Europese cybersecurity-certificeringsconferentie, 15 april 2026

Op 15 april 2026 organiseerde ENISA haar Europese cybersecurity-certificeringsconferentie in Ayia Napa, Cyprus, samen met het Cypriotische voorzitterschap en de Europese Commissie. Eén dag, hybride format, zes tracks: EUCC in het eerste operationele jaar, het voorgestelde CSA2 met het herziene European Cybersecurity Certification Framework (ECCF), de rol van certificering onder de CRA, een nieuwe NIS2-route via het cyber posture-schema, het EU Digital Identity Wallet-schema dat nu in openbare consultatie is, en het EU Managed Security Services (MSS)-schema in conceptversie v4.

De zorg die bij het publiek de dag domineerde, afgemeten aan de stemmen op de online Q&A, was geen afzonderlijk schema. Het was de vraag of certificeringsresultaten mogen of moeten worden gebruikt om NIS2-compliance af te leiden, aangezien het NIS2-toezicht bij andere autoriteiten ligt. Vijf van de zeven hoogst gestemde vragen draaiden om die ene spanning. Wij behandelen die in een eigen sectie hieronder.

Wat volgt is een gestructureerde weergave van wat er daadwerkelijk is gezegd, met sprekersvermelding daar waar het programma en de transcripten overeenstemmen.

(Vrije vertaling: certificering is een plaatsvervanger voor afwezig vertrouwen.)

Samenvatting

• CSA2 is een voorgestelde verordening die het European Cybersecurity Certification Framework herziet en de NIS2-richtlijn wijzigt. Conceptlengte: 271 pagina's, volgens de panelleden.
• ECCF vervangt het huidige certificeringskader met modelbepalingen, formele onderhoudsmechanismen en een standaardtermijn van 12 maanden voor de ontwikkeling van kandidaat-schema's.
• EUCC live-cijfers (Juhan Lepassaar, Executive Director, ENISA): 29 certificaten uitgegeven, 28 conformiteitsbeoordelingsinstanties in de EU, Europa neemt meer dan 60% van de circa 350 wereldwijde Common Criteria-certificaten voor zijn rekening die jaarlijks worden uitgegeven, en alle EU CC-certificaten staan op CC-1 per februari 2026.
• CRA-conformiteitsinfrastructuur is dit jaar de grootste CRA-implementatiemijlpaal, volgens Maika Fohrenbach (DG CONNECT): lidstaten moeten bevoegde autoriteiten aanwijzen uiterlijk juni 2026, en er moeten voldoende aangemelde instanties zijn uiterlijk december 2026, een jaar vóór de volledige toepassing van de CRA.
• EUDI Wallet-schema openbare consultatie gestart op 3 april 2026; de volgende ankerdata lopen van AHWG-conceptvalidatie op 16 en 17 april 2026 tot ECCG-afronding in september en oktober 2026.
• EU MSS-schema staat op concept v4, verstuurd naar de ad-hocwerkgroep op 9 april 2026; concept v3 (verstuurd op 20 maart 2026) ontving 250 commentaren verdeeld over negen thema's. Openbare consultatie staat gepland voor begin juli 2026.
• Industriekritiek op wildgroei was scherp. Steffen Zimmermann (VDMA) gaf er cijfers bij: ongeveer 80% van de VDMA-leden zijn mkb-bedrijven, waarvan ruwweg 90% onder de NIS2 en de CRA valt.
• Publiekprioriteit van de dag was geen afzonderlijk schema. Het was de spanning tussen certificeringsresultaten gebruiken om NIS2-compliance af te leiden en het feit dat NIS2-toezicht verplicht is en bij andere autoriteiten ligt (vijf van de zeven hoogst gestemde vragen).

Bron: Juhan Lepassaar, uitvoerend directeur ENISA, openingsrede.

CSA2 en het nieuwe ECCF

Maika Fohrenbach (DG CONNECT) presenteerde het voorstel van de Commissie. Het is opgebouwd rond vier pijlers:

1. Een geharmoniseerd kader voor risicobeheer van de ICT-toeleveringsketen, voor het eerst op EU-niveau.
2. Een herzien European Cybersecurity Certification Framework (ECCF).
3. NIS2-vereenvoudigingsmaatregelen, opgebouwd rond een nieuw cyber posture-schema (zie eigen sectie hieronder).
4. Versterking van het ENISA-mandaat (ondersteuning van lidstaten, situationeel bewustzijn, leiderschap op het gebied van normalisatie, vaardigheidsattestatie).

Drie ECCF-wijzigingen zijn relevant voor fabrikanten:

Op het gebied van onderhoud en tooling voor belanghebbenden erkent CSA2 ENISA formeel als schemabeheerder, met een specifieke ECCG-subgroep per schema. Het vervangt de huidige Stakeholder Cybersecurity Certification Group (SCCG) en het Union Rolling Work Programme door een European Cybersecurity Certification Assembly plus informatieportalen van de Commissie en ENISA. De rechtsgrondslag voor door ENISA opgestelde technische specificaties, voortbouwend op de EUCC "state of the art"-documenten, is in het voorstel opgenomen.

De panelreacties waren openhartig. Helge Kreutzmann (BSI) noemde twee hiaten in het concept. Ten eerste behoudt CSA2 de oude splitsing tussen autorisatie en aanmelding, in plaats van volledig over te stappen op het notificatiemechanisme van het New Legislative Framework. Ten tweede was de scope niet ruim genoeg uitgebreid: het concept certificeert diensten maar geen aanbieders, terwijl meerdere lidstaten al aanbieders en sleutelpersoneel certificeren en de Cyber Solidarity Act daarom vraagt. Kreutzmann: "We think this should carry over on the European level, that we can actually certify the providers." (Wij vinden dat dit op Europees niveau moet worden overgenomen, zodat we ook de aanbieders kunnen certificeren.)

Suzana Pavlidou (NCCA Cyprus) en Apostolos Malatras (Head of Unit for Cybersecurity Certification, ENISA) traden met Philippe Blot op als moderator. Goran Gotov (Zscaler) bracht vanuit de zaal een structureel punt aan de orde: de Assembly komt eenmaal per jaar bijeen en ad-hocgroepen zijn schemaspecifiek, waardoor de industrie-inbreng op macroniveau dunner is dan voorheen. Richard Skalt (TIC Council; cybersecurity advocacy manager bij TÜV SÜD) drong aan op een vaste toezegging van 12 maanden voor de ENISA-schemaontwikkeling, en vroeg of CSA2 ISO/IEC 27001 en het Belgische "Cyber Fundamentals"-schema zal integreren in de NIS2-vereenvoudigingsroute. Een harde toezegging over die integratie werd op het podium niet gegeven.

Cyber posture en NIS2: wat het publiek werkelijk vroeg

De Q&A-stroom maakte de publieksprioriteit ondubbelzinnig. De zeven hoogst gestemde vragen van de dag (14 tot 19 stemmen elk) gingen niet over EUCC-doorvoer of CAB-capaciteit. Ze gingen over dezelfde structurele zorg, op zeven manieren geformuleerd: mogen certificeringsresultaten rechtmatig worden gebruikt om NIS2-compliance af te leiden, terwijl het NIS2-toezicht verplicht is en door andere autoriteiten wordt uitgevoerd?

Fohrenbachs antwoord liep door haar presentatie en de Q&A heen. Drie onderdelen zijn het waard om uit elkaar te halen:

Voor de twee publieksvragen die op het podium geen antwoord kregen, vullen wij de gaten niet in. Wij markeren ze:

Voor lezers die om NIS2 heen plannen, is de eerlijke lezing deze. Het cyber posture-schema is de voorkeursroute van de Commissie. De juridische mechanismen die die route robuust zouden maken (de uitvoeringsverordening met maximale harmonisatie, akkoord van lidstaten over de koppeling) zijn actieve onderhandelingsitems. Als u vandaag een compliance-strategie bouwt, behandel dan niet "certificeer onder cyber posture en NIS2 is geregeld" als een uitgemaakte zaak voor uw jurisdictie. Volg de triloog.

Waar certificering de CRA raakt

De CRA-koppeling van Fohrenbach was het duidelijkste signaal van de dag voor fabrikanten. De kern voor 2026: bouw de conformiteitsbeoordelingsinfrastructuur. Geharmoniseerde normen komen later, en ongelijkmatig.

De CRA dekt softwareproducten, hardwareproducten en componenten die afzonderlijk op de markt worden gebracht. De verdeling die Fohrenbach noemde:

Onder CRA Bijlage VIII zijn de beschikbare New Legislative Framework-modules Module B + C (EU-typeonderzoek) en Module H (kwaliteitssysteemcertificering). De Commissie is van plan om vóór eind 2026 vast te leggen hoe de EUCC kan worden gebruikt om conformiteit met de CRA aan te tonen; ENISA voert 18 pilots uit op EUCC-naar-CRA-vermoeden van conformiteit, met een workshop gepland in Athene.

De aanloop naar volledige CRA-toepassing in één overzicht:

Het harmonisatiewerk gebeurt in een informele werkgroep van aanmeldende autoriteiten op Commissieniveau; een van de belangrijkste open vragen is hoe aan te melden wanneer geharmoniseerde normen nog niet beschikbaar zijn. Fohrenbach wees CENELEC aan als trekker van het geharmoniseerde-normenwerk. De werkhypothese in de lidstaten: CAB's benutten die al geaccrediteerd zijn onder de gedelegeerde handeling bij de Radioapparatuurrichtlijn (RED DA) en het EUCC-ecosysteem, en deze versneld klaarmaken voor CRA-aanmelding.

Voor de huidige stand van moduleselectie terwijl CSA-schema's nog lopen, zie onze beslissingsgids voor conformiteitsbeoordeling.

De CAB-capaciteitskloof

Het CAB-capaciteitspanel was de operationeel meest beladen sessie van de dag. Het werd gemodereerd door Eric Vetillard; in het panel: Christin Hartung-Kümmerling (BSI, online), Xenia Kyriakidou (hoofd NCCA Cyprus, de aanmeldende en markttoezichtautoriteit van Cyprus voor de CRA en vicevoorzitter van het ADCO CRA-comité), Richard Skalt (TIC Council / TÜV SÜD) en Nikolaos Soumelidis (Q-CERT).

Enkele feiten uit het panel die het waard zijn om naar voren te halen:

• Tweederde van de Europese landen beschikt nog niet over een eIDAS nationale accreditatie-instantie, volgens Soumelidis. Griekenland zelf heeft er geen.
• BSI bereidt aanmelding voor Module H voor als de meest schaalbare route voor de CRA, volgens Hartung-Kümmerling. BSI geeft Module B voor de CRA geen prioriteit; zij erkende dat andere lidstaten de Module B-route nemen, maar noemde hen niet.
• Cyprus, Duitsland en de meeste andere lidstaten zullen voor CRA-accreditatie steunen op hun nationale accreditatie-instanties. Versnellen via RED DA- of EUCC-accreditatie ligt op tafel.
• Interne enquête van TIC Council (Skalt): tweederde van de TIC Council-leden is van plan om tegen eind 2026 meer dan 50 toegewijde cybersecurity-experts te hebben, en 40% van de leden is al aangemeld voor EUCC.
• ADCO CRA is de Administratieve Samenwerkingsgroep van markttoezichtautoriteiten van de lidstaten voor de CRA; Kyriakidou is vicevoorzitter.

Stefan Zimmermann (VDMA) vroeg Hartung-Kümmerling vanuit de zaal welke lidstaten aanmelding voor Module B voorbereiden. Zij weigerde hen op het podium te noemen. De vraag is relevant omdat hij bepaalt of een fabrikant die een EU-typeonderzoekroute wil, op 11 december 2027 een aangemelde instantie beschikbaar heeft in de thuismarkt.

Vanuit fabrikantsperspectief volgen hier drie dingen uit. Ten eerste: als uw productcategorie u richting derdepartijbeoordeling duwt, controleer dan nu het plan van uw eigen lidstaat. "Voldoende aangemelde instanties uiterlijk december 2026" is een beleidsaspiratie, geen garantie per jurisdictie. Ten tweede: het RED DA / EUCC CAB-versneltraject is het meest plausibele pad voor capaciteitsuitbreiding, maar dat betekent dat uw waarschijnlijke CAB-pool wordt gevormd door welke instanties al de radioapparatuur- of Common Criteria-markten bedienen. Ten derde: Module H (kwaliteitssysteem) schaalt sneller dan Module B (typeonderzoek) in minstens één grote lidstaat, wat implicaties heeft voor hoe u uw bewijs voorbereidt.

De ochtendsessie van Steffen Zimmermann (VDMA) scherpte de industrie-opvatting aan. Ongeveer 80% van de VDMA-leden zijn mkb-bedrijven onder 250 medewerkers, en ruwweg 90% daarvan valt onder NIS2 en de CRA. Zijn vijfledige kritiek op certificering was direct:

1. Niet hier bedacht. Bestaande IEC 62443, ISO/IEC 27001 en TISAX worden terzijde geschoven ten gunste van EU-eigen schema's.
2. Niet goed genoeg. Diezelfde IEC 62443 wordt vervolgens onvoldoende geacht zodra de CRA in beeld komt.
3. Onbetrouwbaar certificaat. Propriëtaire methodologie drijft belanghebbenden tot het eisen van nieuwe schema's met hetzelfde transparantiegebrek.
4. Laten we marktvraag creëren. Vrijwillige schema's met povere opname worden via overheidsopdrachten verplicht gesteld in plaats van heroverwogen.
5. Illusie van compliance. Het certificaat blijft geldig terwijl de beveiliging verslechtert.

(Vrije vertaling: neem ISO 27001. Als u een proces heeft dat zegt dat u moet documenteren of u uw dienst heeft gepatcht, en u documenteert maandenlang correct dat u niet heeft gepatcht, dan bent u in compliance. Uw proces werkt. Uw beveiliging is slecht. En het certificaat wordt slechts een stempel.)

Over geharmoniseerde normen onder de CRA, zijn citeerbare regel: "Harmonised standards do not cover all functionalities. They are developed to address the core functionality listed in the annexes. So a product may be in conformance for the core functionality, but the CRA demands conformity for the entire product." (Geharmoniseerde normen dekken niet alle functionaliteiten. Ze worden ontwikkeld om de kernfunctionaliteit uit de bijlagen af te dekken. Een product kan dus conform zijn voor de kernfunctionaliteit, terwijl de CRA conformiteit eist voor het hele product.)

EUDI Wallet-certificering

Evgenia Nikolouzou (ENISA) nam de deelnemers mee door het traject van het EUDI Wallet-schema. Het verzoek van de Commissie kwam binnen in mei 2024; een oproep tot belangstelling volgde in oktober 2024, waarin 26 experts werden geselecteerd voor de ad-hocwerkgroep; de AHWG ging van start in januari 2025 en hield 7 plenaire vergaderingen en 4 thematische groepen tot februari 2026; het schema werd ingediend voor review in april 2026 en de openbare consultatie opende op 3 april 2026.

Het schema dekt de wallet plus het onderliggende eID-schema, en moet producten, diensten en processen dekken vanwege de structuur van eIDAS. De evaluatie kent twee fasen: fase 1 is architectuur- en afhankelijkhedenbeoordeling, fase 2 is testen en kwetsbaarheidsanalyse, gevolgd door certificaatuitgifte en toezicht. Er worden twee assurance-niveaus gebruikt: de tamper-resistente hardwarelaag wordt afgehandeld door de EUCC op AVA_VAN.4 / .5, en de applicatielaag wordt afgehandeld door nationale schema's op AVA_VAN.3.

Het tijdschema uit de slide van Nikolouzou verankert zich op deze mijlpalen: AHWG-validatie van concept v0.4 op 16 en 17 april 2026; ECCG-commentaarperiode sluit op 1 juni 2026; openbare consultatie start begin juli 2026; ECCG-afronding in september en oktober 2026. Voor een gedetailleerde analyse van wat het wallet-schema van aanvragers vraagt en wat dat signaleert voor toekomstige CRA-aanpalende schema's, zie onze analyse van het EUDI Wallet-schema.

Managed Security Services-schema

Vicente Gonzalez Pedros (ENISA) opende de middagsessie over het EU MSS-schema, gevolgd door een panel gemodereerd door Georgia Bafoutsou (ENISA) met Paloma Llaneza (Digital Trust Scheme Manager, CerteIDAS), Adrian Pauna (Oracle), Marios Ioannou (Columbia Group), Oscar Boizard (ANSSI) en Pablo Fernandez (Security Operations Centers Manager, CCN-CNI).

Het verzoek van de Commissie bereikte ENISA eind april 2025. Het oorspronkelijke verzoek dekte de verticale levenscyclus van incidentbeheer; ENISA splitste dit op in dienstprofielen en koos incident response als het eerste profiel om uit te werken. Onder de Cyber Solidarity Act moeten aanbieders, zodra een Europees schema een dienst dekt die via de Act wordt gecontracteerd, twee jaar na het van kracht worden van het schema gecertificeerd zijn.

De schema-architectuur kent twee lagen:

• Een horizontale laag van gemeenschappelijke basisvereisten, normenagnostisch en dienstagnostisch, van toepassing op alle MSS.
• Een verticale laag van dienstspecifieke technische vereisten (levenscyclusbeheer, expertise, incident-response-scenario's, samenwerking tussen belanghebbenden, middelvereisten).

Twee punten van Gonzalez Pedros verdienen vermelding. De horizontale laag wordt nooit op zichzelf gecertificeerd: het certificaat geldt altijd voor de dienst, nooit voor de aanbieder. En de horizontale laag sluit aan op NIS2, maar certificeert geen NIS2-compliance. NIS2-dekking hoort bij het cyber posture-schema, niet bij MSS.

Over de AHWG: meer dan 200 voorstellen kwamen binnen via de open oproep. De incident-response-werkgroep werd gevormd met 30 experts, en een reservelijst van 70 extra experts werd aangelegd voor toekomstige dienstprofielen. De AHWG werd officieel benoemd op 29 september 2025.

Conceptprogressie (uit de AHWG-slide):

• Hoofdschema concept v3 verstuurd naar AHWG op 20 maart 2026.
• 250 commentaren ontvangen, gegroepeerd in negen thema's: relatie met NIS2, assurance-niveaus voor meerdere profielen, evaluatienormen en -methodologieën, grensoverschrijdend toezicht, terminologische afstemming, certificeringsscope (klantspecifiek versus algemeen), kosten van herhaalde evaluaties, dialogen tussen NCCA en CAB, en vertrouwelijkheid in certificeringsrapporten.
• Hoofdschema concept v4 verstuurd naar AHWG op 9 april 2026.

Een structurele verduidelijking van Gonzalez Pedros: het MSS-schema kent geen ITSEF's (in tegenstelling tot de EUCC). CAB en CB worden in het volgende concept samengevoegd tot één term. CAB-accreditatie gaat tegen ISO/IEC 17065, en het schema bouwt voort op dezelfde evaluatiemethodologie die ENISA voor de European Wallet gebruikt.

De schematijdlijn die hij uiteenzette: concept v4 valideren op 16 en 17 april 2026; eerste concept naar ECCG voor commentaar met één maand review voor lidstaten; commentaren in ongeveer twee weken verwerken; openbare consultatie vanaf begin juli 2026 gedurende 1,5 maand; medio september 2026 bijeenkomen om consultatiecommentaren te behandelen; schema-bekrachtiging in ECCG uiterlijk oktober 2026.

Wat de panelleden bijdroegen

Paloma Llaneza (CerteIDAS) verdedigde de kern van de zaak voor een EU-schema: zonder schema certificeren aanbieders in 27 lidstaten afzonderlijk, wat alleen grote bedrijven zich kunnen veroorloven. Haar referentie was eIDAS-2, waar één verordening plus een uitvoeringshandeling 27 nationale normen vervingen door één Europese norm. Llaneza is redacteur van ETSI EN 319 401 (Policy and security requirements for Trust Service Providers), dat zij positioneerde als het werkende proportionaliteitsmodel: de horizontale laag is een eenmalige basislaag, de verticalen stapelen er modulair bovenop.

Adrian Pauna (Oracle) bracht het multinationale argument: een EU-schema standaardiseert compliance over jurisdicties heen, en methodologieën voor penetratietesten hebben een duidelijke definitie nodig binnen het schema. Hij wees op een structureel probleem dat specifiek is voor pentesten: vandaag wordt het op persoonsniveau gecertificeerd (OSCP, OSCE), wat dienstniveau-certificering structureel lastig maakt tot de markt verschuift. Zijn aanbeveling voor volgende verticalen: eerst detectie, daarna pentesten.

Marios Ioannou (Columbia Group, Cyprus) presenteerde de EU-credential als een toegangspoort: erkenning over het hele grondgebied en deelname aan de EU Cybersecurity Reserve. Over grensoverschrijdende incidenten merkte hij op dat een respons van Spanje naar Cyprus naar Malta veel makkelijker is als alle partijen dezelfde basisvaardigheden delen.

Oscar Boizard (ANSSI) trok de scherpste lijn van de sessie, over certificering versus kwalificatie:

Kreutzmann stelde dat CSA2 dit op EU-niveau mogelijk moet maken.

Frankrijk kent vier ANSSI-kwalificatieschema's die aansluiten op de EU MSS-categorieën (consultancy, audit, detectie, respons), plus PAMS voor beheer. PASSI is het oudste en heeft de grootste gekwalificeerde aanbiederbasis. Invoering van een substantieel niveau veranderde de leveranciersmix wezenlijk: mkb-bedrijven met zes tot zeven competente medewerkers haalden het. Boizards aanbeveling voor de volgende verticaal: auditing, als quick win, omdat de normen er al zijn.

Pablo Fernandez (CCN-CNI) bracht harde cijfers uit de Spaanse aanpak. Het Spaanse MSS-schema startte ongeveer vier jaar geleden, bovenop het ENS (Esquema Nacional de Seguridad), dat zelf ongeveer 16 jaar geschiedenis kent. Het MSS-model is Guía CCN-STIC 896, bovenop ENS gelaagd, afgestemd op NIS2, de wijzigingen van de Cyber Solidarity Act en de komende CSA2 en EU MSS. De CCN-slide toonde de cijfers: 3.578 gecertificeerde entiteiten onder ENS, 25 MSS-gecertificeerde diensten geleverd door 5 MSSP's, en 304 geïntegreerde SOC's in het nationale SOC-netwerk. Fernandez merkte op dat CCN-STIC 896 "in een paar weken" in het Engels beschikbaar zal zijn, wat direct bruikbaar is voor lezers buiten Spanje.

Waar de panelleden landden op welke MSS-verticaal als volgende moet worden gebouwd:

Een nuttig detail vanuit de zaal: een publiekvraag stelde soevereiniteit als factor aan de orde (MSS-aanbieders die nationale soevereine entiteiten zijn versus multinationals). Llaneza antwoordde dat regelgeving op EU-niveau nodig is om 27 nationale schema's te vervangen, volgens het precedent van eIDAS-2. Ioannou's antwoord was dat een gedeelde basislaag tussen lidstaten het is dat bedrijven werkelijk laat samenwerken bij een grensoverschrijdend incident.

Wat dit betekent voor fabrikanten die onder de CRA leveren

De CRA-mijlpaal om op te focussen tussen nu en 11 december 2027 is conformiteitsbeoordelingscapaciteit, niet geharmoniseerde normen. Geharmoniseerde normen komen laat en ongelijkmatig. Aanwijzing van bevoegde autoriteiten is een deadline van juni 2026. Beschikbaarheid van aangemelde instanties is een aspiratie voor december 2026. Als uw product in Belangrijk klasse II zit, wordt uw CAB-pool zwaar gevormd door welke instanties al zijn aangemeld voor EUCC of geaccrediteerd onder de RED DA.

Voor fabrikanten in Default en Belangrijk klasse I is de praktische implicatie dat de modulekeuze dit jaar meer dan gewoonlijk telt. Module H (kwaliteitssysteem) heeft duidelijkere schaalbaarheidssignalen vanuit minstens één grote lidstaat; de beschikbaarheid van Module B (typeonderzoek) is ongelijk en niet openbaar in kaart gebracht. Als u zich legitiem kunt kwalificeren onder geharmoniseerde normen wanneer ze beschikbaar zijn, haalt die route een afhankelijkheid van CAB-aanbod weg.

Het EUCC-naar-CRA-vermoeden van conformiteit via een gedelegeerde handeling is nog niet begaanbaar, maar is het meest specifieke infrastructuurstuk in aanbouw. De 18 pilots en het doel van de Commissie om eind 2026 vast te leggen hoe de EUCC CRA-conformiteit ondersteunt, zijn wat u de komende twee kwartalen moet volgen.

Het MSS-schema is niet rechtstreeks een CRA-productzorg. Het telt omdat het het tweede CSA-schema is in actieve opstelling, na de EUDI Wallet, en het wordt eerder opgeleverd dan het eerste CRA-specifieke schema. De methodologische keuzes die ENISA hier vastlegt (ISO/IEC 17065 CAB-accreditatie, de Wallet-afgestemde evaluatiemethodologie) worden later meegenomen naar CRA-aanpalende schema's.

Volgende stappen

Dit artikel is uitsluitend bedoeld ter informatie en vormt geen juridisch advies. Voor specifieke compliance-begeleiding raadpleegt u een gekwalificeerde juridische adviseur.