BLOG – Technologie loopt altijd vooruit op regelgeving. De snelheid waarmee ontwikkelingen elkaar opvolgen, en vooral de explosieve groei van ai, maakt het moeilijk voor wetgevers om de risico’s rond nieuwe technologie in kaart te brengen en terug te dringen. In Nederland moeten bedrijven aan zowel nationale als EU-brede regels voldoen. Toch zien we dat organisaties daar niet stoppen, maar zich in het belang van hun stakeholders richten op streng onafhankelijke standaarden die mogelijke gaten in de regelgeving ondervangen.
Een voorbeeld. Organisaties in de EU moeten voldoen aan de eisen van de AVG. Veel it-beslissers zijn zich er maar al te goed van bewust dat de zes jaar geleden ontwikkelde wetgeving anno 2024 nou niet bepaald de gouden standaard op het gebied van gegevensbescherming vertegenwoordigt. Met de Network and Information Security (NIS2)-richtlijn is het niet anders gesteld. Deze cyberbeveiligingswet van de EU zag in 2016 het licht en werd vorig jaar bijgewerkt. Het doel hiervan is om ’te voorzien in wettelijke maatregelen om het algemene niveau van cyberbeveiliging in de EU te verhogen’. Meer specifiek ligt de focus van NIS2 op de mate van voorbereid zijn op cybersecurity, crisismanagement en de samenwerking tussen EU-lidstaten ten behoeve van een eenduidige ‘beveiligingscultuur’. NIS2 is van toepassing op een breed scala aan middelgrote tot grote organisaties die essentiële diensten verlenen. Denk aan energie- en nutsbedrijven, zorginstellingen, financiële dienstverleners en publieke instellingen.
Opgave
NIS2 is dus vooral een belangrijk uitgangspunt voor het verbeteren van de it-beveiliging binnen de EU. Dat is een overweldigende opgave voor wetgevers, want de EU telt bijna een half miljard inwoners en er zijn meer dan 31 miljoen bedrijven actief. En aangezien elke lidstaat de eisen van de richtlijn in de lokale wetgeving moet opnemen, kan het implementatieproces complex uitpakken. Dit maakt zowel de toepassing als handhaving van NIS2 kwetsbaar voor vertragingen en inconsistentie. Dit fenomeen kennen we al van de AVG. Elke lidstaat van de EU heeft zijn eigen trackrecord van veroordelingen en boetes opgebouwd.
Sommige lidstaten beschikken over meer middelen dan andere landen
Daarmee houden de problemen niet op. Volgens een onderzoek door de Copenhagen Business School is monitoring van de risico’s binnen de cybersecurity-supplychain ‘het grootste probleem rond de toepassing van NIS2’. Voor de meeste bedrijven vraagt dit om de grootste stap voorwaarts ooit ten opzichte van wat momenteel door de meeste bedrijven wordt toegepast. Sommige lidstaten beschikken bovendien over meer middelen dan andere landen voor de toepassing van een groeiend aantal richtlijnen die hun weg naar de wetboeken vinden. Dit uit zich in een gebrekkige afstemming tussen EU-lidstaten, hoewel harmonisatie een belangrijke doelstelling is en blijft.
Het niet aflatende tempo van technologische innovatie dreigt ook maatregelen, waarvan de ontwikkeling en toepassing jaren in beslag hebben genomen, hopeloos te verouderen. De afgelopen jaren zagen nieuwe beveiligingsrisico’s en kwetsbaarheden het licht. Na verloop van tijd zal de kloof tussen de regelgeving en praktijk alleen maar verder groeien, totdat de richtlijnen worden uitgebreid met verbeterde beveiligingsmaatregelen.
Benchmark
En dan is er nog de vraag hoe organisaties waarop richtlijnen zoals de AVG en NIS2 van toepassing zijn naar hun eigen verantwoordelijkheden kijken. Zien zij deze EU-richtlijnen als de benchmark voor effectieve gegevensbescherming en cybersecurity? Of proberen ze slechts voor overeenstemming met de wetgeving te bereiken en houden ze het verder voor gezien? Hoewel het aantrekkelijk is om ervan uit te gaan dat wet- en regelgevingskaders de belichaming zijn van hoge normen en best practices, kunnen organisaties vaak meer maatregelen treffen om hun beveiliging naar een hoger plan te brengen.
NIS2, AVG en andere belangrijke richtlijnen zouden voor organisaties het uitgangspunt moeten zijn voor het verbeteren van de databescherming en it-beveiliging. Om risico’s de baas te blijven is het van belang dat degenen die het voortouw nemen een stap verder gaan dan het waarborgen van compliance. Ze dienen meer nauwkeurige en relevante standaarden op te stellen die de wettelijk vereiste maatregelen voor iedereen versterken. Op die manier kunnen ze zich richten op de processen en technologieën die nodig zijn voor het vinden van oplossingen voor de uitdagingen binnen hun sector. Door het toepassen van robuuste, sectorspecifieke standaarden die verder gaan dan de wet- en regelgeving kunnen bedrijven zichzelf en hun klanten effectiever tegen nieuwe cyberdreigingen beschermen. Deze proactieve benadering beschermt hen niet alleen tegen de huidige risico’s, maar stelt hen tevens in staat om sneller in te spelen op nieuwe uitdagingen.
Organisaties die een cultuur van voortdurende verbetering omarmen en verder gaan dan de eisen van de regelgeving om voor daadwerkelijke digitale weerbaarheid te zorgen, zullen uiteindelijk het veerkrachtigst blijken te zijn. Terwijl wetgevers hard hun best doen om het tempo van ontwikkelingen bij te benen, is deze aanpak noodzakelijk om de richtlijnen blijvend op de praktijk te laten aansluiten.
Ben jij al NIS2-compliant?
17 oktober 2024 was de deadline, toen trad de nieuwe Europese NIS2-richtlijn in werking die de beveiliging van netwerk- en informatiesystemen verder aanscherpt. De richtlijn stelt strengere eisen op het gebied van risicobeoordeling, incidentmeldingen en aansprakelijkheid. Het doel is de digitale weerbaarheid van Europese bedrijven en organisaties te vergroten. Ben jij al klaar voor die nieuwe verplichtingen? Werken aan je compliance kan via een speciale masterclass die Computable recent met Cloudflare hield.
“Een voorbeeld. Organisaties in de EU moeten voldoen aan de eisen van de AVG. Veel it-beslissers zijn zich er maar al te goed van bewust dat de zes jaar geleden ontwikkelde wetgeving anno 2024 nou niet bepaald de gouden standaard op het gebied van gegevensbescherming vertegenwoordigt.”
Ik lees een mening die niet onderbouwd wordt met een voorbeeld of het moet om het feit gaan dat IT-beslissers zich niet veel aantrekken van geldende wet- en regelgeving. En deze obstructie is interessant als het om het aantrekken van de teugels gaat want NIS2 is net als GDPR/AVG vooral een verscherping van al bestaande regels.
“De afgelopen jaren zagen nieuwe beveiligingsrisico’s en kwetsbaarheden het licht.”
Nee, deze waren er altijd al maar werden stelselmatig genegeerd door IT-beslissers die nu echter hoofdelijk aansprakelijk zijn voor deze nalatigheid. Dus wat betreft het dak repareren als de zon schijnt gaat het om al het achterstallige onderhoud omdat digitaal opportunisme de kansen uitvergroot en risico’s verkleind. Zo zijn bijvoorbeeld veel processen onveranderlijk gebleven in een technologische vooruitgang waardoor hackers vrij spel kregen als we kijken naar enkele risico’s.
Maar laten we vooral ook niet de papieren tijgers in compliance vergeten doordat er nog altijd te goed van vertrouwen (Crowdstrike?) weinig getest wordt, er geen BC-planning is en last but not least een juridische verantwoordelijkheid om het afschuiven van de schuldvraag gaat. Oja, het gebrek aan kundig personeel in dit alles wordt een probleem want de hacker is beter geïnformeerd over een infrastructuur dan een goed betaalde zeemeeuw die krijst over ‘serverless’ architecturen.