Europese cybersecuritywetgeving en digitale identiteit: hoe Yivi organisaties helpt aan compliance
← Terug naar Kennisbank

Europese cybersecuritywetgeving en digitale identiteit: hoe Yivi organisaties helpt aan compliance

Dibran Mulder 11 min read
DORA NIS2 CRA digitale identiteit privacy compliance Yivi

De Europese Unie scherpt de cybersecurity-eisen stevig aan. Met wetgeving als DORA, NIS2 en de aankomende Cyber Resilience Act (CRA) worden organisaties verplicht om hun digitale weerbaarheid structureel te versterken. Sterke authenticatie, ketenbeveiliging, incidentrespons en “security by design” zijn daarbij centrale thema’s.

Yivi kan hierin een sleutelrol spelen: als Europese, privacyvriendelijke en phishing-bestendige oplossing voor digitale identiteit en multi-factor authenticatie helpt Yivi organisaties om snel en praktisch aan de nieuwe eisen te voldoen — zonder afhankelijk te zijn van commerciële identity providers buiten de EU.

In deze blog bekijken we hoe Yivi organisaties ondersteunt bij de implementatie van DORA, NIS2 en de CRA, met concrete praktijkvoorbeelden.

DORA (Digital Operational Resilience Act)

Belangrijkste vereisten: DORA is een EU-verordening gericht op digitale weerbaarheid van financiële instellingen. Het stelt uniforme eisen op het gebied van ICT-risicobeheer, waaronder: sterke authenticatie, incidentbeheer en -melding, periodieke cyberresilientietesten, en beheer van risico’s bij externe ICT-leveranciers. DORA verplicht organisaties om beleid voor sterke authenticatie te implementeren op basis van risico-inschatting van hun ICT-processen. Artikel 9 benadrukt dat men moet vaststellen waar multi-factor authenticatie (MFA) nodig is om risico’s te verlagen (met name voor personeel en leveranciers) en dat die authenticatie phishing-bestendig moet zijn. Verder vereist DORA snelle detectie en rapportage van ICT-incidenten aan toezichthouders en het uitvoeren van pen‐tests en andere weerbaarheidstesten. Ook moeten instellingen zorgvuldig omgaan met derde partijen en toeleveranciers (zoals cloud- of IT-dienstverleners) door toezicht te houden op hun cyberveiligheid en afspraken te maken over continuïteit.

Ondersteuning door Yivi

Yivi kan organisaties helpen invulling te geven aan DORA’s eisen, vooral op het gebied van sterke authenticatie en toegang. Yivi fungeert als een gebruiksvriendelijke MFA-oplossing: gebruikers loggen in door middel van hun Yivi-app, wat twee factoren omvat (iets dat de gebruiker heeft – de telefoon/wallet – en iets dat hij weet – een PIN) en éénmalige cryptografische codes genereert. Dit voldoet aan de definitie van sterke authenticatie onder DORA, die MFA met dynamische codes voorschrijft. Omdat Yivi werkt met state-of-the-art cryptografie en selectieve gegevensdeling, is het in hoge mate phishing-resistent en worden inloggegevens niet blootgesteld aan wachtwoordlekken of hergebruik. Daarnaast ondersteunt Yivi streng toegangsbeheer: toegang tot kritieke systemen kan afhankelijk worden gemaakt van het overhandigen van bepaalde digitale attributen (bijv. een door de organisatie uitgegeven Yivi-credential die bevestigt dat iemand een medewerker met bepaalde rechten is). Zo wordt alleen geautoriseerd personeel toegelaten tot gevoelige ICT-assets, geheel in lijn met DORA’s eis van sterke authenticatie bij o.a. extern netwerktoegang en privileges.

Voorbeelden in de praktijk

Een bank kan Yivi inzetten voor personeelslogins tot interne systemen en VPN’s, zodat alleen medewerkers met een Yivi-identiteit (uitgegeven door de bank) kunnen inloggen. Dit vervangt kwetsbare wachtwoorden door passwordless aanmelding via de Yivi-app, wat DORA-conform is en direct het operationele risico verlaagt. Ook kan Yivi worden gebruikt voor klantauthenticatie bij online diensten (hoewel klantauthenticatie formeel onder PSD2 valt, sluit het naadloos aan bij DORA’s focus op sterke beveiliging van alle systemen). In incidentrespons-scenario’s kan Yivi bijdragen doordat alle toegangspogingen cryptografisch zijn geauthenticeerd en logbaar – bij een beveiligingsincident heeft men duidelijke bewijslast van wie wanneer toegang kreeg. Ten slotte past Yivi binnen DORA’s derde-partij-risicobeheer: het is een open-source oplossing beheerd door een Nederlandse partij, waardoor banken meer controle en inzicht hebben in de technologie vergeleken met het uitbesteden aan een grote buitenlandse identiteitprovider. Dit vereenvoudigt due diligence en toezicht op de leverancier, wat weer bijdraagt aan naleving van DORA’s voorschriften voor ICT-leveranciersrisico’s.

NIS2 (Network and Information Security Directive 2)

Belangrijkste vereisten: NIS2 is een EU-richtlijn die voor een breed scala aan essentiële en belangrijke sectoren minimum cybersecuritymaatregelen voorschrijft. Organisaties moeten een cyberrisicobeheer-raamwerk hanteren met technische en organisatorische maatregelen. Belangrijke eisen zijn onder meer:

  1. Sterke (multi-factor) authenticatie en toegangsbeheer: Artikel 21 van NIS2 schrijft “het gebruik van multi-factor authenticatie of continue authenticatie-oplossingen” voor, waar passend. Ook worden toegangscontroles en identity management nadrukkelijk genoemd (bijv. human resources security, toegangsbeleid).

  2. Supply chain security: Organisaties moeten de beveiliging van hun toeleveringsketen adresseren, inclusief de relaties met leveranciers en dienstverleners. Men moet specifiek kijken naar kwetsbaarheden bij leveranciers en de kwaliteit van hun producten en ontwikkelprocessen.

  3. Veilige softwareontwikkeling en patchmanagement: NIS2 eist dat men bij verwerving, ontwikkeling en onderhoud van ICT-systemen aandacht heeft voor beveiliging, inclusief kwetsbaarhedenbeheer en -melding. Basis cyberhygiëne en updates horen hierbij.

  4. Incidentdetectie en melding: Organisaties dienen incidenten snel te detecteren en significante cybersecurity-incidenten te melden aan de bevoegde autoriteiten/CSIRT. NIS2 hanteert hiervoor een driedelig meldingssysteem: een vroege waarschuwing binnen 24 uur na ontdekking, een volledige incidentmelding binnen 72 uur, en een eindrapport binnen een maand. Dit alles om respons en informatie-uitwisseling te verbeteren.

Ondersteuning door Yivi

Yivi kan een aantal NIS2-verplichtingen praktisch invullen. Allereerst levert Yivi sterke authenticatie (MFA) out-of-the-box, precies wat NIS2 Art.21(j) vereist. Door Yivi als inlogmiddel te gebruiken voor zowel personeel als externe partners, voldoen organisaties aan de MFA-plicht zonder complexe eigen implementaties. Bovendien versterkt Yivi de toegangscontrole: alleen personen met de juiste digitale attributen in hun wallet krijgen toegang tot bepaalde systemen of data. Denk aan het afschermen van kritieke productienetwerken of gevoelige databases; Yivi kan ervoor zorgen dat alleen medewerkers met bijvoorbeeld een geldig “veiligheidstraining voltooid” of “functie X goedgekeurd” attribuut binnenkomen. Dit sluit aan bij NIS2’s eis voor stringent identity & access management.

Op het gebied van supply chain security helpt Yivi indirect doordat het een hoogwaardig, Europees product is. Bij gebruik van Yivi als identiteitssysteem hoeft een organisatie geen beroep te doen op potentieel risicovolle identity providers uit derde landen. NIS2 verlangt dat je de kwaliteit en beveiligingspraktijken van je leveranciers beoordeelt – Yivi scoort hier goed dankzij open source code, academische roots en strenge privacy-by-design principes. De cryptografie en ontwikkelstandaarden van Yivi zijn transparant en peer-reviewed, wat aansluit bij de “state-of-the-art” encryptie en cryptografiebeleid die NIS2 vereist. Voor veilige softwareontwikkeling biedt Yivi als component het voordeel dat veel securityfunctionaliteit al solide is geïmplementeerd. Ontwikkelaars kunnen Yivi integreren via goed gedocumenteerde API’s die aan industriestandaarden voldoen, in plaats van zelf authenticatie-logica te bouwen (met alle kans op fouten). Dit vermindert het risico op kwetsbaarheden in het eigen product en vergemakkelijkt het beheer van updates en patches van de identiteitstechnologie.

Voorbeelden in de praktijk

In kritieke infrastructuur (bijv. een energiemaatschappij of waterschap) kan Yivi ingezet worden zodat operators en technici met een Yivi-pas toegang krijgen tot bedieningssystemen. Dit garandeert multi-factor login bij het bedienen van vitale processen, geheel in lijn met NIS2, en het systeem weet zeker welke gecertificeerde persoon inlogt. Ziekenhuizen of andere zorginstellingen (eveneens vallend onder NIS2) kunnen Yivi gebruiken voor zorgverlenerslogin tot patiëntendossiers: alleen bevoegde artsen/verpleegkundigen met een door het ziekenhuis uitgegeven digitaal ID (in Yivi) krijgen toegang. Dit beschermt vertrouwelijkheid van data en dwingt strikte toegangscontrole af. Ook bij samenwerking met leveranciers kan Yivi dienen: een bedrijf kan leveranciers toegang geven tot een bestelportal op voorwaarde dat de leverancier zich identificeert met Yivi, eventueel met een attribuut dat door de opdrachtgever is verleend (“gecontracteerde leverancier van bedrijf X”). Dit voorkomt ongeautoriseerde toegang in de keten en voegt een extra verificatielaag toe aan supply chain interacties. Ten slotte helpt Yivi’s logging (de verificatie van elke login kan worden vastgelegd) bij incidentdetectie: verdachte pogingen (bijv. herhaalde mislukte scans of verkeerde attributen) kunnen als alarmsignaal dienen. Mocht een incident gemeld moeten worden, dan kan de organisatie aantonen dat het geauthenticeerde toegangspogingen betrof en bijvoorbeeld dat onbevoegden geen toegang konden krijgen dankzij Yivi’s maatregelen.

CRA (Cyber Resilience Act)

Belangrijkste vereisten: De Cyber Resilience Act (CRA) is een aankomende EU-verordening die minimum cybersecurity-eisen stelt aan producten met digitale elementen (hardware en software) die in de EU op de markt worden gebracht. Fabrikanten moeten zorgen dat producten “security by design” zijn en gedurende hun levenscyclus veilig blijven. Enkele essentiële eisen uit Bijlage I CRA zijn onder andere:

  1. Bescherming tegen ongeautoriseerde toegang: Producten moeten passende controlemechanismen bevatten, zoals authenticatie- en identitymanagementsystemen, om te voorkomen dat onbevoegden toegang krijgen.

  2. Geheimhouding en integriteit van data: Gevoelige gegevens moeten vertrouwelijk en intact blijven, bijvoorbeeld door state-of-the-art encryptie van data in rust en in transit en door te voorkomen dat gegevens ongemerkt gewijzigd worden.

  3. Minimale gegevensverwerking: Een product mag alleen die persoonsgegevens verwerken die nodig zijn voor het beoogde gebruik (dataminimalisatie).

  4. Beperking van aanvalsvectoren en veilige configuratie: Het product moet bij levering veilig zijn geconfigureerd (secure by default) en blootstellingsoppervlakken minimaliseren.

  5. Incidentlogging en updates: Het product moet relevante veiligheidsgebeurtenissen loggen/monitoren en producenten moeten beveiligingsupdates kunnen uitbrengen om kwetsbaarheden te verhelpen. Fabrikanten zijn verplicht om bekende kwetsbaarheden te patchen en een coördinated vulnerability disclosure-proces te hebben.

Ondersteuning door Yivi

Yivi kan bijdragen aan het voldoen aan de CRA doordat het een kant-en-klare, veilige identiteit- en authenticatiecomponent biedt voor producten. Ten eerste adresseert Yivi direct de eis van bescherming tegen ongeautoriseerde toegang. Door Yivi in te bouwen als authenticatiemechanisme in een digitaal product (bijvoorbeeld een webapplicatie, online dienst of IoT-platform), voorziet de fabrikant in een robuust inlogsysteem gebaseerd op sterke cryptografische authenticatie in plaats van enkel een wachtwoord. Yivi’s aanpak – gebruikers krijgen digitale attributen van een betrouwbare uitgever en moeten die bij gebruik cryptografisch bewijzen – functioneert als een gedecentraliseerd identity- en accessmanagementsysteem. Dit betekent dat een product met Yivi alleen toegang verleent aan gebruikers met geldige, verifieerbare credentials, wat voldoet aan de CRA’s vereiste van een passende toegangscontrole-oplossing.

Daarnaast sluit Yivi’s privacyvriendelijke ontwerp aan op de CRA-eisen rondom dataminimalisatie en data-integriteit. Omdat Yivi gebruikers laat selectief attribuutgegevens delen – alleen de strikt noodzakelijke informatie voor een bepaalde handeling – verwerkt het product geen overtollige persoonlijke data. Dit helpt de fabrikant aantoonbaar te maken dat het product voldoet aan de minimisatie-eis. Tegelijk zorgt Yivi’s sterke encryptie (zowel in de app als tijdens transmissie) ervoor dat vertrouwelijke gegevens beschermd zijn tegen afluisteren of manipulatie, in lijn met de verlangde state-of-the-art versleuteling.

Veilige software & updates: Omdat Yivi open source is en onder beheer staat van een ervaren team (Caesar Groep i.s.m. de Privacy by Design-stichting), is het een hoogwaardig en auditbaar component. Een fabrikant die Yivi integreert, profiteert van de continu verbeterde en door de community getoetste codebase. In het kader van de CRA – die vereist dat producten zonder bekende kwetsbaarheden op de markt komen en dat er proactief gepatcht wordt – kan het gebruik van Yivi dit proces vergemakkelijken. Updates in de Yivi-software (bijvoorbeeld beveiligingsfixes) kunnen door de fabrikant eenvoudig in de productsoftware worden doorgevoerd, en het open karakter van Yivi betekent dat kwetsbaarheden snel aan het licht komen en verholpen worden. Ook beschikt Yivi over functionaliteiten als revocatie van credentials en logging op systeemniveau, wat een product in staat stelt om misbruik of verdachte activiteiten te detecteren en te registreren (bijvoorbeeld een poging met een ongeldig of ingetrokken certificaat kan worden gelogd als security event). Dit ondersteunt de CRA-eis dat producten beveiligingsrelevante activiteiten monitoren.

Voorbeelden in de praktijk

Stel een fabrikant bouwt een slimme industriële machine die op afstand bediend kan worden via een webinterface. Door Yivi-authenticatie te vereisen voor die bediening, kunnen alleen bevoegde operators (die van de fabrikant een digitaal certificaat in hun Yivi-wallet hebben ontvangen) de machine bedienen. Zo’n machine voldoet dan aan de CRA doordat onbevoegden buiten de deur gehouden worden door sterke MFA en identiteitscontrole, en alle bedien-acties cryptografisch herleidbaar zijn tot een specifieke, geauthenticeerde gebruiker. Een ander voorbeeld: een financiële softwareleverancier kan Yivi integreren om klanten toegang te geven tot gevoelige gegevens of transacties. Hiermee is direct voldaan aan de verplichting dat het product “adequate toegangsbeheer” heeft
european-cyber-resilience-act.com
, en tegelijkertijd wordt de vertrouwelijkheid gewaarborgd via Yivi’s versleutelde attributenuitwisseling. Ook bij coördinatie in een keten kan Yivi helpen – denk aan rapportageketens of audits waarbij verschillende partijen gegevens moeten aanleveren: met Yivi kan elke partij hun identiteit en bevoegdheid digitaal aantonen (bijv. een auditor die via Yivi bewijst gecertificeerd te zijn), wat de integriteit van het proces verhoogt en compliance met veiligheidseisen aantoont.

Europese soevereiniteit en vertrouwen

Een extra voordeel van Yivi is dat het volledig op Europese leest geschoeid is – qua infrastructuur én eigenaarschap – wat bijdraagt aan vertrouwen en compliance onder alle bovengenoemde kaders. Veel concurrerende ID-wallets worden aangedreven door grote commerciële partijen, vaak buiten de EU, wat vragen kan oproepen over gegevenssoevereiniteit en afhankelijkheden. Yivi daarentegen draait op Europese infrastructuur en de ontwikkeling ervan is in handen van de Nederlandse Caesar Groep, in samenwerking met de stichting Privacy by Design (opgericht door hoogleraar Bart Jacobs). Dit betekent dat er nauwe banden zijn met overheid en wetenschap, en dat Yivi voldoet aan strenge publieke normen op het gebied van security en privacy.

Onder DORA en NIS2 moeten organisaties ook letten op de betrouwbaarheid van hun leveranciers en dienstverleners (denk aan cloud- of identity-providers). Het feit dat Yivi door een partij met overheidsconnecties wordt ontwikkeld – en al wordt ingezet in overheidsprojecten (bijv. de gemeente Nijmegen experimenteert met de Yivi-wallet) – wekt vertrouwen dat Yivi een deugdelijk en veilig hulpmiddel is. Er is geen Amerikaanse cloudleverancier die de persoonsgegevens onder de USA CLOUD Act kan opeisen; alle gegevensuitwisseling via Yivi blijft binnen Europese jurisdictie. Dit past bij de EU’s streven naar digitale soevereiniteit en vermindert compliance-risico’s rond data-export of buitenlandse wetgevingen. Bovendien straalt Yivi’s open source, transparante karakter vertrouwen uit naar toezichthouders: de code en beveiligingsaanpak zijn inzichtelijk en toetsbaar, iets wat positief kan meewegen bij audits of toezichttrajecten onder DORA/NIS2.

Kortom, Yivi’s Europese oorsprong en privacy-by-design fundament ondersteunen organisaties niet alleen technisch bij het invullen van eisen als MFA, toegangsbeheer en veilige data-uitwisseling, maar ook organisatorisch en juridisch. Het gebruik van een soevereine EU-identiteitswallet kan aantoonbaar maken dat men serieus werk maakt van compliance: men kiest een oplossing die aansluit bij Europese regelgeving en waarden, wat het vertrouwen van klanten én toezichthouders in de digitale weerbaarheid van de organisatie vergroot.