Een jaar in naleving: vijf belangrijke trends voor 2024

Een jaar in compliance: vijf belangrijke trends voor 2024

Door Phil Muncaster • 10 December 2024

Het was weer een jaar vol incidenten voor security- en complianceteams. Geteisterd door ransomware-aanvallen, toeleveringsketen en open source gevaren, informatiestelers, wereldwijde IT-storingen, en nog veel meer, velen hadden moeite om hun hoofd boven water te houden. Terwijl technologische innovatie, met name in kunstmatige intelligentie (AI), in rap tempo versnelde, hadden toezichthouders ook een druk jaar. Echter, naarmate de wetgevende mandaten zich opstapelden, waren sommige beveiligings- voors toegelaten dat veel nieuwe regels te moeilijk te begrijpen zijn en te tijdrovend om uit te voeren.

Dit is een verontrustende trend die waarschijnlijk zal aanhouden naarmate het tekort aan vaardigheden toeneemt. Maar er is licht aan het einde van de tunnel, als beveiligingsteams een manier kunnen vinden om hun nalevingsinspanningen te optimaliseren via best practice-normen zoals ISO 27001. Met dat in gedachten zijn dit de vijf dingen die we hebben geleerd van 2024.

Australië neemt cyberbeveiliging eindelijk serieus

Het heeft lang geduurd, maar Australië heeft eindelijk zijn eerste zelfstandige cybersecuritywetgeving gekregen. De Cyber Security Act is op het moment van schrijven nog in behandeling bij het parlement en is een ambitieuze nieuwe wet die belooft zeven belangrijke initiatieven te implementeren die zijn uiteengezet in de nieuwe CyberbeveiligingsstrategieHet zal onder andere het melden van ransomware-betalingen en nieuwe standaarden voor slimme gadgets verplicht stellen en het delen van informatie met de autoriteiten aanmoedigen.

Experts zeggen dat Australische organisaties de waarschijnlijke nieuwe vereisten voor kunnen zijn door hun huidige beveiligingspraktijken te beoordelen, te bepalen waar er hiaten of verbeterpunten zijn en een security-by-design-mentaliteit te hanteren. Er moet zeker iets veranderen Down Under. Er waren 483 meldingen van datalekken in de tweede helft van 2023, een stijging van 19% ten opzichte van het eerste deel van het jaar, waarvan de meeste (67%) werden veroorzaakt door kwaadaardige aanvallen.

AI-bedreigingen in overvloed nu nieuwe regels van kracht worden

Een van de belangrijkste statistieken van ISMS.online Rapport Staat van Informatiebeveiliging 2024 is dat 30% van de respondenten te maken kreeg met aanvallen met deepfakes. Daarmee staat het net achter social engineering en malware-infectie en is het een bewijs van de verbazingwekkende versnelling van technologische innovatie in het afgelopen jaar. Zoals altijd zijn toezichthouders druk bezig om deze en andere AI-bedreigingen voor bedrijven, consumenten en de maatschappij bij te benen.

Het is geen verrassing dat de EU het voortouw neemt op het gebied van regelgeving met haar AI-wet, die van invloed zal zijn op Britse bedrijven die willen verkopen op de interne markt. Het gebruikt een risicogebaseerde aanpak die AI-systemen in vier categorieën indeelt op basis van hun potentiële schade. Die in de categorie met een hoog risico vereisen het meeste werk, wat vereist dat organisaties grondige risicobeoordelingen uitvoeren, menselijke toezichtsmechanismen implementeren en Zorg ervoor dat de AI-systemen veilig, betrouwbaar en transparant zijn. Elders, de Kaderverdrag van de Raad van Europa inzake kunstmatige intelligentie is een breed gedragen, conventie op het niveau van de natiestaat ontworpen om juridische hiaten aan te pakken die voortkomen uit snelle AI-technologische ontwikkelingen. Het is nog maar de vraag of het de gewenste impact heeft.

De VS hanteert een minder hands-on benadering van regulering, iets wat waarschijnlijk zal doorgaan met een nieuwe Trump-regering. Maar dit reguleringsgat is op staatsniveau ingevuld worden. Organisaties moeten ISO 42001 zien als een handige gids voor het veilig gebruiken van AI. Nieuwe richtlijnen van NIST (over vijandige bedreigingen) en de NCSC (voor AI-ontwikkeling) zou ook moeten helpen.

IoT-fabrikanten worden nauwlettend in de gaten gehouden

Internet of Things (IoT)-systemen vinden hun weg naar alles, van fitnessbandjes tot slimme fabrieken. Maar ze vormen ook een potentieel significant veiligheidsrisico, aangezien fabrikanten tot nu toe geen formele regelgeving hadden om minimumnormen voor best practices te verplichten. Dat is nu veranderd, met nieuwe wetten op het niveau van het VK en de EU. Het VK was de eerste die de stoot gaf met zijn Wet op productbeveiliging en telecommunicatie-infrastructuur (PSTI). Er worden unieke en sterke wachtwoorden voor elk apparaat vereist. Daarnaast moeten fabrikanten programma's voor het bekendmaken van kwetsbaarheden en het uitvoeren van beveiligingsupdates uitvoeren die een bepaalde tijd moeten duren.

Hoewel het bescheiden is, zou het moeten helpen de IoT-beveiligingsnormen in de consumentenruimte te verbeteren en kan het in de loop van de tijd worden verbeterd. De EU Wet Cyberweerbaarheid (CRA) is veel ambitieuzer en zal vereist zijn voor alle fabrikanten of retailers die IoT-consumentenproducten op het continent willen verkopen. Het heeft een bredere reikwijdte en vereist een langere lijst met beveiligingsvereisten. Britse bedrijven die één oog op Europa hebben, zouden aan de vereisten van de PSTI moeten voldoen door zich te richten op de CRA.

Nieuwe Britse wetgeving op het gebied van cyberbeveiliging komt eraan

In het Verenigd Koninkrijk heeft de nieuwe Labour-regering dit jaar geen tijd verspild met het uitrollen van een aankondiging van nieuwe wetten met betrekking tot cyberbeveiliging, die zijn ontworpen om de veerkracht van het land tegen evoluerende bedreigingen te vergroten. De belangrijkste is de Wetsvoorstel cyberveiligheid en veerkracht, die de NIS-regelgeving zal bijwerken. Het zal met name de reikwijdte van het huidige NIS-regime vergroten "om meer digitale diensten en toeleveringsketens te beschermen", verplichte ransomware-rapportage invoeren en toezichthouders meer bevoegdheden geven - hoewel precies hoe onduidelijk is. De overheid kondigde ook een Digital Information and Smart Data Bill aan, wat in wezen een nieuwe versie is van de ingeblikte Data Protection and Digital Information Bill, bedoeld om het GDPR-regime van het VK bij te werken. Complianceteams zullen volgend jaar nauwlettend alle nieuwe informatie over de voorgestelde wetten volgen.

De laatste maanden van de vorige regering lieten ook genoeg stof tot nadenken over voor Britse bedrijven, waaronder een voorgesteld nieuwe gedragscode voor cyberbestuur en nieuwe voorschriften ontworpen om de beveiliging van datacenters te verbeteren.

Leveranciers van kritieke infrastructuur hebben genoeg te doen

In de EU stellen twee nieuwe wetten strenge eisen aan aanbieders van kritieke infrastructuur. De langverwachte deadline voor NIS 2-implementatie in oktober aangenomen. Het zal een groot aantal extra Europese organisaties binnen het bereik brengen, een nieuwe set basisbeveiligingsvereisten opleggen en een nieuw niveau van aansprakelijkheid voor incidenten opleggen aan het senior management. Opnieuw zullen Britse bedrijven die met Europa handelen, zich moeten houden aan, en ze kunnen het beste gebruiken gebruiken normen zoals ISO 27001 om hen hierbij te helpen.

Ondertussen treedt de Digital Operational Resilience Act (DORA) begin volgend jaar in werking: op 17 januari 2025. Deze wet schrijft ook een strikte nieuwe set regels voor, ditmaal voor financiële dienstverleners en hun IT-leveranciers. Nogmaals, ISO 27001 kan helpen door de fundamentele processen vast te stellen die nodig zijn om te voldoen aan de vereisten op het gebied van bijvoorbeeld incidentrespons, risicomanagement, risicomanagement in de toeleveringsketen en veerkrachttesten.

Een helpende hand

Naarmate de aanvalsoppervlakken van bedrijven toenemen, blijven dreigingsactoren cirkelen en worden toezichthouders veeleisender. Beveiligings- en complianceteams dreigen overweldigd te raken door de werklast. Het lijkt een zorgwekkende impact te hebben. De helft (50%) van de Britse bedrijven meldt dat ze in de afgelopen 12 maanden een vorm van beveiligingsinbreuk of -aanval hebben meegemaakt - oplopend tot 70% van de middelgrote bedrijven en 74% van de grote bedrijven. Dit is aanzienlijk hoger dan de respectievelijke cijfers van 32%, 59% en 69% in 2023.

Best practice-normen en -kaders zijn geen wondermiddel. Ze kunnen echter wel een groot deel van het zware werk doen, aangezien veel van de vereisten in de hierboven genoemde wetgeving dezelfde onderliggende doelen hebben. De sleutel is om een aanbieder te vinden die deze nalevingslast kan versnellen en stroomlijnen te midden van aanhoudende vaardigheidstekorten. Gelukkig bestaan deze tools wel.

Phil Muncaster

Phil Muncaster is al vijftien jaar IT-journalist. Hij begon in 20 als verslaggever van de IT-titel IT Week en klom op tot nieuwsredacteur voordat hij vertrok om een freelance carrière na te streven. Sindsdien heeft Phil geschreven voor titels als The Register, waar hij meer dan twee jaar als Azië-correspondent werkte terwijl hij in Hong Kong woonde, MIT Technology Review, SC Magazine, Infosecurity Magazine en anderen.

Lees meer van Phil Muncaster

Cyber security 6 januari 2026

Vijf trends op het gebied van beveiliging en compliance om in 2026 in de gaten te houden.

Hoe ziet het komende jaar eruit voor professionals in cybersecurity en compliance? We hebben het nieuws doorgenomen en de voorspellingen van branchegenoten bestudeerd...

Phil Muncaster

Cyber security 11 December 2025

Is een beveiligingslek door AI-agenten onvermijdelijk in 2026?

Is een beveiligingslek in AI-agenten in 2026 onvermijdelijk?

Het is misschien wel drie jaar geleden dat ChatGPT een nieuwe technologische wapenwedloop ontketende, maar alle ogen zijn nu gericht op AI-agenten. Voorstanders beweren dat het...

Phil Muncaster

Informatiebeveiliging 9 December 2025

Een jaar in naleving: vijf dingen die we in 2025 hebben geleerd - banner

Een jaar in compliance: vijf dingen die we in 2025 hebben geleerd

De afgelopen 12 maanden hebben opnieuw bewezen dat het cybersecuritylandschap zelden een tekort aan incidenten kent. Grote beveiligingsinbreuken kosten organisaties ...

Phil Muncaster