De Europese Unie zet haar inspanningen voort om de cyberweerbaarheid in het hele blok te versterken door nieuwe wijzigingen in de Cybersecurity Act (CSA) die certificeringsschema's voor beheerde beveiligingsdiensten voorschrijven.
Deze veranderingen zullen nieuwe nalevingsverplichtingen creëren voor zowel de leveranciers als eindgebruikers van cybersecuritydiensten zoals incidentrespons en penetratietestplatforms. Maar hoe vermoeiend dergelijke regelgevende veranderingen ook kunnen zijn, experts beweren dat ze de cyberverdediging en het concurrentievermogen van veel getroffen bedrijven kunnen versterken.
Een strenger cybersecurityregime
Volgens Phil McGowan, systeemingenieur bij Managed Cybersecurity Platform jagerinDe komende wijzigingen in de CSA zullen in de nabije toekomst een aanzienlijke verandering teweegbrengen in de manier waarop bedrijven cyberbeveiligingsstrategieën implementeren en aan hun nalevingsverplichtingen voldoen.
Hij zegt specifiek dat deze veranderingen “meer nadruk zullen leggen op proactief risicomanagement, transparantie en verantwoording” te midden van een voortdurend veranderend cyberdreigingslandschap.
Hij voegt eraan toe dat bedrijven hierdoor waarschijnlijk meer druk zullen ervaren om gevoelige informatie te beschermen, cyberbeveiligingsinbreuken tijdig te melden en naleving aan te tonen door beveiligingsaudits uit te voeren en branchecertificeringen te behalen.
McGowan vertelt ISMS.online: "In essentie zijn de wijzigingen ontworpen om ervoor te zorgen dat organisaties cyberbeveiliging prioriteit geven als een IT-kwestie en een cruciaal onderdeel van hun algehele bedrijfsveerkracht en operationele strategie."
Geniet je van dit artikel?
Deze podcastaflevering vind je misschien ook leuk
Volgens Ralph Arrate, partner in AI en cyberbeveiliging bij advocatenkantoor Spencer West LLPDeze wijzigingen, in combinatie met nieuwe wetten zoals de Digital Operational Resilience Act, de Cyber Resilience Act en de NIS2-richtlijn, zijn een duidelijke indicatie dat de EU haar toezicht op cyberveiligheidszaken in de regio verscherpt.
Arrate is ervan overtuigd dat zij een robuust en consistent cybersecuritybeleid zullen opzetten dat erop gericht is het vertrouwen in technologische producten en diensten onder Europese bedrijven te vergroten.
Hij legt uit dat de EU hoopt dit te bereiken door certificeringen een belangrijke vereiste te maken voor digitale producten, diensten en processen. In de praktijk betekent dit dat bedrijven een “omvattende beoordeling van bestaande beveiligingsmaatregelen” moeten uitvoeren.
Ondanks Brexit zullen deze regels ook gevolgen hebben voor veel bedrijven in het Verenigd Koninkrijk. Arrate zegt dat Britse bedrijven met Europese activiteiten en handelspartners gedwongen zullen worden om een "nauwkeurige aanpak" te hanteren voor IT-beveiliging en product lifecycle management.
Blijf op de hoogte van de headlines met de IO-nieuwsbrief
Ontvang maandelijks een overzicht van alle informatie, privacy- en cyberbeveiligingsnieuws, rechtstreeks in uw inbox.
Hoewel sommige Britse bedrijfseigenaren deze regels als een regelgevende hoofdpijn kunnen zien, kunnen ze op de lange termijn nuttig zijn. Volgens Arrate kan het verkrijgen van een EU Cybersecurity Certification (EUCC) hen helpen "een concurrentievoordeel te behalen", omdat het een teken is van "kwaliteit en betrouwbaarheid".
Maar sommige IT-leveranciers zijn misschien minder optimistisch over de wijzigingen, waarbij Arrate beweert dat ze "extra bureaucratie met zich meebrengen". Hij voegt toe: "Veel spelers in deze sector voldoen al aan de Amerikaanse NIST- of ISO-normen, die niet exact overeenkomen met de nieuwe EUCC-vereisten."
Sean Wright, hoofd applicatiebeveiliging bij het fraude- en financiële criminaliteitsbeheerplatform Functieruimteziet de wijzigingen in de CSA als een positieve ontwikkeling voor bedrijven en het bredere cybersecuritylandschap.
Volgens hem geven veel organisaties momenteel ‘buitengewone’ bedragen uit aan cybersecurityproducten die niet de geadverteerde voordelen opleveren, waardoor bedrijven een ‘vals gevoel van veiligheid’ krijgen.
Wright heeft er echter vertrouwen in dat gevestigde normen, zoals de nieuwe CSA-regels, dit zullen tegengaan door ervoor te zorgen dat gecertificeerde producten hun beoogde taken uitvoeren. Hij vervolgt:
Bovendien kunnen organisaties, als ze een dienstverlener hebben waarop ze kunnen vertrouwen en in wie ze vertrouwen, een deel van de complexe aspecten van informatiebeveiliging overdragen aan mensen die beter zijn toegerust om dergelijke zaken te behandelen.
Voldoen aan deze wijzigingen
Als het gaat om het naleven van deze regels, zegt Arrate dat bedrijven eerst moeten beoordelen of ze binnen hun bereik vallen. Hij legt uit dat de betreffende amendementen gericht zijn op bedrijven die beheerde beveiligingsdiensten, 5G, IT-applicaties en andere digitale producten en diensten aanbieden.
Getroffen bedrijven moeten vervolgens bestaande cybersecurityprocessen controleren en vergelijken met de vereisten die in deze wetgeving zijn vastgelegd. Volgens Arrate kunnen organisaties hierdoor zwakke plekken in hun cyberverdediging vinden en deze dienovereenkomstig aanpakken om regelgevende maatregelen te voorkomen. Arrate moedigt bedrijven ook aan om zo snel mogelijk contact op te nemen met certificeringsinstanties, omdat dit de sleutel is tot het begrijpen van de vereisten van verschillende schema's.
Andere belangrijke aanbevelingen van Arrate zijn onder meer het aannemen van secure-by-design-principes in alle productontwikkelingsfasen, nauw samenwerken met leveranciers aan supply chain-beveiligingsnormen en het implementeren van een uitgebreid incidentresponsplan. Het allerbelangrijkste is dat hij bedrijven aanspoort om deze vereisten te monitoren naarmate ze evolueren om naleving van de nieuwste regels te garanderen.
Terwijl bedrijven software-updates implementeren, cybersecurityprocedures uitvoeren en reageren op incidenten, Spencer Starkey, executive VP van EMEA bij een Amerikaans cybersecuritybedrijf Sonicwall— zegt dat het van vitaal belang is dat ze al deze stappen documenteren om te voldoen aan de CSA. Hij zegt: "Deze documentatie is cruciaal tijdens wettelijke audits, en toont de toewijding van het bedrijf aan best practices voor cybersecurity."
Aangezien menselijke fouten een belangrijke oorzaak zijn van cybersecurityincidenten, zegt Starkey dat bedrijven van alle groottes hun werknemers moeten informeren over de nieuwste online bedreigingen en hoe ze deze kunnen aanpakken. Hij ziet dit als een vereiste voor "effectieve naleving van de CSA-amendementen".
Het belang van gestructureerde raamwerken
Het voldoen aan nieuwe regelgevingen zoals de CSA-amendementen kan voor veel bedrijven een overweldigend vooruitzicht zijn. Er zijn echter verschillende manieren om dit proces te stroomlijnen, zoals professionele frameworks en software.
Het aannemen van een industriestandaard zoals ISO 27001 is een uitstekende optie voor bedrijven beïnvloed door de CSA-wijzigingen omdat het hen een uniforme manier biedt om met informatiebeveiligingsgerelateerde problemen om te gaan, betoogt Nick Palmer, oplossingsengineering bij experts in oplossingen voor aanvalsoppervlakbeheer en dreigingsjacht bij Censys.
Hij vervolgt: “Certificering toont aan dat men zich houdt aan de beste wereldwijde praktijken, stroomlijnt audits en vermindert dubbele inspanningen bij het voldoen aan overlappende normen, waardoor naleving van regelgeving efficiënter en effectiever wordt.”
De nieuwste cybersecuritysoftware kan ook de complexiteit van compliance verminderen door vooraf geconfigureerde instellingen, automatisering en hoge schaalbaarheid te bieden, die allemaal in overeenstemming zijn met de wettelijke vereisten, zegt Palmer. "Ze kunnen helpen bij het centraliseren van bedreigingsdetectie, -bewaking en -respons, waardoor bedrijven deze mogelijkheden niet meer zelf hoeven te bouwen en onderhouden."
Palmer zegt dat cybersecurityplatforms ook kunnen zorgen voor paraatheid voor de nieuwste regels door realtime software-updates, integraties met standaarden en klantondersteuning te bieden om bedrijven te helpen navigeren door de snel veranderende dreigings- en regelgevingslandschappen. Hij vervolgt: "Bovendien zullen, zoals in de vorige punten is aangegeven, die leveranciers die oplossingen aanbieden met CSA-naleving die al is ingebakken, een aanzienlijk voordeel hebben."
Bredere implicaties
De CSA-wijzigingen zullen ongetwijfeld grote gevolgen hebben voor het cybersecuritylandschap en de bedrijfswereld in de komende jaren. Positief is dat Arrate voorspelt dat hun strikte en uniforme aard "het basisniveau van beveiliging in alle sectoren zal verhogen." Hij legt uit: "Bedrijven worden nu gedwongen om cybersecurity te integreren als een kernoverweging, wat op zijn beurt het digitale ecosysteem als geheel versterkt."
Ilona Cohen, Chief Legal and Policy Officer bij het platform voor bug bounty en het bekendmaken van kwetsbaarheden HackerOneis het ermee eens dat de certificeringen de potentie hebben om de uitkomst van cybersecurityprocessen in het hele blok te verbeteren.
Dit hangt echter af van hoe goed ze zijn ontworpen, wat volgens Cohen niet eenvoudig is, aangezien de beste praktijken in de sector voortdurend veranderen. Ze zegt: "ENISA [het Agentschap van de Europese Unie voor cyberbeveiliging] moet ook zorgen voor afstemming op de vele, vele cyberbeveiligingsbeleidslijnen die de EU de afgelopen jaren heeft aangenomen, zoals CRA, DORA en NIS2."
Dus, hoe kunnen Europese toezichthouders deze uitdagingen overwinnen en ervoor zorgen dat hun certificeringsschema's geschikt zijn voor het doel? Cohen roept hen op om managed service providers te dwingen dezelfde best practices te hanteren die andere belangrijke sectoren naar verwachting zullen volgen. Ze zegt: "Dit omvat het opzetten van robuuste vulnerability disclosure-programma's (VDP), het implementeren van best practices voor authenticatie en het waarborgen van gegevensbescherming."
Over het geheel genomen lijken de komende wijzigingen in de CSA een slimme zet voor de Europese Unie, aangezien haar ambities voor een digitale eengemaakte markt groeien. Voor technologieleveranciers zal het aanbieden van gecertificeerde beveiligingsproducten hen helpen zich te onderscheiden van hun concurrenten.
Ondertussen krijgen eindgebruikers meer gemoedsrust dat ze rendement op hun IT-investeringen zullen ontvangen. Natuurlijk zullen sommigen deze veranderingen zien als een extra laag bureaucratie. Maar dat is waar gevestigde industriestandaarden en SaaS-producten kunnen helpen door complianceprocessen te stroomlijnen.
