Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS

Introductie van de voorgestelde EU-wet cyberweerbaarheid

Startpagina Woordenlijst Introductie van de voorgestelde EU wet cyberweerbaarheid

De voorgestelde Cyber Resilience Act (CRA) van de Europese Unie is een wetgeving die is ontworpen om cyberbeveiligingspraktijken binnen de EU te versterken en te reguleren. Het wordt verwacht dat deze wet een revolutie teweegbrengt in de manier waarop bedrijven, consumenten en overheden omgaan met cybertechnologie, door een extra laag veiligheid en betrouwbaarheid te bieden in een steeds digitalere wereld.

Dit artikel gaat dieper in op de oorsprong, structuur en impact van de Cyber Resilience Act, belicht de waarde ervan en schetst de verwachte uitdagingen waar de wet mogelijk mee te maken krijgt.

Introductie van de voorgestelde EU wet cyberweerbaarheid

De oorsprong van de Cyber Resilience Act

De Cyber Resilience Act is tot stand gekomen door toenemende bezorgdheid over cyberbeveiligingsdreigingen, uitdagingen op het gebied van gegevensprivacy en inconsistenties in regelgeving binnen de Europese Unie.

Nu de wereld steeds verder digitaliseert, dringt digitale technologie door in vrijwel elk aspect van het dagelijks leven. Van het aandrijven van bedrijfsprocessen en het faciliteren van overheidsdiensten tot het vormgeven van sociale interacties: digitale technologie is alomtegenwoordig en onmisbaar. Deze alomtegenwoordige afhankelijkheid van digitale technologie benadrukt de noodzaak van sterke, waterdichte cyberbeveiligingsmaatregelen om potentiële risico’s en dreigingen te voorkomen.

De wet is opgesteld met de bedoeling om de diverse nationale cyberbeveiligingsstrategieën en regelgevende protocollen binnen de verschillende EU-lidstaten te verenigen, die momenteel gefragmenteerd en onsamenhangend zijn. Dit gebrek aan samenhang leidt vaak tot regelgevingsgaten, beveiligingslekken en inefficiënties bij het aanpakken van cyberdreigingen.

De belangrijkste doelstellingen van deze wet zijn het versterken van digitaal vertrouwen onder gebruikers, het bevorderen van proactief beheer van cyberrisico’s, het waarborgen van strikte gegevensprivacy en het opzetten van een gecoördineerd, pan-Europees responsmechanisme voor het beheren van cyberincidenten.

Uiteindelijk is het doel van de wet om een geconsolideerde, uniforme cyberbeveiligingsinfrastructuur te bevorderen, die effectief bestand is tegen en kan reageren op de veelzijdige uitdagingen van toenemende cyberdreigingen in het snel veranderende digitale landschap van de EU.

Verschil tussen de EU Cybersecurity Act en de voorgestelde EU Cyber Resilience Act

De EU Cybersecurity Act richt zich op het opzetten van een raamwerk voor cyberbeveiligingscertificering van informatie- en communicatietechnologie (ICT)-producten, -diensten en -processen, met als doel het algemene niveau van cyberbeveiliging in de EU te verhogen.

De voorgestelde EU Cyber Resilience Act daarentegen is bedoeld om mogelijke zwakke plekken in de levenscyclus van digitale producten aan te pakken, waaronder hardware- of software-updates en nieuwe releases op de markt. Daarnaast wordt beoogd dat fabrikanten de beveiliging van producten met digitale elementen verbeteren vanaf de ontwerpfase en ontwikkelingsfase gedurende de gehele levenscyclus, waardoor transparantie wordt vergroot en veilig gebruik door bedrijven en consumenten mogelijk wordt gemaakt.

De Cyber Resilience Act is bedoeld om de cyberbeveiliging voor alle Europeanen te versterken, met focus op de beveiliging van producten met digitale elementen en het vermogen van bedrijven en consumenten om deze veilig te gebruiken. De wet introduceert ook nieuwe aansprakelijkheidsregels voor cyberincidenten en stelt eisen aan fabrikanten en distributeurs van apparaten met betrekking tot het melden van kwetsbaarheden.

Hoe verbetert de Cyber Resilience Act de cyberbeveiliging in de EU

De EU heeft een reeks maatregelen voorgesteld onder de Cyber Resilience Act om haar cyberbeveiligingsraamwerk te versterken. Een van de belangrijkste elementen van de voorgestelde wetgeving is het waarborgen van een verhoogd niveau van paraatheid, weerbaarheid en respons op cyberdreigingen in alle sectoren, zowel publiek als privaat. De voorgestelde wet streeft naar een uniform cyberbeveiligingsraamwerk binnen de EU om consistente beschermingsniveaus tegen cyberdreigingen te garanderen.

Positief is dat de Cyber Resilience Act een meer proactieve benadering wil creëren voor het identificeren en voorkomen van cyberdreigingen. De wet voorziet in een duidelijke en regelmatige beoordeling van potentiële cyberrisico’s, met uitgebreide rapportagemechanismen. Dit, samen met de focus op het verbeteren van de beschikbaarheid, integriteit en vertrouwelijkheid van informatie, kan de cyberbeveiligingsstatus van de EU aanzienlijk versterken.

Opvallend is dat de wet organisaties ook verplicht om te voldoen aan kernstandaarden en -normen voor cyberbeveiliging. Organisaties moeten hun vermogen tot cyberweerbaarheid aantonen, waardoor zij worden aangespoord om cyberbeveiliging prioriteit te geven in hun strategische planning. Dit zorgt ervoor dat bedrijven, ongeacht hun grootte, even goed zijn toegerust om cyberdreigingen het hoofd te bieden.

Bovendien zal de Cyber Resilience Act leiden tot meer samenwerking tussen EU-lidstaten. Door het instellen van een gedeelde standaard voor cyberbeveiliging, wordt gezamenlijke inspanning tussen lidstaten gestimuleerd bij het aanpakken van grensoverschrijdende cyberdreigingen. Dit kan bijdragen aan een meer gecoördineerde respons tijdens cyberincidenten.

Samengevat beoogt de voorgestelde Cyber Resilience Act de cyberbeveiligingsinfrastructuur van de EU te versterken door effectief risicobeheer, naleving van cyberbeveiligingsnormen en meer samenwerking tussen lidstaten.

Essentiële cyberbeveiligingsvereisten opgelegd door de Cyber Resilience Act

De CRA zal een aanzienlijke verschuiving teweegbrengen in de manier waarop organisaties hun digitale verdedigingsstrategieën beheren, door bedrijven te verplichten aan bepaalde cyberbeveiligingsvereisten te voldoen en weerbaarheid tegen cyberdreigingen af te dwingen. Het doel is om het functioneren van netwerken en informatiesystemen, die van cruciaal belang zijn voor het behoud van maatschappelijke en economische activiteiten, te waarborgen en te verbeteren.

Door het afdwingen van gestandaardiseerde cyberbeveiligingsvereisten wil het voorstel discrepanties in cyberbeveiligingsniveaus tussen lidstaten wegnemen. Bedrijven worden specifiek verplicht om risicobeheerpraktijken toe te passen, belangrijke cyberincidenten te melden en ervoor te zorgen dat hun digitale infrastructuur bestand is tegen of snel kan herstellen van verstorende incidenten.

Opvallend is dat de voorgestelde regelgeving zich niet alleen richt op preventie, maar ook op het vermogen van organisaties om snel en effectief te herstellen. Deze “weerbaarheids”-benadering weerspiegelt het groeiende besef dat, hoewel preventie essentieel is, ook het vermogen om snel en effectief te reageren wanneer er datalekken plaatsvinden van groot belang is.

Kortom, de CRA verplicht niet alleen tot cyberbeveiliging, maar ook tot cyberweerbaarheid, en spoort bedrijven aan om digitale dreigingen te zien als een risicobeheervraagstuk in plaats van enkel een technisch probleem. Als de CRA wordt aangenomen, betekent dit een grote stap vooruit in de ambitie van de EU om een weerbaar cyberbeveiligingslandschap te creëren.

Wie moet voldoen aan de Cyber Resiliency Act

De voorgestelde EU Cyber Resilience Act is van toepassing op alle entiteiten die digitale diensten aanbieden of digitale infrastructuren bezitten binnen de EU. Dit geldt zowel voor bedrijven die in de EU zijn gevestigd als voor buitenlandse bedrijven met activiteiten of klanten in de EU.

De wet zal in de eerste plaats van toepassing zijn op een breed scala aan organisaties en bedrijven. Dit zijn onder andere exploitanten van essentiële diensten (OES) zoals energie, transport, bankwezen en zorg, die van vitaal belang zijn voor het functioneren van de economie en de samenleving. Ook digitale dienstverleners (DSP’s), die online marktplaatsen, zoekmachines en cloud computing-diensten aanbieden, zijn verplicht om te voldoen.

Bovendien zullen sommige onderdelen van deze wet ook gelden voor overheidsinstanties en andere organisaties die betrokken zijn bij het leveren van kritieke maatschappelijke en economische functies. Van deze organisaties wordt verwacht dat zij aan een specifiek pakket cyberbeveiligingsvereisten voldoen volgens de wet.

Tot slot zullen bedrijven die ICT-producten, -diensten of -processen ontwikkelen of verkopen, hun activiteiten ook moeten afstemmen op de richtlijnen van de wet.

Structuur van de Cyber Resilience Act

De Cyber Resilience Act is in de kern opgebouwd uit verschillende belangrijke pijlers die essentieel zijn voor het bestrijden en beheren van cyberdreigingen in de EU. De CRA streeft ernaar een gemeenschappelijk cyberbeveiligingsraamwerk te creëren dat uniform van toepassing is in alle EU-lidstaten. Dit centrale kenmerk is bedoeld om minimale cyberbeveiligingsstandaarden op te leggen waaraan elke organisatie moet voldoen, zodat er een basisniveau van paraatheid en gereedheid op het gebied van cyberbeveiliging in de hele Europese Unie ontstaat.

Bovendien stelt de wet de oprichting van een centrale cyberbeveiligingsautoriteit voor. Deze instantie wordt gezien als een regelgevende krachtpatser die toezicht houdt op de naleving van de cyberbeveiligingsrichtlijnen en -standaarden die door de wet zijn vastgesteld. Deze autoriteit coördineert ook de respons op cyberincidenten en fungeert zo als een efficiënt knooppunt dat zorgt voor een collectieve en gesynchroniseerde reactie om de schade van dergelijke incidenten te beperken.

Een ander belangrijk element dat de wet introduceert, is de toegenomen focus op het beheersen van het inherente risico dat gepaard gaat met cyberdreigingen. De wet verplicht bedrijven om hun kwetsbaarheid voor potentiële cyberdreigingen grondig te beoordelen en passende maatregelen te nemen om deze risico’s te beheersen en te minimaliseren. Dit moet ervoor zorgen dat bedrijven zich niet alleen bewust zijn van de potentiële dreigingen voor hun cyberbeveiliging, maar ook een uitgebreid plan hebben om deze aan te pakken.

Bovendien legt de wet bedrijven de verplichting op om grote datalekken en incidenten te melden aan de centrale autoriteit. Dit wordt gezien als een belangrijke stap richting transparantie en verantwoording in de manier waarop organisaties omgaan met cyberincidenten. Dit helpt niet alleen de centrale autoriteit om beter inzicht te krijgen in het cyberbeveiligingslandschap in de EU, maar stelt hen ook in staat om een effectievere respons te coördineren op dergelijke incidenten.

Impact op organisaties

De Cyber Resilience Act zal naar verwachting aanzienlijke gevolgen hebben voor organisaties die binnen de rechtsbevoegdheid van de EU opereren. Deze belangrijke wetgeving introduceert nieuwe regelgevende verplichtingen, waardoor deze organisaties aan bepaalde cyberbeveiligingsstandaarden moeten voldoen en specifieke rapportageverplichtingen krijgen. Dit brengt een niveau van naleving met zich mee dat voorheen niet werd geëist.

Tegelijkertijd is het belangrijk te benadrukken dat deze wet niet alleen extra verantwoordelijkheden bij organisaties legt. Er zijn ook diverse voordelen die de algehele cyberweerbaarheid aanzienlijk kunnen verbeteren, met name de versterking van de bescherming tegen cyberdreigingen en mogelijke schade aan hun reputatie. Zodra de verplichte cyberbeveiligingsprotocollen volledig zijn geïmplementeerd, zullen organisaties beter in staat zijn om hun vitale bedrijfsactiva en gevoelige klantgegevens te beschermen tegen de steeds groeiende dreiging van cyberaanvallen. Dit kan potentiële financiële verliezen als gevolg van dergelijke incidenten beperken, waardoor de continuïteit en stabiliteit van het bedrijf worden gewaarborgd.

Bovendien is er ook een sterk zakelijk argument om de bepalingen van de wet te volgen. Door de toegenomen transparantie als gevolg van naleving van de wet, kan een organisatie haar toewijding aan cyberbeveiliging aantonen, wat het vertrouwen en de loyaliteit van klanten aanzienlijk kan vergroten. Dit leidt vaak tot het opbouwen van sterkere, duurzamere zakelijke relaties, waardoor men een competitief voordeel behaalt in het digitale tijdperk van vandaag.

Impact van de Cyber Resilience Act op EU-consumenten en burgers

Vanuit het perspectief van de consument of burger biedt de CRA diverse voordelen. Het belangrijkste voordeel is betere gegevensbescherming. Door ervoor te zorgen dat organisaties hun gegevens veilig verwerken, verkleint de wet de kans op datalekken en identiteitsdiefstal. Naleving van de wet zorgt er ook voor dat organisaties bij een datalek verplicht zijn om getroffen personen te informeren, zodat zij de kans krijgen om mogelijke schade te beperken.

Bovendien kan de wet het vertrouwen van consumenten in de digitale economie vergroten. Door te weten dat er strenge regelgeving is die cyberweerbaarheid afdwingt, voelen consumenten zich mogelijk veiliger bij het delen van hun gegevens en het aangaan van digitale transacties. Dit kan op zijn beurt de economische groei in de digitale sector stimuleren.

Vereisten voor naleving van de Cyber Resilience Act

Bedrijven die in de EU actief zijn, zijn gebonden aan tal van nalevingsverplichtingen zoals vastgelegd in de Cyber Resilience Act. Deze wetgeving vereist de implementatie van strikte gegevensbeveiligingsmaatregelen, frequente risicobeoordelingen en verplichte melding van datalekken die significant zijn qua impact.

Onder het strenge kader van de Cyber Resilience Act moeten organisaties sterke gegevensbeveiligingsmaatregelen treffen. Deze maatregelen zijn bedoeld om gevoelige informatie van consumenten en bedrijven te beschermen tegen ongeoorloofde toegang, gebruik, openbaarmaking, verstoring, wijziging, inzage, inspectie, opname of vernietiging. Hiervoor is het gebruik van geavanceerde beveiligingstechnologieën en protocollen vereist die cyberaanvallen en datalekken kunnen voorkomen.

Daarnaast zijn bedrijven verplicht om regelmatig risicobeoordelingen uit te voeren. Dit betekent dat zij hun operationele structuren en systemen kritisch moeten onderzoeken om potentiële kwetsbaarheden of dreigingen te identificeren. Deze beoordelingen vormen een cruciaal onderdeel om te bepalen waar het bedrijf staat op het gebied van cyberweerbaarheid en ondersteunen bij de ontwikkeling van een robuuste strategie voor cyberrisicobeheer.

Verder vereist de wet de verplichte melding van significante datalekken. In het geval van een dergelijk lek wordt van bedrijven verwacht dat zij het incident direct melden aan de autoriteiten. Het doel van deze meldingsplicht is om snel actie te kunnen ondernemen om de schade te beperken en andere bedrijven te waarschuwen die mogelijk risico lopen. Niet-naleving van deze strenge vereisten kan leiden tot zware sancties, variërend van hoge boetes tot zware juridische stappen. Dit onderstreept het belang van naleving van de wet en vormt een sterke afschrikking tegen lakse cyberbeveiligingspraktijken.

Bovendien kan niet-naleving ook leiden tot reputatieschade voor organisaties. Nu steeds meer consumenten en bedrijven zich bewust zijn van cyberdreigingen, geven zij de voorkeur aan samenwerking met bedrijven die prioriteit geven aan en blijk geven van een sterke inzet voor cyberbeveiliging. Wanneer een bedrijf niet voldoet aan de wet, loopt het het risico het vertrouwen van klanten en waardevolle zakelijke kansen te verliezen.

Niet-nalevende organisaties kunnen ook op een competitief nadeel komen te staan, wat mogelijk leidt tot een daling van het marktaandeel en de winstgevendheid. Zowel juridisch als zakelijk gezien is naleving van de Cyber Resiliency Act daarom van cruciaal belang voor organisaties die binnen de Europese Unie opereren.

Uitdagingen van de Cyber Resilience Act

Hoewel de Cyber Resilience Act beoogt uitgebreide bescherming te bieden tegen cyberdreigingen, zijn er wel degelijk uitdagingen. Door snelle technologische ontwikkelingen en de toenemende complexiteit van cybercriminaliteit moet de wet voortdurend worden aangepast om effectief te blijven. Cybercriminelen worden slimmer en innovatiever en passen steeds nieuwe methoden toe om beveiligingsmaatregelen te omzeilen. De regelgeving moet daarom continu worden bijgewerkt om gelijke tred te houden.

Bovendien blijven privacyzorgen een belangrijk discussiepunt. Het vinden van een balans tussen de noodzaak van cyberbeveiliging en het respecteren van individuele privacyrechten is een complex vraagstuk, zeker nu consumenten en bedrijven zich steeds bewuster worden van hun digitale rechten. De wet moet een evenwicht bewaren tussen het implementeren van sterke beveiligingsmaatregelen en het respecteren van privacyrechten.

Gezien deze uitdagingen moet de Cyber Resilience Act blijk geven van aanpassingsvermogen. Dit betekent niet alleen dat de wet moet worden bijgewerkt als reactie op nieuwe technologieën en cyberdreigingen, maar ook dat bedrijven redelijkerwijs in staat moeten zijn om veranderingen door te voeren zonder onnodige belasting. Dit vereist voortdurende feedback en samenwerking tussen de EU, bedrijven, consumenten en cyberbeveiligingsexperts.

Training en informatievoorziening zullen ook cruciaal zijn. Om de wet succesvol te laten zijn, moeten bedrijven de vereisten en het belang van naleving begrijpen. Evenzo moeten consumenten worden geïnformeerd over hun rechten en hoe zij hun gegevens kunnen beschermen. Dit bevordert een cultuur van cyberbewustzijn en zorgt voor de effectiviteit van de wet op de lange termijn.

De toekomst van de Cyber Resilience Act

De Cyber Resilience Act is baanbrekende wetgeving voor de Europese Unie die, indien aangenomen, een substantiële stap vooruit betekent in de bescherming van gevoelige informatie die door organisaties wordt verwerkt, bewaard en gedeeld. Het succes van de wet hangt echter grotendeels af van het vermogen om zich aan te passen en te ontwikkelen in een voortdurend veranderend technologisch landschap.

De strategieën en maatregelen van de wet moeten ook gelijke tred houden met de toenemende complexiteit van cyberdreigingen, die aanzienlijke uitdagingen blijven vormen.

Naast de kernfunctie heeft de wet ook het potentieel om als blauwdruk te dienen voor andere regio’s en landen die worstelen met vergelijkbare cyberbeveiligingsvraagstukken. Beleidsmakers wereldwijd zullen de effectiviteit van de wet nauwlettend volgen bij het versterken van cyberweerbaarheid en het beschermen van individuele gegevens in de Europese Unie. Het succes van de wet zou de weg kunnen banen voor navolging in andere delen van de wereld. Het is dan ook niet ondenkbaar dat vergelijkbare modellen internationaal worden overgenomen als de wet effectief blijkt, waarmee een nieuw tijdperk van geharmoniseerde, robuuste cyberbeveiligingsmaatregelen op wereldschaal wordt ingeluid. De impact kan dus veel verder reiken dan de Europese Unie, mogelijk leidend tot een meer gecoördineerde internationale aanpak van cyberbeveiliging.

Kiteworks helpt organisaties in de EU te voldoen aan de Cyber Resilience Act

De voorgestelde Cyber Resilience Act van de EU is een broodnodig antwoord op de groeiende cyberdreigingen in het digitale tijdperk van vandaag. Door een geharmoniseerd kader te creëren, wordt gestreefd naar meer cyberweerbaarheid, bescherming van persoonsgegevens en een gecoördineerde respons op incidenten.

Snelle technologische ontwikkelingen en evoluerende cyberdreigingen zullen vereisen dat de wet zich voortdurend aanpast. Daarnaast zijn voortdurende samenwerking en informatievoorziening essentieel voor een succesvolle implementatie. Hoe dan ook, de wet betekent een belangrijke stap richting een veiliger en veerkrachtiger digitaal landschap in de EU en mogelijk wereldwijd.

Het Kiteworks Private Content Network, een FIPS 140-2 Level gevalideerd platform voor beveiligd delen van bestanden en bestandsoverdracht, consolideert e-mail, bestandsoverdracht, webformulieren, SFTP en beheerde bestandsoverdracht, zodat organisaties elk bestand kunnen controleren, beschermen en volgen zodra het de organisatie binnenkomt of verlaat.

Kiteworks stelt organisaties in staat te bepalen wie toegang heeft tot gevoelige informatie, met wie deze gedeeld mag worden en hoe derden kunnen omgaan met (en hoe lang) de gevoelige inhoud die zij ontvangen. Samen beperken deze geavanceerde DRM-mogelijkheden het risico op ongeautoriseerde toegang en datalekken.

Deze toegangscontroles, evenals de enterprise-grade encryptie voor veilige overdracht van Kiteworks, stellen organisaties ook in staat te voldoen aan strikte datasoevereiniteitseisen.

Kiteworks-inzetopties omvatten on-premises, gehost, privé, hybride en FedRAMP virtual private cloud. Met Kiteworks: bepaal wie toegang heeft tot gevoelige inhoud; bescherm deze bij externe uitwisseling met geautomatiseerde end-to-end encryptie, multi-factor authentication en integraties met beveiligingsinfrastructuur; zie, volg en rapporteer alle bestandsactiviteiten, namelijk wie wat naar wie stuurt, wanneer en hoe. Toon tenslotte naleving aan met regelgeving en standaarden zoals GDPR, ANSSI, HIPAA, CMMC, Cyber Essentials Plus, IRAP, DPA en vele anderen.

Wil je meer weten over Kiteworks? Plan vandaag nog een demo op maat.

Terug naar Risk & Compliance Glossary

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo
Share
Tweet
Share
Explore Kiteworks