzet op verplichte certificering op Europees niveau. Hiermee ontstaat meer uniformiteit inzake de cyberbeveiliging, wordt het gelijke speelveld in de digitale interne markt behouden en de concurrentiepositie van Nederlandse bedrijven versterkt. Van belang is dat Nederland en Europa een integrale aanpak hebben om de digitale veiligheid te vergroten en bepaalde cyberbeveiligingsrisico’s te verminderen. Standaarden en certificering leveren daar een belangrijke bijdrage aan, maar daarnaast wordt er bijvoorbeeld ook op Europees niveau diverse wet- en regelgeving ontwikkeld die betrekking heeft op de cyberbeveiliging van ICT-producten, diensten en processen, zoals cybersecurityeisen voor IoT-apparaten onder de radioapparatenrichtlijn.

In afwachting van de verplichte Europese cyberbeveiligingscertificeringsregelingen zal het kabinet de markt stimuleren om gebruik te maken van de nieuwe Europese cybercertificeringsregelingen.

De leden van de ChristenUnie-fractie lezen in de memorie van toelichting dat wanneer een cyberbeveiligingscertificaat niet voldoet aan de Europese voorschriften, de cyberbeveiligingscertificeringsautoriteit kan ingrijpen. Als een ICT-product, -dienst of -proces niet voldoet aan de cyberbeveiligingsverordening kan echter niet worden ingegrepen door de nationale cyberbeveiligingscertificeringsautoriteit. Betekent dit dat wanneer een ICT-product, -dienst of -proces zonder certificaat wordt gebruikt er geen toezicht is op correcte cyberbeveiliging van het product, de dienst of het proces? Deze leden vragen bij wie de verantwoordelijkheid ligt van correcte cyberbeveiligingscertificering van ICT-producten, -diensten of -processen en eventuele gevolgen van incorrecte certificering voor de cyberbeveiliging.

Certificering onder de cyberbeveiligingsverordening is vrijwillig wat kan betekenen dat ook ongecertificeerde ICT-producten, diensten en processen kunnen worden gebruikt door afnemers. In het kader van de Europese cyberbeveiligingscertificeringsregelingen wordt alleen toezicht gehouden op de naleving van de eisen die de cybercertificeringsregeling stelt en dus betreft dit alleen gecertificeerde producten en diensten.

De keuze voor het gebruik van gecertificeerde producten en diensten is aan de afnemers van een ICT-product, dienst of proces tenzij andere wet- en regelgeving een dergelijke keuze voorschrijft. De cyberbeveiligingsverordening biedt een kader om Europese cyberbeveiligingscertificeringsregelingen te ontwikkelen voor ICT-producten, ICT-diensten en ICT-processen. De regels omtrent het toezicht en de gevolgen van niet-conformiteit zullen een onderdeel van iedere certificeringsregeling zijn. Het is derhalve op dit moment nog niet bekend welke gevolgen zullen intreden indien een ICT-product, -dienst of -proces niet meer aan een Europese cyberbeveiligingscertificeringsregeling voldoet.

De verantwoordelijkheid van correcte cyberbeveiligingscertificering ligt in eerste instantie bij het desbetreffende bedrijf die zijn ICT-product, diensten of proces certificeert of laat certificeren en bij de conformiteitsbeoordelingsinstanties die zijn geaccrediteerd om certificering op grond van Europese cyberbeveiligingscertificeringsregelingen te mogen uitvoeren. Eventuele gevolgen van incorrecte certificering zal daarom naast bij het desbetreffende bedrijf en bij conformiteitsbeoordelingsinstanties liggen.

De nationale cyberbeveiligingscertificeringsautoriteit houdt toezicht op de afgegeven certificaten.