Om organisaties te ondersteunen bij de cybersecurity-uitdagingen en -kansen die de Digital Decade met zich meebrengt, organiseerden wij samen met KPMG het evenement 'Cybersecurity in de Digital Decade: bereid je voor op de toekomst.'
Gedurende dag gaven verschillende collega’s van ICTRecht en KPMG inzichten op het gebied van cyber security. De dag begon met Chief Knowledge Officer Arnoud Engelfriet die aangaf hoe cybersecurity zich uitwerkt in de Digital Decade, en eindigende - na alle break-outsessies - met Bas Dunnebier, Chief Science and Technology bij de AIVD.
Hij benadrukte het cruciale belang van samenwerking tussen de publieke en private sector op het gebied van cybersecurity. Zeker nu Nederland zich niet per se bevindt in een staat van oorlog of vrede, maar ergens daar tussenin. De dreigingen voor de nationale veiligheid worden steeds complexer en dynamischer. Bas riep op tot het versterken van de digitale veiligheid door intensieve kennis- en ervaringsuitwisseling, zodat we gezamenlijk de toekomstige uitdagingen kunnen aangaan. Hieronder volgen vier belangrijke inzichten van het evenement die jou kunnen helpen bij deze gezamenlijke missie.
1. Creëer een overzicht van alle opkomende wet- en regelgeving en stroomlijn compliance met bestaande processen
De Digital Decade is het ambitieuze plan van de Europese Unie om tegen 2030 wereldwijd digitaal koploper te worden door innovatie te stimuleren, data-uitwisseling te versnellen en sterke wetgeving in te voeren op het gebied van cybersecurity, digitale infrastructuur en kunstmatige intelligentie. Nieuwe wetgevingen, zoals de Network and Information Security Directive (NIS2), de Digital Operational Resilience Act (DORA) en de Cyber Resilience Act (CRA), zijn ontworpen om de beveiligingseisen te professionaliseren en te structureren.
Nieuwe wet- en regelgevingen beogen de digitale infrastructuur van overheden en bedrijven beter te beveiligen en verplichten organisaties cyberincidenten direct te melden. Hierdoor wordt de digitale weerbaarheid vergroot en de samenwerking tussen Europese cybersecurity-centra gestimuleerd. Met deze regelgeving wil de EU niet alleen innovatie bevorderen, maar ook zorgen voor een veilige digitale economie waarin bedrijven en burgers beschermd zijn tegen groeiende cyberdreigingen.
Het is veel, dus een goed overzicht en actuele kennis is onmisbaar. Wees je bewust dat veel regels uit eenzelfde gedachtegoed komen om mensenrechten digitaal te waarborgen en de markt te kunnen blijven stimuleren, wat er gevraagd wordt is een kwestie van logisch vandaaruit te redeneren (daar kom je er niet helemaal mee, maar dit ondersteunt het opzetten van processen in lijn met de wetgeving).
2. Bewustwording is een van de belangrijkste manieren om je te beschermen tegen dreigingen
Een van de grootste uitdagingen voor organisaties is het creëren van een cultuur van cybersecurity-bewustzijn. Bewustzijn creëren kan op allerlei verschillende manieren. Actieve betrokkenheid is nodig voor goede bewustwording binnen een organisatie van de digitale beveiliging(sdreigingen), alleen het “zenden” van informatie is onvoldoende. Denk aan het inhuren van een mystery guest, het opzetten van phishing campagnes en tabletop excersises. Het meten van resultaten toont de groei (of afname) in bewustwording en de effectiviteit van maatregelen. Focus de activiteiten op gedragsverandering en neem voldoende tijd voor een oefening; het werkt niet als het alleen een tick-the-box is.
3.Creëer, behoud en oefen een effectief (en realistisch) incident response beleid
Met de nieuwe regelgeving komt een grotere nadruk op incidentbeheer. Plannen en voorbereiding voor incidenten op het gebied van digitale beveiliging zijn essentieel om veiligheid te waarborgen. Desalniettemin loopt de praktijk vaak anders dan gepland: plannen worden niet uitgevoerd of het incident verrast de organisatie (en is nog onbekend?). De basis (wat kan er mis gaan en wie doet wat als dat gebeurt) moet daarom helder zijn. Als dat vast staat, moeten de relevante personen dergelijke scenario’s ook oefenen.
In het kader van incidenten voegt de nieuwe wet- en regelgeving toe aan bestaande meldplichten. Zorg dat je incidentmanagementsysteem intern is afgestemd op alle relevante meldplichten die van toepassing zijn. Denk aan
- de meldplicht van de AVG voor datalekken (“inbreuk in verband met persoonsgegevens”) aan de toezichthouder of betrokkenen,
- de meldplicht in de zorg van bepaalde incidenten bij de Inspectie Gezondheidszorg en Jeugd in de zorg,
- de meldplicht van incidenten uit de NIS2,
- de meldplicht van “ICT-gerelateerde incidenten” uit de DORA,
- en de meldplicht bij ernstige incidenten bij hoog risico AI-systemen en GPAI uit de AI Act.
4. Kijk vooruit en bereid je voor op nieuwe technologieën die digitale beveiliging fundamenteel veranderen
Nieuwe technologieën maken het landschap van digitale beveiliging nog ingewikkelder. Denk hierbij aan AI, quantum computing en de cloud. AI, zoals we vaak zien, verandert het speelveld: HackGPT en FraudGPT bieden bijvoorbeeld stapsgewijs hacking en fraude aan, voor iedereen met één druk op de knop. Quantum computing, hoewel iets dat eigenlijk niemand snapt, moet je als organisatie ook op voorbereid zijn. De enorme computerkracht creëert een paradigmaverschuiving, denk aan cryptografie die direct gebroken kan worden. Zowel de publieke als de private sector moeten de handen ineenslaan en kennis delen om samen sterker te staan tegen toekomstige dreigingen.
Phishing is ook nog steeds één van de grootste informatiebeveiligingsrisico’s. Het gebruik van AI binnen phishing verandert het speelveld en zorgt voor andere uitdagingen. Bewustwording en het regelmatig uitvoeren van phishingtests intern zijn fundamenteel bij het bestrijden van (de gevolgen van) phishing.
Conclusie
Hoewel de steeds meer digitaliserende praktijk dit eigenlijk al uitwees, bevestigen de nieuwe wet- en regelgeving het helemaal: cyber security is een onmisbaar deel van een gezonde en duurzame organisatie.
Het is duidelijk dat bewustwording, voorbereiding en samenwerking essentieel zijn voor het succes van deze digitale toekomst. In het domein van digitale beveiliging en het tegengaan van dreigingen is het daarnaast belangrijk om constant het totaalplaatje te schetsen. Veel situaties zijn niet zwart-wit. Om alle omstandigheden goed te begrijpen is kijken van twee (of meer) kanten en zelf kritisch blijven nadenken cruciaal.
Heb je vragen of ondersteuning nodig bij het navigeren door de complexiteit van de nieuwe wetgeving of het versterken van je cybersecuritystrategie? Wij kunnen je helpen. Neem contact met ons op om de mogelijkheden te ontdekken.
