Naleving van regelgeving en normen

Kunstmatige intelligentie, virtuele realiteit, contactloze betalingen, het Internet der Dingen en vele andere takken van informatietechnologie groeien dagelijks.

Met hun groei en expansie ontstaan nieuwe dreigingsvectoren en kwetsbaarheden in het cyberlandschap. In hun rapport over Cybersecurity Trends in 2022 stelde het Wereld Economisch Forum dat “nu digitalisering zich blijft verspreiden en nieuwe technologieën worden geïntroduceerd, cyberrisico’s onvermijdelijk zullen toenemen”. Ze merkten ook op via hun onderzoeken dat “hoewel publieke en private belanghebbenden […] vastbesloten zijn hogere cyberweerbaarheid te bereiken, hun inspanningen vaak worden belemmerd door verschillende […] regelgevende barrières”.

Het begrijpen van regelgevende vereisten kan in feite een grote belemmering vormen voor bedrijven, vooral voor degenen die internationaal willen opschalen. In de volgende artikelen bieden we een overzicht van hoe we cyberbeveiligingsregelgeving kunnen benaderen, wat de meest voorkomende zijn en hoe we ze kunnen benaderen.

II. Regels en Normen

In 2005 voerde de Internationale Telecommunicatie Unie een studie uit naar nationale cyberbeveiligingsinitiatieven in 14 grote wereldeconomieën en in bijna 30 industrieën. Ze schatten dat er meer dan 174 initiatieven waren die mogelijk tot toekomstige beleidsmaatregelen zouden kunnen leiden en die actief waren. Tegenwoordig, op basis van het aantal wereldwijd aanwezige regelgeving en normen, is het waarschijnlijk dat het minimale aantal wereldwijd gehandhaafde cyberbeveiligingsbeleidsmaatregelen in de duizenden ligt.

Het is echter belangrijk om het verschil tussen regelgeving en normen te begrijpen, aangezien organisaties mogelijk verplicht zijn zich aan een of beide te houden. Een cybersecurityregelgeving is een wettelijk bindende regel (of set van regels) die een organisatie moet volgen. Naleving van deze regelgeving is verplicht, en organisaties die niet naleven, kunnen boetes of juridische stappen van overheidsinstanties riskeren.

Aan de andere kant is een cybersecuritystandaard een reeks richtlijnen of best practices die een organisatie kan volgen om de cybersecurityhouding te verbeteren. Naleving van deze standaarden is vrijwillig, maar het volgen ervan kan organisaties helpen om aan hun klanten, partners en regelgevende instanties de consistentie van hun cybersecurityhouding aan te tonen.

Samenvattend zijn regelgeving juridisch bindend en handhaafbaar volgens de wet, terwijl normen dat niet zijn. Aangezien normen echter vaker worden bijgewerkt, kan het naleven van een norm een organisatie helpen te voldoen aan een regelgeving. Bovendien kan, aangezien regelgeving doorgaans een breder bereik heeft, naleving van normen die specifiek zijn voor de sector van een organisatie helpen om zich te onderscheiden van concurrenten.

Daarom, afhankelijk van de activiteiten van een organisatie, kan het nodig zijn om te voldoen aan een specifieke norm of regelgeving. Het is echter veilig om aan te nemen dat elk modern bedrijf moet voldoen aan gegevensbescherming en cyberbeveiliging. Om deze reden heb ik de belangrijkste punten samengevat van twee verordeningen in Europa en twee veelgevraagde normen bij bedrijven wereldwijd: de Algemene Verordening Gegevensbescherming (GDPR), de Richtlijn Netwerk- en Informatie Systemen (NIS), ISO 27k en het National Institute of Standards and Technology (NIST).

Begrip van regelgeving en normen

In het geval dat je niet bekend bent met alle bovengenoemde beleidsmaatregelen, geef ik je een korte introductie tot vier daarvan:

• GDPR (Algemene verordening gegevensbescherming): Dit is de EU-verordening die de bescherming van persoonsgegevens en de rechten van individuen met betrekking tot hun persoonsgegevens regelt. Het is van toepassing op iedereen die persoonsgegevens van EU-burgers verwerkt, ongeacht waar ze zich bevinden. Dit betekent dat elke persoon die persoonsgegevens van Europese burgers verwerkt, verplicht is om de GDPR na te leven. De artikelen van de GDPR regelen onder andere maatregelen ter bescherming van persoonsgegevens, de benoeming van een functionaris voor gegevensbescherming en het proces en de melding van inbreuken.
• NIS-richtlijn (Richtlijn inzake Netwerken en Informatie Systemen): Dit is de EU-richtlijn die gericht is op het bieden van een beveiligingsbasis voor kritieke infrastructuur en essentiële diensten in heel Europa. Volgens deze richtlijn worden alle bedrijven die actief zijn in kritieke sectoren (zoals energie, transport en gezondheidszorg) en hun digitale dienstverleners (zoals zoekmachines en clouddiensten) verzocht om passende beveiligingsmaatregelen te implementeren. Bovendien vereist de richtlijn dat de lidstaten van de EU nationale cyberbeveiligingsstrategieën en incidentresponsplannen hebben die gelijkwaardig zijn aan of breder zijn dan de NIS-richtlijn. Dit betekent dat alle EU-lidstaten regelgeving moeten implementeren die minimaal alle onderwerpen van de NIS-richtlijn dekt, maar die uitgebreider kan (en moet) zijn.
• ISO 27000-norm voor cybersecurity: Ook bekend als ISO 27k, is het een internationale norm die een kader schetst voor een informatiebeveiligingsmanagementsysteem (ISMS). Het biedt een systematische benadering voor het beheren van gevoelige bedrijfsinformatie, zodat deze veilig blijft. Het bevat een reeks beleidsmaatregelen en procedures die organisaties kunnen gebruiken om hun vertrouwelijke gegevens te beschermen, evenals richtlijnen voor risicobeheer en naleving.
• NIST (National Institute of Standards and Technology) Cybersecurity Framework: NIST is een Amerikaanse overheidsinstantie die een breed scala aan cybersecurity-standaarden, richtlijnen en best practices publiceert. Het Cybersecurity Framework van NIST biedt een risicogebaseerde benadering voor het beheren van cybersecurity. De standaard is gestructureerd door vijf kernacties te beschrijven om compliant te zijn: Identificeren, Beschermen, Detecteren, Reageren en Herstellen.

GDPR, de NIS-richtlijn, ISO 27k en NIST behandelen allemaal cybersecurity en gegevensbescherming. Hoewel ze kunnen verschillen in termen van reikwijdte en vereisten, kan het aanpakken van een van hen een belangrijke stap zijn in het bereiken van de anderen. Bijvoorbeeld:

• Als we ISO 27k en NIST bekijken, kunnen we zien dat beide normen op grote schaal worden toegepast en erkend als beste praktijken voor cybersecurity. ISO 27k is echter een procesgerichte norm die richtlijnen biedt voor het beheer van gevoelige bedrijfsinformatie. NIST daarentegen is gebaseerd op een risicogerichte benadering en heeft tot doel om risico's van kwetsbaarheden in cybersecurity te identificeren, te beheren en te verminderen.
• If we take the NIS Directive and GDPR, we can see that they provide guidance and requirements to improve cybersecurity posture. The two are, in fact, overlapping in some aspects. However, it must be noted that GDPR aims to protect personal data at all levels, while the NIS Directive aims to provide guidance on all aspects related to information security but only on an industry-specific scope.

To summarize: the scope, enforceability, and purpose of your cybersecurity policies can be defined after regulations and standards but you must be aware of the differences between them in order to understand which one best applies to you. Once you’ve figured that out, it is just a matter of implementing them correctly. In the next section, a few suggestions on this matter.”

Hoe beheert u de naleving van beleid en regelgeving? Uitdagingen en oplossingen

Het implementeren van de bovengenoemde beleidsregels kan noodzakelijk zijn vanwege wettelijke vereisten of een aankomende audit. Het kan nodig zijn om wijzigingen aan te brengen in uw processen en structuur om te voldoen aan het betreffende beleid. Echter, voordat u dit doet, kunnen een paar algemene stappen worden genomen om u voor te bereiden op deze wijzigingen:

• Inventaris- en activabeheer: Organisaties beoordelen doorgaans hun huidige systemen, processen en procedures om hun nalevingsniveau te bepalen. Dit omvat het identificeren van bekende gebieden van niet-naleving, evenals bekende risico's en kwetsbaarheden in hun huidige infrastructuur.
• Training en communicatie: Het is cruciaal om uw middelen voor te bereiden op aankomende veranderingen om ervoor te zorgen dat iedereen in uw organisatie de noodzakelijke veranderingen begrijpt. Een audit of een infrastructuurupgrade kan verstoringen veroorzaken en kan vereisen dat werknemers nieuwe vaardigheden aanleren. Bewustzijn van deze zaken kan u helpen tijd te besparen bij het stellen van prioriteiten en het plannen van mogelijke oplossingen.
• Derden- en leveranciersbeheer: Dit is een aspect dat vaak over het hoofd wordt gezien. Een gedetailleerde en bijgewerkte inventaris van uw leveranciers zal waarschijnlijk vereist zijn om te voldoen aan de meeste normen en voorschriften. Zelfs als een beleid niet direct een derde partij adresseert, kan het nog steeds indirect veranderingen vereisen in de voorwaarden van overeenkomsten met externe dienstverleners.
• Gapanalyse: Als u de naleving van een regelgeving of norm controleert, is het belangrijk om voorbereid te zijn op het uitvoeren van een gapanalyse om gebieden te identificeren waar kritische wijzigingen nodig zijn. Dit is de eerste stap naar naleving en wordt het beste uitgevoerd door externe consultants met specifieke kennis van de naleving die u probeert te bereiken.

Kortom, naleving van regelgeving en standaarden kan moeilijk en duur zijn. Mogelijk moet u vertrouwen op externe adviseurs om naleving te bereiken als u niet over de benodigde interne competenties beschikt. Het begrijpen van de verschillen tussen beleid en regelgeving en het hebben van een strategie kan het proces echter soepeler maken en u helpen bepalen wanneer het de moeite waard is om te verbeteren met een standaard en wanneer het noodzakelijk is om aan regelgeving te voldoen.