Nog weinig consistentie in cybersecurity-wetgeving

Niet elke EU-lidstaat is even goed voorbereid als het gaat om cybersecurity. Dat blijkt uit een onderzoek van BSA | The Software Alliance, dat voor het eerst Europese wet- en regelgeving op het gebied van cybersecurity analyseerde.

De BSA | The Software Alliance toetste de nationale wet- en regelgeving in alle 28 EU-lidstaten aan de hand van 25 criteria die als essentieel worden beschouwd voor effectieve bescherming van cybersecurity. 

Doel van het onderzoek was de EU-landen een mogelijkheid te bieden om hun eigen beleid af te zetten tegen de belangrijkste uitkomsten. Daarnaast zet BSA een stap vooruit door de belangrijkste bouwstenen voor een krachtig juridisch kader voor cybersecurity te bepalen.

Verdeeld

“Als het gaat om cyberbescherming, is er in Europa sprake van grote verdeeldheid. De meeste lidstaten erkennen dat cybersecurity een prioriteit is. Toch blijft de volledige interne markt kwetsbaar voor bedreigingen vanwege de inconsistenties in hun aanpak”, zegt Thomas Boué, Director of Policy EMEA bij BSA. “De Europese richtlijn voor netwerk- en informatiebeveiliging kan helpen bij het verstevigen van het basisniveau van cybersecurity en cyberweerbaarheid, als die richtlijn zich richt op het in lijn brengen van de bescherming van de meest kritische Europese infrastructuur en op het introduceren van geharmoniseerde rapportage- en kennisdelingsprocessen binnen de gemeenschappelijke markt.”

Nationale prioriteit

Het onderzoek laat zien dat de meeste EU-lidstaten cybersecurity beschouwen als een nationale prioriteit - vooral als het gaat om kritische infrastructuren. Er zijn verder aanzienlijke hiaten tussen de cybersecurity-policy’s, juridische kaders en operationele mogelijkheden van alle lidstaten, met als gevolg een grote achterstand in algehele cybersecurity-bescherming in Europa. Bijna alle EU-lidstaten hebben incident response-teams samengesteld om cyberincidenten aan te pakken, maar het doel en de ervaring van deze eenheden verschillen.

Het onderzoek onderstreept verder dat er op het gebied van cybersecurity een zorgwekkend gebrek is aan systematische samenwerking tussen overheid en bedrijfsleven, en tussen Europese regeringen en niet-gouvernementele organisaties (ngo’s) en internationale partners. Op basis van het onderzoek raadt de BSA EU-lidstaten dan ook aan te focussen op vier belangrijke onderdelen van een krachtig juridisch kader voor cyber security.

1. Creëer en onderhoud een uitgebreid juridisch kader met policy’s, gebaseerd op een nationale cybersecurity-strategie die is aangevuld met branchespecifieke cybersecurity-plannen.
2. Geef operationele eenheden duidelijke verantwoordelijkheden voor operationele computerbeveiliging en emergency-response en incident-response.
3. Kweek vertrouwen en werk samen met het bedrijfsleven, ngo’s en internationale partners en allianties.

Stimuleer het onderwijs en het bewustzijn rondom risico’s en prioriteiten op het gebied van cybersecurity.

Pleidooien

Verder bepleit de BSA bij Europese regeringen dat zij geen nutteloze beschermingsregelingen treffen, die afbreuk kunnen doen aan cyberbeschermingsinitiatieven in plaats van ze te verbeteren. Lidstaten moeten volgens de organisatie vooral onnodige of onredelijke eisen vermijden, die de keuze kunnen beperken en kosten verhogen. Het gaat dan om onder meer unieke, landspecifieke certificerings- of testeisen, mandaten voor lokale content, voorschriften voor gevoelige informatie als broncode en encryptiesleutels, en beperkingen aan buitenlands eigendom en intellectueel eigendom. Daarnaast is het zaak dat lidstaten standaarden niet manipuleren, maar juist toonaangevende, internationaal erkende, technische standaarden ondersteunen. Verder zouden ze data-lokalisatieregels moeten vermijden en ervoor zorgen dat data vrij tussen de verschillende markten kan bewegen. Ook is het volgens de BSA onverstandig wanneer lidstaten de voorkeur geven aan eigen technologieën die buitenlandse concurrentie belemmeren en schadelijk zijn voor wereldwijde innovatie.

Situatie in Nederland

In het onderzoek stelt BSA vast dat Nederland een ver ontwikkeld juridisch en policy-kader voor cybersecurity heeft, waaronder de National Cyber Security Strategy 2 uit 2013. Dit is de tweede strategie in deze lijn; het cybersecurity-kader in Nederland wordt elke twee jaar vernieuwd. Nederland heeft ook een National Cyber Security Centrum (NCSC) dat zich op een centrale manier bezighoudt met aan cybersecurity gerelateerde procedures en werkwijzen. Het NCSC werkt daarnaast actief samen met Information Sharing and Analysis Centres (ISAC’s) voor sectoren die te maken hebben met een kritieke infrastructuur.

Het rapport signaleert verder dat er in Nederland geen wetgeving is die voorschrijft dat overheidsinstellingen een Chief Information Officer of Chief Security Officer moeten aanstellen. Ook kent geen Nederland geen verplichte melding van een beveiligingsincident.

Verder zijn er in Nederland geen sectorspecifieke prioriteiten opgesteld met betrekking tot cybersecurity. Wel ligt er een voorstel vanuit de National Cyber Security Strategy 2 om risicoanalyse en beveiligingseisen vast te stellen voor kritische infrastructuren in samenwerking met het National Cyber Security Centre.

“Hoewel deze studie geen rangorde aangaf, geeft zij wel aan dat Nederland het overall goed doet op het gebied van een beleid voor cybersecurity”, zegt Boué. “Nederland heeft een omvattende strategie vastgesteld voor nationale cybersecurity met duidelijke doelen die zij ook meet. Het land heeft ook duidelijk gemaakt dat cybersecuritystrategie in een levend document gevat moet worden met regelmatige updates naar aanleiding van nieuwe omstandigheden of opkomende issues. De huidige strategie is bepaald in 2013 en is een aanpassing van die van 2011. Nederland is daarnaast een van de vijf EU-landen die een actief publiek-private partnershipprogramma heeft opgezet. Hoe meer communicatie en coördinatie tussen EU-overheden, de private sector en internationale partners, hoe beter een land bestand is tegen opkomende cyberbedreigingen. Het National Cyber Security Centre (NCSC-NL) is een uitgebreid response-team dat optreedt als hub voor alle aan cybersecurity gerelateerde procedures. Deze organisatie is ook actief in het delen van informatie met sectoren die het dichts staan bij de kritische infrastructuur. Verder zijn bewustwording en educatie belangrijke pijlers van de Nederlandse cybersecurity-strategie.”