Onlangs werd een onderzoek van BSA/The Software Alliance openbaar gemaakt, waarin voor het eerst de Europese wet- en regelgeving op het gebied van cyber security in kaart is gebracht. De belangrijkste conclusie is dat niet elke lidstaat even goed voorbereid blijkt te zijn als het gaat om cyber security.
Het onderzoek is gebaseerd op informatie uit de nationale wet- en regelgeving in alle 28 lidstaten van Europa. De 25 onderzoeksvragen waren verdeeld over de volgende sleutelgebieden: wettelijke kaders, operationele entiteiten, publieke-private samenwerking op het gebied van cyber security, sector-specifieke security-plannen en het onderwijs. Het doel van dit onderzoek was overheden van de EU-landen een mogelijkheid te bieden om hun eigen security-beleid af te zetten tegen key metrics. De BSA neemt hiermee een voortrekkersrol om juridische kaders te definiëren voor het toenemende aantal cyber security-aanvallen.
De belangrijkste aandachtsgebieden van het rapport zijn:
- De meeste lidstaten van de EU erkennen dat het werken aan cyber security en cyber-weerbaarheid – met bijzondere aandacht voor de bescherming van kritieke infrastructuur – een belangrijke nationale prioriteit moet zijn.
- Er bestaan aanzienlijke verschillen tussen het beleid op het gebied van cyber security in de verschillende lidstaten, de juridische kaders en operationele capaciteiten, waardoor er grote cyber security-hiaten ontstaan in Europa.
- Alhoewel alle 28 lidstaten van de EU operationele eenheden hebben vastgesteld, zoals computer emergency response teams (CERT’s), lopen de missie en ervaring van deze eenheden sterk uiteen.
- Een opmerkelijk verschil in Europa is het gebrek aan systematische samenwerking tussen NGO’s en publieke-private partijen. Slechts in vijf EU-lidstaten bestaat een degelijk raamwerk voor zulke samenwerkingen. Dit laat een groot gebied onbenut voor een effectieve, vrijwillige samenwerking tussen overheden en bedrijfsleven, dat eigenaar en exploitant is van het merendeel van de kritieke Europese IT-infrastructuur.
- Het bereiken van een coherente aanpak van cyber security in Europa zal een gezamenlijke inspanning van de lidstaten zijn. De Network and Information Security (NIS) – richtlijn en de implementatie ervan, biedt de mogelijkheid zich te richten op de bescherming van de meest kritieke diensten en activa. De NIS-richtlijn kan een kritieke rol spelen in het dichten van de cyber security-kloof in Europa
De BSA raadt de EU-lidstaten op basis van de onderzoeksresultaten aan te focussen op vier belangrijke onderdelen om een krachtig juridisch kader voor cyber security te scheppen:
- Creëer en onderhoud een uitgebreid juridisch kader met policy’s, gebaseerd op een nationale cyber security-strategie die is aangevuld met branche-specifieke cyber security-plannen.
- Geef operationele eenheden duidelijke verantwoordelijkheden op het gebied van operationele computerbeveiliging, rampenbestrijding en incidentrespons.
- Kweek vertrouwen en werk op security-gebied meer samen met het bedrijfsleven, NGO’s en internationale partners en allianties.
- Stimuleer het onderwijs en het bewustzijn rondom risico’s en prioriteiten op het gebied van cyber security.
Wat de Nederlandse situatie betreft, concludeert het onderzoek dat Nederland – met de National Cyber Security Strategy 2 – een ver ontwikkeld juridisch en beleidskader voor cyber security heeft. Het cyber security-beleid wordt elke twee jaar vernieuwd. Nederland heeft ook een Nationaal Cyber Security Centrum (NCSC), dat zich op een centrale manier bezighoudt met aan cyber security gerelateerde procedures en werkwijzen. Het NCSC werkt daarnaast actief samen met het Information Sharing and Analysis Centres (ISAC’s) voor sectoren die te maken hebben met een kritieke infrastructuur.
