De beveiliging van persoonsgegevens (O&R nr. 135) 2022/7.2.2.2:7.2.2.2 De Cyberbeveiligingsverordening

De beveiliging van persoonsgegevens (O&R nr. 135) 2022/7.2.2.2

7.2.2.2 De Cyberbeveiligingsverordening

Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.

Een regeling waar ik op deze plek specifiek op in wil gaan, is de Cyberbeveiligingsverordening. De regels uit de cyberbeveiligings­verordening moeten de cyber­beveiligings­­risico’s van de toenemende digitalisering en connectiviteit beperken en zo (1) de werking van de interne markt waarborgen en (2) een hoog niveau van cyberbeveiliging, cyberweerbaarheid en -vertrouwen binnen de EU bewerkstellingen.1 Hiertoe introduceert de verordening onder meer cyberbeveiligingscertificeringsregelingen. Deze regelingen dienen ertoe binnen de gehele EU een instrument te hebben waarmee kan worden aangetoond dat ICT-producten, diensten en processen voldoende zijn beveiligd.

Ik heb de cyberbeveiligingsverordening reeds besproken in §5.3.3 en daarnaast aangehaald in §7.2.2.2. Ik ga hier daarom niet uitgebreid op de regeling in. Een element dat tot nu toe echter nog niet aan bod is gekomen, zijn de inhoudelijke eisen die de Cyberbeveiligings­verordening aan cyberbeveiligingscertificeringsregelingen stelt. Uit deze eisen blijkt wat de EU-wetgever van belang vindt op het gebied van deze beveiliging. Zij kunnen zo mogelijk inzicht bieden in de invulling van art. 5 lid 1 onder f en 32 AVG. De verordening bepaalt dat de opzet van Europese cyberbeveiligingscertificeringsregelingen van dien aard is dat, voor zover van toepassing, ten minste de volgende beveiligingsdoelen worden verwezenlijkt:

a.

“opgeslagen, doorgegeven of anderszins verwerkte gegevens worden gedurende het gehele proces en de gehele levensduur van het ICT-product, de ICT-dienst of het ICT-proces beschermd tegen onbedoelde of onbevoegde opslag, verwerking, toegang of openbaarmaking;

b.

opgeslagen, doorgegeven of anderszins verwerkte gegevens worden gedurende het gehele proces en de gehele levensduur van het ICT-product, de ICT-dienst of het ICT-proces beschermd tegen onbedoelde of onbevoegde vernietiging, verlies of wijziging, of gebrekkige beschikbaarheid;

c.

bevoegde personen, programma’s of machines kunnen uitsluitend toegang hebben tot gegevens, diensten of functies waarvoor hun recht van toegang geldt;

d.

afhankelijkheid en kwetsbaarheden worden opgespoord en, indien gekend, gedocumenteerd;

e.

er wordt geregistreerd op welk tijdstip en door wie gegevens, diensten of functies zijn ingezien, gebruikt of anderszins verwerkt;

f.

het is mogelijk na te gaan op welk tijdstip en door wie gegevens, diensten of functies zijn ingezien, gebruikt of anderszins verwerkt;

g.

er wordt geverifieerd dat ICT-producten, -diensten en -processen geen bekende kwetsbaarheden bevatten;

h.

in geval van een fysiek of technisch incident worden de beschikbaarheid van en de toegang tot gegevens, diensten en functies tijdig hersteld;

i.

ICT-producten, -diensten en -processen zijn door standaardinstellingen en door ontwerp veilig;

j.

ICT-producten, -diensten en -processen worden geleverd met actuele software en hardware die geen algemeen bekende kwetsbaarheden bevatten, en met mechanismen voor beveiligde updates”.2

Deze functie is alleen te gebruiken als je bent ingelogd.