Eviden, het digitale en cybersecurity-onderdeel van Atos, heeft het label “Cybersecurity Made in Europe” ontvangen van de European Cyber Security Organisation (ECSO). Het gaat om erkenning dat de beveiligingsoplossingen Europees van oorsprong zijn en binnen Europese regels worden ontwikkeld. Dit is relevant voor organisaties in Nederland en de EU die strengere eisen krijgen rond inkoop en toeleveringsketens. Het nieuws raakt ook aan de Europese AI-verordening (AI Act) en de gevolgen voor overheid en vitale sectoren, omdat veel beveiligingstools AI en algoritmen gebruiken.
Label benadrukt Europese oorsprong
Het ECSO-label is een industrieel keurmerk dat aangeeft dat producten en diensten in Europa zijn ontworpen en ontwikkeld. Het doel is vertrouwen te vergroten in Europese cybersecurity-aanbieders. Voor grote en kleine leveranciers maakt het duidelijk waar data, intellectueel eigendom en beheer zijn verankerd. Dat speelt in discussies over digitale soevereiniteit en strategische autonomie.
Het keurmerk is geen technische certificering van beveiligingsniveau. Het zegt dus niets over de effectiviteit van een specifiek product in een aanvalsscenario. Wel maakt het zichtbaar dat een bedrijf onder Europese wetgeving valt, zoals de AVG. Dat is belangrijk bij verwerking van gevoelige gegevens, bijvoorbeeld in zorg, overheid en infrastructuur.
ECSO is een Europese publiek-private organisatie die samenwerking tussen industrie en beleidsmakers ondersteunt. De uitgifte van het label verloopt via erkende nationale partners in EU-landen. Zo ontstaat een gelijk speelveld voor aanbieders uit verschillende lidstaten. Het helpt inkopers sneller aanbieders te vinden die aan basisvoorwaarden van Europese herkomst voldoen.
“Cybersecurity Made in Europe is een vrijwillig industrieel label dat de Europese herkomst, dataverwerking onder EU-regels en ontwikkeling binnen Europa zichtbaar maakt. Het is geen vervanging van technische audits of certificeringen.”
Relevantie voor NIS2-inkoop
NIS2, de nieuwe EU-richtlijn voor netwerk- en informatiebeveiliging, verhoogt eisen aan meer sectoren. Denk aan energie, zorg, vervoer, water, maar ook digitale diensten. Organisaties moeten toeleveranciers strenger toetsen op beveiliging en continuïteit. Een herkomstlabel kan het eerste filter zijn in zo’n toetsing, maar vervangt geen due diligence.
Voor Nederlandse inkopers sluit dit aan op bestaande kaders, zoals de BIO voor de overheid en ISO-standaarden in de markt. Het label kan helpen bij het beoordelen van datalocatie, juridische controle en support in de EU. Toch blijven aanvullende eisen nodig, zoals encryptie, incidentrespons en audits. Contractueel moet dit helder worden vastgelegd.
De Cyber Resilience Act en de EU-cloudregels bewegen in dezelfde richting: veiligere producten en transparante ketens. In dat landschap schept het ECSO-label duidelijkheid over herkomst en governance. Het maakt selectie en aanbesteding efficiënter. Maar technische conformiteit moet apart worden aangetoond.
Evidens cybersecurity en AI
Eviden levert diensten als Security Operations Centers, identiteitsbeheer en cloudbeveiliging. In zulke diensten worden vaak AI en machine learning gebruikt voor dreigingsdetectie en automatisering. Zulke algoritmen leren patronen herkennen in logbestanden en netwerkverkeer. Dat versnelt opsporing van incidenten en verkort reactietijd.
Het ECSO-label zegt niets over de kwaliteit of risico’s van deze AI-systemen. Het bevestigt wel dat ontwikkeling en dataverwerking onder Europese regels vallen. Daarmee vallen AI-onderdelen onder de AVG en, op het moment van schrijven, onder aankomende verplichtingen uit de AI Act. Denk aan documentatie, risicobeperking en transparantie, afhankelijk van het risicoprofiel.
Inkopers doen er goed aan te vragen naar modelbeheer, trainingsdata en bias-controles. Ook is relevant of algoritmen uitlegbaar zijn en hoe fals-positieven worden beperkt. Voor SOC-automatisering blijft menselijk toezicht cruciaal. Dit sluit aan bij de Europese eis van menselijk-in-de-lus bij risicovolle toepassingen.
Data en AVG-vereisten
De AVG vraagt om dataminimalisatie: zo weinig mogelijk persoonsgegevens verwerken voor een duidelijk doel. In cybersecurity betekent dit gericht loggen, met bewaartermijnen en toegangscontrole. Versleuteling van data in opslag en tijdens transport is daarbij standaard. Evidens Europese verankering helpt juridisch bij doorgifte en toezicht.
Veel organisaties willen dat data in de EU blijven. Dat kan contractueel worden vastgelegd, inclusief locatie van SOC’s en back-ups. Ook is een Data Protection Impact Assessment vaak verplicht bij monitoring op grote schaal. Daarbij tellen proportionaliteit en subsidiariteit mee in de keuze van tools.
Transparantie over subverwerkers is essentieel. Vraag naar een actuele lijst van betrokken partijen en landen waar zij opereren. Leg incidentmeldingsplichten vast, met termijnen die passen bij NIS2 en de AVG. Zo wordt juridische compliance gekoppeld aan operationele zekerheid.
Beperkingen van het keurmerk
Het ECSO-label is een signaal, geen garantie. Het vervangt geen ISO 27001, SOC 2 of productcertificeringen zoals Common Criteria. Ook zegt het niets over weerbaarheid tegen specifieke dreigingen. Organisaties moeten dus zelf testen en auditen.
Controleer daarom op onafhankelijke penetratietests, secure development en patchbeleid. Vraag naar uptime-SLA’s, hersteldoelen (RTO/RPO) en responscapaciteit. Kijk ook naar integraties met bestaande SIEM- en EDR-oplossingen. Zo blijft de totale risicoafweging leidend.
Let verder op lock-in en exit. Maak afspraken over datamigratie, logformaten en open standaarden. Dat voorkomt verrassingen bij wisselen van leverancier. Het past bij het Europese streven naar interoperabiliteit en keuzevrijheid.
Gevolgen voor Nederlandse markt
Voor Nederlandse overheden en vitale aanbieders kan dit label de shortlist van leveranciers verkorten. Het helpt te voldoen aan keteneisen uit NIS2 en de BIO. In sectoren als zorg en mobiliteit maakt Europese herkomst de juridische route eenvoudiger. Dat bespaart tijd in aanbestedingen en DPIA’s.
Voor Nederlandse mkb-beveiligingsbedrijven schept de stap van Eviden extra druk én kansen. Grote spelers zetten een norm voor transparantie over herkomst en governance. Dat kan samenwerking in de keten stimuleren, bijvoorbeeld via Europese projectconsortia. Ook sluit het aan bij nationale initiatieven voor veilig digitaal ondernemen.
Tot slot speelt dit in het debat over AI in beveiliging. De Europese AI-verordening vraagt om controleerbare, veilige datamodellen. Een Europees label voor herkomst is dan een nuttige bouwsteen. Maar het is slechts één stuk van de puzzel: techniek, processen en mensen blijven doorslaggevend.
