In 2022 worden de regels voor cyberbeveiliging in heel Europa strenger

Nu cyberaanvallen in de Europese Unie en het Verenigd Koninkrijk in alle opzichten - omvang, type en impact - blijven toenemen, nemen beleidsmakers initiatieven om ze op verschillende fronten een halt toe te roepen.

In december heeft de Europese Raad de richtlijn inzake netwerk- en informatiebeveiliging 2 (NIS2) goedgekeurd, een belangrijke stap in de richting van een herziening van het huidige EU-brede kader voor cyberbeveiliging. Verwacht wordt dat de nieuwe richtlijn, wanneer deze in 2022 definitief is vastgesteld, meer soorten bedrijven ertoe zal verplichten strengere cyberbeveiligingsmaatregelen te nemen, naast andere veranderingen. Aanbieders van clouddiensten, bijvoorbeeld, zouden worden beschouwd als aanbieders van essentiële diensten, met strengere eisen op gebieden zoals encryptie en governance.

Eveneens in december publiceerde de Britse regering de National Cyber Strategy 2022, en noemde het "een holistische, maatschappijbrede inspanning om de weerbaarheid van het Verenigd Koninkrijk te verbeteren". [1] Een rapport in The Stack, een Britse publicatie over bedrijfstechnologie, noemde het "een industriële strategie, een vaardighedenstrategie, een nationale veiligheidsstrategie en een verklaring van steeds actievere en interventionistische intentie door de regering van Hare Majesteit." [2]

Deze en andere beleidsinitiatieven op het gebied van cyberbeveiliging nemen toe in Europa tegen de achtergrond van toenemende cyberrisico's voor het bedrijfsleven en de samenleving. In de EU "nemen de cyberdreigingen toe ... en is het cyberbeveiligingslandschap gegroeid in termen van verfijning van de aanvallen, hun complexiteit en hun impact", aldus het EU-agentschap voor cyberbeveiliging (ENISA). ^[3] In het Verenigd Koninkrijk "waren de dreigingen weliswaar afkomstig van een reeks actoren die gebruik maakten van een reeks methoden, maar hadden ze één ding gemeen: ze leidden tot reële gevolgen", aldus het jaaroverzicht 2021 van het National Cyber Security Centre (NCSC).[4] "Er werden spaartegoeden gestolen, kritieke en gevoelige gegevens werden gecompromitteerd, de gezondheidszorg en openbare diensten werden verstoord en de voedsel- en energievoorziening werd aangetast."

EU-regels inzake cyberbeveiliging

NIS2 wordt aangevuld door nationale digitale strategieën en regels in de 27 lidstaten van de EU, alsmede meer gerichte EU-wetgeving, waaronder de Algemene verordening gegevensbescherming (GDPR) voor gegevensprivacy, de in behandeling zijnde Europese Cyber Resilience Act voor het Internet of Things (IoT)[5] en in behandeling zijnde regels getiteld Digital Operational Resilience in the EU Financial Sector.[6]

NIS2 en de GDPR worden beschouwd als de twee belangrijkste en meest verstrekkende stukken cyberbeveiligingswetgeving van Europa.[7] De verschillende maatregelen kunnen elkaar overlappen. Terwijl de krantenkoppen in 2021 bijvoorbeeld gericht waren op GDPR-boetes voor bedrijven die verkeerd omgingen met de gegevens van mensen, werden er ook boetes uitgedeeld aan bedrijven die er niet in slaagden cyberbeveiliging te waarborgen.[8]

NIS2 bevat voorschriften voor de nationale cyberbeveiligingscapaciteiten van de EU-lidstaten, regels voor grensoverschrijdende samenwerking en voorschriften voor de regulering van aanbieders van essentiële diensten. De ontwerpbepalingen van NIS2 voor de regulering van het bedrijfsleven omvatten: [9]

• Baseline cyberrisicobeheersmaatregelen.
• Rapportageverplichtingen.
• Rechtsmiddelen en sancties voor handhaving.
• Een bijgewerkte lijst van de bestreken sectoren en activiteiten.
• Uitgebreidere dekking van zowel middelgrote als grote bedrijven.

Sectoren die onder het huidige ontwerp vallen zijn energie, vervoer, financiële diensten, gezondheidszorg, water, digitale infrastructuur, aanbieders van beheerde diensten (waaronder aanbieders van beheerde beveiligingsdiensten), openbaar bestuur, ruimtelanceringsdiensten, post- en koeriersdiensten, afvalbeheer, bepaalde soorten fabrikanten, de levensmiddelenindustrie en digitale aanbieders, zoals onlinemarktplaatsen, zoekmachines en socialenetwerkplatforms.[10]

De Europese Raad, het Europees Parlement en de Europese Commissie zullen begin 2022 onderhandelen over een definitieve versie van NIS2; sommige waarnemers voorspellen dat medio dit jaar overeenstemming zal worden bereikt. Daarna hebben de lidstaten tot twee jaar de tijd om de bepalingen in nationaal recht om te zetten.

Britse cyberveiligheidsvoorschriften

De nationale cyberstrategie van het Verenigd Koninkrijk beschrijft de te bereiken resultaten tegen 2025, waaronder

• Meer talent en innovatie op het gebied van cyberbeveiliging.
• Het leiderschap van het land als een wereldwijde "cybermacht" vestigen.
• Tegenstanders afweren.
• Bedrijven helpen de economische voordelen van digitale technologie te maximaliseren met minder risico.
• Burgers beschermen.

Hoewel de strategie van het Verenigd Koninkrijk niet veel bijzonderheden bevat over regelgeving op het gebied van cyberbeveiliging, geeft zij wel een richting aan: "De regering heeft een belangrijke verantwoordelijkheid om burgers, bedrijven en organisaties te adviseren en te informeren over wat zij moeten doen om zichzelf online te beschermen. Waar nodig houdt dit ook in dat we de normen vaststellen waaraan belangrijke bedrijven en organisaties moeten voldoen om ons allemaal te beschermen", aldus het document.[11]

Net als in de rest van Europa zijn twee aandachtsgebieden voor regelgeving in het VK digitale diensten en aangesloten apparaten. "Wij zullen de bestaande regelgeving voor aanbieders van digitale diensten versterken en uitbreiden", aldus de strategie, waarin ook melding wordt gemaakt van een nieuw wetsvoorstel dat onlangs in het parlement is ingediend om minimumveiligheidsnormen voor aangesloten apparaten af te dwingen.

Beste praktijken op het gebied van cyberbeveiliging

Bedrijven die onder NIS2 vallen, moeten volgens Koen Van Impe, een Belgische beveiligingsonderzoeker, niet wachten met het plannen van hun nalevingsstrategieën tot het voorstel is afgerond. "Hoewel het door juridische goedkeuringsrondes moet gaan voordat het in nationale wetten wordt gezet, en er nog kleine veranderingen kunnen optreden, zal het grootste deel van het voorstel waarschijnlijk blijven zoals het geschreven is," zei hij. "Als zodanig kun je nu actie ondernemen om je voor te bereiden." [12]

In het Verenigd Koninkrijk geldt een soortgelijke raadgeving. Eén advies voor Britse CISO's, van het managementadviesbureau EY, suggereert dat het centraliseren van cyberbeveiligingsgovernance de sleutel zal zijn om veel nieuwe en veranderende cyberbeveiligingsregelgeving het hoofd te bieden. "Met de juiste tracking en oversight kunnen organisaties op een punt komen waar het reageren op talloze compliance-verzoeken in handen is van één persoon en voortkomt uit één set controles." [13]

ENISA heeft uiteengezet wat het beschouwt als beste praktijken in het kader van de Europese regelgeving inzake cyberbeveiliging, waarbij specifieke stappen worden uiteengezet tegen ransomware, e-mailgerelateerde bedreigingen en andere aanvallen. Op het gebied van ransomware, dat het ENISA omschrijft als de belangrijkste dreiging voor 2021-2022, doet het onder meer de volgende aanbevelingen:

• Veilige en redundante back-ups.
• Audits van identiteits- en toegangsbeheer.
• Bewustzijnstraining.
• Scheiding van ontwikkelings- en productieomgevingen.
• Delen van informatie over incidenten met de autoriteiten en de industrie.
• Gereedheidsbeoordelingen.
• Reactie- en herstelplannen.
• Gebruik van beveiligingstechnologieën waarvan bewezen is dat ze ransomware tegengaan.
• Voortdurend toezicht.

De kern van de zaak

De EU en het VK werken aan strategieën om de cyberdefensie in heel Europa te versterken. Bedrijven zullen in hun planning voor de komende jaren rekening moeten houden met tal van nieuwe maatregelen om te voldoen aan een sterk verschuivende regelgeving.

[1] "Nationale Cyberstrategie 2022," Britse regering

[2] "'A Rapid and Radical Overhaul' - 10 Key Insights into UK's Strikingly Bullish New National Cybersecurity Strategy," The Stack

[3] "ENISA Threat Landscape 2021," EU-agentschap voor cyberbeveiliging

[4] "NCSC Jaaroverzicht 2021," Nationaal Cyber Security Centrum

[5] "How a European Cyber Resilience Act Will Help Protect Europe," Europese Commissie

[6] "ISACA geeft richtsnoeren voor de door de EU voorgestelde Digital Operational Resilience Act," ISACA

[7] "The European Union, Cybersecurity, and the Financial Sector: A Primer," Carnegie Endowment for International Peace

[8] "GDPR Enforcement Tracker," CMS

[9] "Versterking van de EU-brede cyberveiligheid en veerkracht - de Raad stelt zijn standpunt vast," Europese Raad

[10] "Voorstel voor een richtlijn van het Europees Parlement en de Raad inzake maatregelen voor een hoog gemeenschappelijk niveau van cyberbeveiliging in de hele Unie," Europese Raad

[11] "Nationale Cyberstrategie 2022," Britse regering

[12] "Cyber Resilience Strategy Changes You Should Know in the EU's Digital Decade," Security Intelligence

[13] "Hoe Britse CISO's zich moeten voorbereiden op een nieuw tijdperk van groei," EY