Uitvoeringswet Cyberbeveiligingsverordening
De Uitvoeringswet Cyberbeveiligingsverordening introduceert het wettelijk kader voor Europese cyberbeveiligingscertificering van ICT-producten, -diensten en -processen. Tot op heden bestaat een dergelijk certificeringskader niet. Voorliggend voorstel beoogt hiermee om de digitale weerbaarheid van ICT-producten, -diensten en -processen te verbeteren en het vertrouwen in deze producten, diensten en processen te vergroten door Europese cyberbeveiligingscertificaten te verstrekken. Het voorstel legt tenslotte de aanwijzing van de nationale cyberbeveiligingscertificeringsautoriteit vast. De nationale cyberbeveiligingscertificeringsautoriteit is belast met het toezicht op het wettelijk kader. In Nederland is dit Agentschap Telecom. De verordening biedt nationale beleidsruimte. Nederland maakt gebruik van deze mogelijkheid om bij de uitgifte van certificaten met een hoog zekerheidsniveau te kiezen voor een model waarbij zowel de markt als de overheid betrokken is. Tenslotte is het nog relevant dat certificering op dit moment op vrijwillige basis wordt ingevoerd.
Nut en noodzaak van het voorstel zijn voldoende onderbouwd. Het college merkt in zijn advies echter wel op dat Nederland ter uitvoering van een motie die is aangenomen in de Tweede Kamer, inzet op verplichte certificering van ICT-producten, -diensten en -processen, zonder dat daarvan de (regeldruk)gevolgen duidelijk zijn. Deze gevolgen kunnen zeer substantieel zijn, afhankelijk van de reikwijdte van de verplichte certificering. Het college adviseert daarom om aan de hand van een aantal scenario’s een indicatie van de totale regeldrukgevolgen te geven. Het advies is om het voorstel niet in te dienen tenzij rekening is gehouden met de adviespunten. Het college merkt hierbij op dat dit advies geen oordeel bevat over de wenselijkheid certificering van ICT-producten, -diensten en -processen. Het ziet met name op het feit dat gewogen besluitvorming over certificering alleen mogelijk is op basis van een goed en volledig beeld van de regeldrukgevolgen van die certificering.