Waarom toezichthouders de voorkeur geven aan een geconvergeerde aanpak van cyberveerkracht
Inhoudsopgave:
Terwijl het digitale ecosysteem exponentieel groeit en cybercriminelen misbruik proberen te maken van beveiligingslekken, blijven toezichthouders druk uitoefenen op bedrijven om uitgebreide strategieën voor cyberrisico's te ontwikkelen. Ook houden ze bedrijven ter verantwoording als er iets misgaat.
Omdat cyberdreigingen veelzijdig en wereldwijd van aard zijn, hanteren toezichthouders een uniformere aanpak voor naleving van cyberrisico's. Een perfect voorbeeld hiervan is de Digital Operational Resilience Act van de Europese Unie, die de naleving van een gemeenschappelijke reeks cybersecurityregels voor het hele netwerk verplicht stelt.
De internationale samenwerking op het gebied van cyberweerbaarheid, met name op gebieden zoals kunstmatige intelligentie (AI), neemt ook toe. Zo hebben Groot-Brittannië, de VS en Canada in september 2024 hun krachten gebundeld. aangekondigde plannen om samen te werken aan cyberbeveiliging en AI-onderzoek.
Door de opkomst van convergente cyberregelgeving wordt van bedrijven in alle sectoren verwacht dat ze uitgebreide IT-risicobeheersing en -beleid ontwikkelen, handhaven en regelmatig beoordelen. Cyberexperts waarschuwen dat dit niet langer een kwestie is van één vinkje zetten.
Een geconvergeerde aanpak voor cyberveerkracht
Volgens Anu Kapil, senior productmanager bij het Amerikaanse IT-beveiligingsbedrijf Qualys, zorgen de snelle toename van geavanceerde cyberbedreigingen en de toenemende afhankelijkheid van digitale technologieën bij bedrijven ervoor dat regelgevers wereldwijd hun aandacht richten op kerngebieden zoals gegevensbescherming, cyberweerbaarheid en risicobeheer.
Zij betoogt dat toezichthouders profiteren van gestroomlijnd toezicht en de handhaving van grensoverschrijdende verantwoordingsplicht door een uniforme aanpak van privacy-, cybersecurity- en AI-regelgeving. Tegelijkertijd kunnen bedrijven een standaardset van kaders gebruiken voor gecentraliseerde naleving.
Sam Peters, Chief Product Officer van ISMS.online, is het daarmee eens en merkt op dat toezichthouders over de hele wereld steeds meer samenwerken aan domeinoverschrijdende cyberregelgeving als reactie op de toename van complexe digitale bedreigingen, geopolitieke uitdagingen en de groeiende verwachtingen van gebruikers ten aanzien van verantwoording.
Peters zegt dat toezichthouders hiermee de huidige silo's op het gebied van cybersecurity, dataprivacy en AI willen aanpakken. Deze silo's maken het voor organisaties moeilijker om cyberdreigingen te signaleren en te beperken.
Maar door de bovengenoemde silo's te elimineren, consistentere IT-regelgeving te bevorderen en leunend op bestaande risiconormen zoals ISO 27001Hij is ervan overtuigd dat toezichthouders kunnen helpen om innovatie over sectoren heen te versnellen en cyberrisico's te verkleinen.
Er wordt niet genoeg gedaan
Hoewel industrienormen zoals NIS2, DOR en ISO 27001 de laatste tijd meer op elkaar zijn afgestemd, zegt Mark Weir, regionaal directeur voor het Verenigd Koninkrijk en Ierland bij een leverancier van cybersecurityoplossingen Check Point Software, suggereert dat er nog een lange weg te gaan is voordat ze werkelijk ‘consistent’ en ‘omvattend’ zijn op wereldwijde schaal.
Hij stelt met name dat een gebrek aan geformaliseerde richtlijnen en governance voor kunstmatige intelligentie het voor organisaties moeilijker maakt om deze technologie correct te gebruiken. Zo maken kunstenaars zich zorgen dat AI inbreuk kan maken op hun auteursrechten, tenzij de technologie adequaat wordt gereguleerd.
Maar toezichthouders zijn niet de enige schuldigen. Hoewel brancheorganisaties zoals het National Cyber Security Centre waarschuwen voor het toenemende risico van cyberdreigingen en richtlijnen uitvaardigen om deze tegen te gaan, zegt Weir dat veel organisaties dit niet in de praktijk brengen. Hij maakt zich met name zorgen over het gebrek aan cybersimulaties en -oefeningen in de cyberweerbaarheidsplannen van bedrijven.
Hij vertelt ISMS.online: "Zonder proactieve planning en regelmatige tests neemt de kans op succesvol herstel na een cyberaanval aanzienlijk af, wat vaak resulteert in service-uitval, gegevensverlies en een afname van het vertrouwen van klanten."
Wat convergente cyberregelgeving betekent voor bedrijven
Het is duidelijk dat naarmate er nieuwe branchevoorschriften ontstaan en bestaande beleidslijnen samenvallen, bedrijven geen andere keuze hebben dan hun wettelijke verplichtingen serieus te nemen. Voor Peters betekent dit dat ze voldoende IT-risicobeheersing moeten implementeren, deze robuust moeten beheren en verantwoording moeten afleggen wanneer er iets misgaat.
Nu cyber- en AI-dreigingen snel toenemen, kunnen bedrijven het zich volgens hem niet veroorloven om compliance te beschouwen als een "eenmalige checklist". In plaats daarvan moeten ze een cultuur van continue verbetering ontwikkelen om ervoor te zorgen dat hun cyberweerbaarheidsplannen echt effectief zijn.
Peters zegt dat bedrijven die cyberweerbaarheid als een "strategische" en "voortdurende" oefening in alle afdelingen beschouwen, het meest succesvol zullen zijn. Hij legt uit: "Degenen die het goed aanpakken, krijgen een concurrentievoordeel: snellere toetreding tot de markt, sterker klantvertrouwen en minder risico op boetes van toezichthouders of reputatieschade."
Kapil is het ermee eens dat organisaties, in het licht van de convergentie van cyberregelgeving, zich op een mislukking zullen voorbereiden als ze niet continu aan de compliance-eisen voldoen. Ze moedigt bedrijven aan om aanpasbaar cybersecuritybeleid te ontwikkelen, dit regelmatig te monitoren en voorbereid te zijn op spontane auditverzoeken van toezichthouders.
Ze vertelt ISMS.online: "Om dit effectief te doen, kunnen bedrijven het verzamelen van bewijsmateriaal automatiseren, proactief controlelacunes beoordelen en op de hoogte blijven van de veranderende regelgeving op meerdere gebieden."
Een slimmere en geïntegreerde aanpak van cyberweerbaarheid
Om te voldoen aan de toenemende wettelijke eisen voor geconvergeerde cybercompliance en het versterken van hun cyberverdediging, dringt Peters er bij bedrijven op aan om handmatige en gefragmenteerde compliance-benaderingen te vervangen door een slimmere en meer geïntegreerde aanpak.
In de praktijk betekent dit volgens Peters dat risico, naleving en governance worden gecentraliseerd in één omgeving die eenvoudig kan worden geschaald, rekening houdt met bestaande en nieuwe regelgevingen in de sector en inzicht biedt in de risico's in verschillende bedrijfsonderdelen.
Eén manier om dit te doen, aldus Peters, is de implementatie van een informatiebeveiligingsmanagementsysteem dat voldoet aan de eisen van een erkende industrienorm zoals ISO 27001. Hij legt uit dat dergelijke normen niet alleen doelbewust worden vastgesteld, maar ook zijn ontworpen om grensoverschrijdende cybercompliance op een gestructureerde en aanpasbare manier te faciliteren.
"Door ISO 27001 als basis te nemen, krijgen bedrijven een systematische manier om risico's te identificeren, beoordelen en beperken. Bovendien ondersteunt de structuur ervan de opname van aanvullende kaders, of het nu gaat om privacy, AI-ethiek, veerkracht of sectorspecifieke mandaten", aldus Peters.
Hij voegt eraan toe dat bedrijven na de implementatie van een ISMS-platform de aanbevelingen van andere raamwerken – zoals ISO 22301 voor bedrijfscontinuïteit en/of ISO 42001 voor AI – kunnen integreren in hun verschillende compliance-inspanningen. Hij voegt eraan toe: "Dit vereenvoudigt het management en maakt het makkelijker om compliance aan te tonen voor meerdere normen en regio's."
Net als Peters waarschuwt Kapil bedrijven ervoor om verschillende IT- en cyberregelgeving afzonderlijk te hanteren, omdat dit leidt tot "inefficiënte en risicovolle" silo's. Ze is voorstander van een gecentraliseerde aanpak waarbij bedrijven afdelingsoverschrijdend beleid ontwikkelen dat is afgestemd op kaders zoals NIST, ISO en AVG.
Aangezien wettelijke verplichtingen voortdurend evolueren, benadrukt ze het belang van continue beleidsmonitoring – een taak die gestroomlijnd kan worden met behulp van automatiseringstools. Ze voegt eraan toe: "Met een geïntegreerde beleidsauditaanpak kunnen ze handmatig werk verminderen, de nauwkeurigheid verbeteren en risico- en compliance-inspanningen op één platform afstemmen."
De toekomst van cyberregelgeving
Kapil verwacht dat de regelgeving in de sector nog strenger zal worden vanwege het snel groeiende en steeds agressievere cyberdreigingslandschap. Ze gelooft dat bedrijven steeds meer onder druk zullen komen te staan om te bewijzen dat ze deze risico's continu en realtime aanpakken met een geïntegreerde cyberrisicostrategie. Door hier nu mee te beginnen, worden ze "wendbaarder, auditklaar en beter beschermd tegen regelgeving en cyberrisico's", voegt ze eraan toe.
Alan Jones, CEO en medeoprichter van YEO Messaging, een aanbieder van beveiligde communicatie, is het ermee eens dat de toekomst van cyberrisicocompliance meer geïntegreerd zal zijn. Hij verwacht dat meer bedrijven deze trend zullen omarmen door gebruikers in realtime te authenticeren en zero-trustarchitecturen te implementeren.
Nu steeds meer organisaties AI-systemen ontwikkelen, implementeren en gebruiken, zegt Satish Swargam, hoofdconsultant voor DevSecOps en veilige ontwikkeling bij een bedrijf voor applicatiebeveiliging Black Duckvoorspelt dat toekomstige regelgeving en nalevingsbeleid op het gebied van cyberbeveiliging op basis van deze technologie zullen worden ontworpen.
Niet alleen zullen industriële regelgevingen gericht zijn op het beperken van de bedreigingen van AI-modellen, maar de modellen zelf zouden ook de naleving van cybersecurity kunnen stroomlijnen. Swargam stelt zelfs dat AI de kracht heeft om "beveiligingsrisico's binnen de juiste context aan te pakken".
Bedrijven profiteren enorm van opkomende technologieën zoals AI, maar ze worden ook geconfronteerd met aanzienlijke ethische en cybersecurityrisico's die steeds omvangrijker en geavanceerder worden. Daarom moeten bedrijven deze risico's zorgvuldig beoordelen om hun werknemers, klanten en, sterker nog, hun reputatie te beschermen. En daarmee zullen toezichthouders tevreden zijn.
