Wat is de EU Cybersecurity Act (CSA) en welke impact gaat het hebben?

  1. 16 jul 2019
  2. 0 reacties
Jelle Wieringa

Jelle Wieringa, Security Awareness Specialist KnowBe4

Op donderdag 27 juni 2019 is een nieuw Europees decreet in werking getreden: de EU Cybersecurity Act (CSA). Daarin staat dat ENISA - het Europese agentschap dat in 2004 is opgericht om de netwerk- en informatiebeveiliging in de Europese Unie te verbeteren – een andere naam krijgt. Vanaf nu spreken we over het ‘EU Agency for Cybersecurity’. Maar er verandert (gelukkig) nog veel meer.

De positie van het agentschap wordt versterkt. Er is nu een concreet mandaat, waarbij wordt uitgegaan van één digitale Europese markt. Het doel is om deze markt gezamenlijk naar verdere volwassenheid te brengen en te beschermen tegen bedreigingen van allerlei kanten.

Dat wordt heel duidelijk uit de vier pijlers van het mandaat:

  1. Cybersecurity-certificatie

ENISA speelde al een sleutelrol bij de ontwikkeling van een nieuw certificatie-raamwerk en het EU Agency for Cybersecurity zal dat blijven doen. Het raamwerk is bedoeld als een soort kwaliteitskeurmerk voor cybersecurityproducten en -processen. Klanten binnen de Europese Unie en organisaties die internationaal actief zijn worden met zo’n keurmerk geholpen om beveiligingsproducten en -diensten beter te begrijpen.

Dat is hard nodig, want er is in de Europese markt een wildgroei van cybersecurity leveranciers, allemaal van verschillend niveau. Tel daarbij de toenemende en steeds meer complexe bedreigingen op waar organisaties mee te maken krijgen. Een nieuw certificatie-raamwerk is een goede stap richting het wegnemen van onbegrip en misverstanden over de kwaliteit en de functies van cybersecurityproducten. Zeker voor organisaties die geen specialisten in huis hebben is dit van groot belang. 

  1. Weerbaarheid

Het vergroten van de weerbaarheid van lidstaten en organisaties binnen de EU is nu onderdeel geworden van de missie van ‘het nieuwe ENISA’. Zowel landen als organisaties moeten de mogelijkheden en de middelen krijgen om zichzelf beter te beschermen tegen digitale bedreigingen.

We hebben het hier over een continu veranderend spanningsveld. Zoals de weerbaarheid steeds vergroot moet worden, is ook het dreigingsveld de hele tijd in beweging. Het is dan ook positief dat organisaties hulp krijgen bij dit voortdurend veranderende krachtenspel vanuit een breed gedragen platform als de Europese Unie.

  1. Effectief beleid

Vele landen, vele beleidsvormen. Eenduidigheid is belangrijk om de samenwerking binnen de EU te verbeteren. Met 28 lidstaten is de diversiteit op het gebied van cybersecurity enorm. Een van de doelen van het mandaat is om eenduidigheid te bieden: te laten zien wat effectief beleid is. Zo kunnen alle lidstaten en belanghebbenden hiervan profiteren.

Daarentegen zijn de digitale bedreigingen overal in de Europese Unie gelijk. Door vanuit een gezamenlijk agentschap beleid te formuleren en te implementeren kan schaalvoordeel behaald worden.  

  1. Het openbaar maken van kwetsbaarheden

Kwetsbaarheden bij organisaties openbaren is altijd een lastig proces. Enerzijds is het goed om cyberaanvallen of datalekken met de wereld te delen, omdat hierdoor bewustzijn gecreëerd wordt. Anderzijds is het een riskante onderneming, omdat het organisaties bloot kan stellen aan misbruik door kwaadwillenden. 

Hoe meer kwetsbaarheden bekend zijn, hoe meer we er daadwerkelijk op kunnen lossen. Door organisaties te helpen kwetsbaarheden op een gecontroleerde wijze openbaar te maken wordt het gemeenschappelijk belang gediend.

Kunnen we blij zijn met de komst van de EU Cybersecurity Act?

Cybersecurity is een inhaalrace. Eentje waarbij we continu bezig zijn om kwaadwillenden buiten de deur te houden. Tegenwoordig bestaat de groep vijanden niet alleen uit script kiddies of individuele hackers. Acties van de georganiseerde misdaad en aanvallen gesponsord door naties zijn aan de orde van de dag. Het landschap is veranderd, en daarom moeten wij ook veranderen. Individuele organisaties kunnen de vloedgolf aan tegenstand nauwelijks nog het hoofd bieden. De sleutel ligt in samenwerking.

Samenwerking door nieuwe ontwikkelingen te delen, elkaar te helpen de complexiteit van onze digitale wereld beter te begrijpen en elkaar attent te maken op gevaren. Zo kunnen we voorkomen dat er op alsmaar grotere schaal aanvallen plaatsvinden, die steeds ontwrichtender zijn. En kunnen we samen bouwen aan een betere verdedigingsstrategie.

De EU Cybersecurity Act geeft aan dat het tijd is om de krachten te bundelen. Het is een middel om onze digitale wereld weerbaarder te maken. Bovendien geeft het decreet een krachtig statement af: grenzen, geografisch of zelf opgeworpen, staan een gezamenlijk aanpak van dit doorlopende probleem niet langer in de weg. Samen staan we sterker.