Maak je klaar voor een nieuwe Britse datacenterbeveiligingsverordening ISMS.online

Bereid u voor op een nieuwe Britse datacenterbeveiligingsverordening

Door Phil Muncaster • 8 februari 2024

De Britse economie is steeds meer digitaal gericht. Volgens de overheidIn 7 droegen data voor bijna 2022% bij aan het bbp, en was driekwart van alle dienstenexport uit het land afhankelijk van data. Dit biedt een fantastische groeimogelijkheid, maar stelt organisaties en de klanten die daarop vertrouwen ook bloot aan nieuwe risico's. Daarom heeft de regering nieuwe voorstellen gepubliceerd om de datacentra van derden, die een groot deel van de digitale economie aandrijven, te reguleren.

In hun huidige vorm zouden de regels een nieuw wettelijk kader en een nieuwe regelgevende functie introduceren, waarbij minimale basisveiligheidseisen worden opgelegd aan eigenaren van datacenters. Deskundigen zijn van mening dat best practice beveiligingsframeworks zoals ISO 27001 voor dergelijke organisaties een nuttige manier kunnen zijn om naleving te garanderen.

Waarom hebben we veiligere datacentra nodig?

Datacentra vormen het hart van de digitale economie en stellen organisaties van elke omvang, actief in alle sectoren, in staat naadloze online diensten te leveren en efficiënter te opereren. De overheid schat dat 28% van alle Britse bedrijven gebruik maakt van diensten die worden gehost in datacentra, oplopend tot 62% van de grote bedrijven. Toch vormen zowel extreme weersomstandigheden als cyberdreigingen zoals datalekken en ransomware een groeiende uitdaging. Een parlementaire commissie Onlangs gewaarschuwd dat Groot-Brittannië een “hoog risico” loopt op een “catastrofale” ransomware-aanval.

Wat de oorzaak van een incident ook is, ernstige storingen kunnen een aanzienlijke financiële en reputatieschade eisen aan eigenaren van datacenters en de bedrijven en eindklanten die afhankelijk zijn van deze faciliteiten. Dat meldt het Uptime Instituut cijfers voor 2022 heeft 80% van de datacentermanagers en -exploitanten de afgelopen drie jaar te maken gehad met een of andere vorm van storing. Meer dan 60% van de mislukkingen in 2022 resulteerden in totale verliezen van minstens $100,000, vergeleken met 39% in 2019. Het aandeel dat meer dan $1 miljoen kostte, steeg in dezelfde periode van 11% naar 15%.

Maar hoewel de faciliteiten van cloudserviceproviders (CSP) en managed service providers (MSP) al worden gereguleerd door de Britse Network and Information Systems Regulations (NIS) 2018, geldt dit niet voor andere datacenters van derden. Dit maakt Groot-Brittannië tot een uitschieter onder de grote economieën. En daarom heeft de regering een nieuw openbaar consultatiedocument uitgegeven: Bescherming en verbetering van de veiligheid en veerkracht van de Britse data-infrastructuur.

Wat houden de voorstellen in?

De voorgestelde regels zouden specifiek betrekking hebben op aanbieders van datacenterdiensten op het gebied van colocatie en co-hosting. Eigenaren van faciliteiten zouden zich moeten registreren bij een aangewezen toezichthouder en “relevante informatie” moeten verstrekken over hun Britse activiteiten. Deze toezichthouder zou de macht hebben om het nieuwe raamwerk te beheren en af te dwingen, waarbij hij bij het nemen van beslissingen rekening zou houden met groei en innovatie.

Eigenaren van datacenters zouden ook moeten voldoen aan een reeks beveiligings- en veerkrachtmaatregelen, gerelateerd aan:
⦁ Risicobeheer
⦁ Fysieke en cyberbeveiliging van faciliteiten, netwerken en systemen
⦁ Incidentbeheer – waarbij significante incidenten aan de toezichthouder moeten worden gemeld en mogelijk aan klanten/betrokken partijen moeten worden bekendgemaakt
⦁ Veerkracht en continuïteit van de dienstverlening
⦁ Monitoring, detectie, auditing en testen
⦁ Bestuur en personeel
⦁ Beheer van de toeleveringsketen

“Data wordt een steeds belangrijkere motor van onze economische groei en speelt een centrale rol in onze publieke diensten. Door ervoor te zorgen dat bedrijven die het opslaan de juiste bescherming hebben om de risico’s van bedreigingen zoals cyberaanvallen en extreme weersomstandigheden te beperken, kunnen we de vruchten plukken en bedrijven gemoedsrust geven”, betoogde minister van Data en Digitale Infrastructuur, John Whittingdale, in een verklaring.

“De overheid neemt het veilig houden van gegevens serieus. Daarom roepen wij deze bedrijven op om hun inzichten en expertise actief te delen en er tegelijkertijd voor te zorgen dat we over de juiste regelgeving beschikken. Door van beveiliging een topprioriteit te maken in de manier waarop we met gegevens omgaan, gaan we niet alleen nieuwe uitdagingen aan, maar maken we Groot-Brittannië ook tot een wereldleider in het bevorderen van veilige en verantwoorde technologie.”

Normen en raamwerken kunnen helpen

Zoals bij elk nieuw regelgevingsvoorstel zijn er echter potentiële uitdagingen, aldus James McQuiggan, voorstander van beveiligingsbewustzijn bij KnowBe4.
“Ten eerste is de one-size-fits-all-aanpak wellicht alleen geschikt voor sommige datacenterexploitanten, vooral kleinere exploitanten die mogelijk worstelen met de kosten en complexiteit van compliance”, vertelt hij aan ISMS.online.

“Ten tweede bestaat het risico van overregulering, wat innovatie zou kunnen belemmeren of zou kunnen leiden tot een op compliance gerichte in plaats van een op veiligheid gerichte mentaliteit. Ten slotte is er de uitdaging om gelijke tred te houden met de snel evoluerende cyberdreigingen, waarbij de regelgeving snel achterhaald kan raken.”

Datacenterexploitanten zullen de nieuwste technologieën voor gegevensbeveiliging en veerkracht moeten inzetten en tegelijkertijd compatibiliteit en minimale downtime moeten garanderen, terwijl de technische schulden tot een minimum worden beperkt, voegt McQuiggan toe.

“Het naleven van een steeds groter wordende lijst van regelgeving en industriestandaarden kan tijd en moeite kosten, vooral voor kleinere operators. Het balanceren van compliance met operationele efficiëntie is een grote uitdaging”, stelt hij.

Normen voor beste praktijken kunnen echter helpen. Cruciaal is dat het consultatiedocument van de regering erop wijst dat “standaarden, beoordelingskaders en andere instrumenten kunnen worden gebruikt om de veiligheid en de veerkracht te beperken.” Dit opent de deur voor het gebruik van internationale standaarden zoals ISO 27001, dat een raamwerk biedt voor het opzetten, implementeren en beheren van een informatiebeveiligingsbeheersysteem (ISMS).

“Het raamwerk legt de nadruk op voortdurende verbetering, wat goed aansluit bij de dynamische aard van cyberveiligheidsbedreigingen en technologische vooruitgang. Het kan eigenaren van datacenters helpen gevoelige bedrijfsinformatie systematisch te beheren en de gegevensbeveiliging te garanderen”, zegt McQuiggan.

“Bovendien kunnen organisaties met de ISO 2700x-certificeringen aan leveranciers, klanten en toezichthouders aantonen dat het datacenter serieus is in het effectief beheren van informatiebeveiligingsrisico’s.”

De consultatie over de nieuwe wet loopt tot 22 februari, waarbij verschillende belanghebbenden, waaronder datacenterexploitanten, cloudproviders en experts uit de industrie, worden uitgenodigd om hun feedback op de voorstellen te geven. Het kabinet is van mening dat dit de nieuwe Wet bescherming persoonsgegevens en digitale informatie en de nieuwe wet bescherming persoonsgegevens en digitale informatie betreft Wet op productbeveiliging en telecommunicatie-infrastructuur (PSTI) 2022 zullen samen helpen de cyberveerkracht van de Britse digitale economie te vergroten, in een tijd van escalerende dreigingen en een groeiend aanvalsoppervlak van bedrijven. De tijd zal het leren.

Phil Muncaster

Phil Muncaster is al vijftien jaar IT-journalist. Hij begon in 20 als verslaggever van de IT-titel IT Week en klom op tot nieuwsredacteur voordat hij vertrok om een freelance carrière na te streven. Sindsdien heeft Phil geschreven voor titels als The Register, waar hij meer dan twee jaar als Azië-correspondent werkte terwijl hij in Hong Kong woonde, MIT Technology Review, SC Magazine, Infosecurity Magazine en anderen.

Lees meer van Phil Muncaster

Cyber security 6 januari 2026

Vijf trends op het gebied van beveiliging en compliance om in 2026 in de gaten te houden.

Hoe ziet het komende jaar eruit voor professionals in cybersecurity en compliance? We hebben het nieuws doorgenomen en de voorspellingen van branchegenoten bestudeerd...

Phil Muncaster

Cyber security 11 December 2025

Is een beveiligingslek door AI-agenten onvermijdelijk in 2026?

Is een beveiligingslek in AI-agenten in 2026 onvermijdelijk?

Het is misschien wel drie jaar geleden dat ChatGPT een nieuwe technologische wapenwedloop ontketende, maar alle ogen zijn nu gericht op AI-agenten. Voorstanders beweren dat het...

Phil Muncaster

Informatiebeveiliging 9 December 2025

Een jaar in naleving: vijf dingen die we in 2025 hebben geleerd - banner

Een jaar in compliance: vijf dingen die we in 2025 hebben geleerd

De afgelopen 12 maanden hebben opnieuw bewezen dat het cybersecuritylandschap zelden een tekort aan incidenten kent. Grote beveiligingsinbreuken kosten organisaties ...

Phil Muncaster