Waarom worstelen cybersecurityprofessionals met compliance? ISMS.online

Waarom worstelen cybersecurityprofessionals met compliance?

Door Nicholas Fearn • 6 juni 2024

Naleving van de regelgeving is een steeds grotere prioriteit voor cyberbeveiligingsteams, omdat ze te maken krijgen met toenemende cyberbeveiligingsrisico's, het gebruik van technologie toenemen en moeite hebben om door het snel evoluerende wetgevingslandschap te navigeren. Het niet naleven van de voorschriften die zijn vastgelegd in wetten zoals de Britse Data Protection Act 2018 en de EU AI Act, kan leiden tot aanzienlijke boetes. Maar nu de cyberbeveiligingsteams al overbelast zijn en onder druk staan van het senior management, is dit verre van eenvoudig.

Dit is waar industriestandaarden een grote rol kunnen spelen bij het helpen stroomlijnen van de naleving van de regelgeving.

Naleving is niet eenvoudig

Compliance is een groeiende uitdaging voor veel cybersecurityprofessionals. In een recent onderzoek van de 200 technologiebeslissers onder leiding van Infosecurity Europe geeft bijna de helft (44%) toe dat ze moeite hebben om te voldoen aan de cyberbeveiligingswetgeving, omdat deze te moeilijk te begrijpen en te tijdrovend is om te implementeren.

Hieruit blijkt dat van de twaalf bestaande en opkomende cyberbeveiligingsregels de Amerikaanse Sarbanes-Oxley Act (SOX) een van de meest ingewikkelde is om te implementeren. 12% van de respondenten omschreef het zelfs als “zeer complex”. Ondertussen is 41% van de cyberbeveiligingsprofessionals van mening dat de Britse Data Protection Act, de EU Cybersecurity Act en NIS/NIS75 “enigszins complex” zijn om na te leven.

Elders in dit onderzoek zegt 24% van de respondenten dat de EU Cybersecurity Act en de Data Security and Protection Toolkit (DSPT) de meest relevante regelgeving zijn voor hun organisaties, gevolgd door de Britse Data Protection Act (22%). Het is alarmerend dat slechts 50% van de organisaties volledig voldoet aan SOX en de EU Cybersecurity Act, wat de uitdagingen illustreert waarmee cyberbeveiligings- en compliance-teams worden geconfronteerd in een snel evoluerend regelgevingslandschap.

Deze kwesties worden ook benadrukt in ISMS.online's De staat van informatiebeveiliging 2024 rapport, waarin naleving van regelgeving en normen wordt gerangschikt als de op een na grootste uitdaging waarmee cyberbeveiligingsteams worden geconfronteerd (33%). In een andere belangrijke bevinding uit het rapport zegt bijna de helft (46%) van de respondenten dat het voldoen aan ISO 27001 zes tot twaalf maanden kan duren. Nog eens 12% zou twaalf tot achttien maanden nodig hebben om dit doel te bereiken, wat voor 11% van de respondenten zou oplopen tot ruim anderhalf jaar.

De last groeit

Een van de belangrijkste redenen waarom cyberbeveiligingsteams het zo moeilijk vinden om aan de regelgeving te voldoen, is de groeiende omvang en complexiteit van de sectorregelgeving, aldus Richard Breavington, partner bij advocatenkantoor RPC.

“De enorme hoeveelheid wetgeving die van invloed kan zijn op organisaties, in combinatie met het feit dat ze snel veranderen en worden bijgewerkt, betekent dat het een uitdaging kan zijn om naleving te garanderen”, vertelt hij aan ISMS.online. “Bovendien vereisen deze regelgeving verschillende technische en organisatorische normen die niet noodzakelijkerwijs uniform zijn.”

Steven Wood, directeur oplossingsadvies bij IT-beveiligingsbedrijf OpenText Cybersecurity, wijt deze compliance-problemen deels aan ongeoorloofd gebruik van consumententechnologie, onverwachte fusies, onderinvesteringen en de constante druk om de concurrentie voor te blijven.

“Naarmate het dreigingslandschap blijft evolueren, worden beveiligingsteams geconfronteerd met de uitdaging om dynamische IT-omgevingen te beveiligen en tegelijkertijd te voldoen aan strenge compliance-eisen”, vertelt hij aan ISMS.online. “Bovendien vereisen evoluerende bedreigingen zoals phishing, exploits van de toeleveringsketen, bedreigingen van binnenuit en zero-day-kwetsbaarheden een veelzijdige benadering van cyberbeveiliging.”

Sean Wright, applicatiebeveiligingsleider bij Featurespace, suggereert dat de groeiende kloof in cyberbeveiligingsvaardigheden – een belangrijke uitdaging die door 31% van de respondenten in het ISMS.online-onderzoek wordt geïdentificeerd – betekent dat veel organisaties simpelweg niet over de middelen beschikken om te voldoen aan nieuwe en opkomende regelgeving .

Hij vertelt ISMS.online dat compliance zelden een “eenmalige” oefening is voor bedrijven, maar dat het de voortdurende aandacht van cybersecurityteams vereist. Hij voegt eraan toe dat voortdurende veranderingen in de bestaande wetten – naast de introductie van nieuwe regelgeving – de last en de werklast voor overbelaste cyberbeveiligingsteams vergroten, waardoor het voor hen gemakkelijker wordt om belangrijke details te missen of over het hoofd te zien.

Naleving stroomlijnen

Breavington van RPC is van mening dat organisaties het proces zouden kunnen stroomlijnen door het opstellen en implementeren van een “zinvol complianceplan” te delegeren aan een toegewijd team van speciaal opgeleide professionals.

Deze experts zouden het voortouw nemen bij het identificeren van relevante regelgeving, het begrijpen van de belangrijkste wettelijke vereisten en ervoor zorgen dat hun organisatie volledig aan de regelgeving voldoet, zegt hij.

“Voor zover mogelijk is het de moeite waard om te proberen consistente technische standaarden te vinden die naleving over de hele linie mogelijk maken, zelfs als dat betekent dat we mogelijk verder gaan dan wat nodig is voor sommige regels”, betoogt hij.

Het opleiden van werknemers over de nieuwste trends op het gebied van informatiebeveiliging, social engineering en compliance kan organisaties ook helpen beter te voldoen aan de cyberbeveiligingsregelgeving en hun reputatie te beschermen, betoogt Wood van OpenText Cybersecurity.

“Uitgebreide opleidingsprogramma’s voor medewerkers zijn van cruciaal belang om te voorkomen dat menselijke kwetsbaarheden worden uitgebuit”, zegt hij.

Wright van Featurespace dringt er bij cyberbeveiligingsteams op aan om “robuuste” en “herhaalbare” processen te implementeren om aan de voortdurende wettelijke verplichtingen te voldoen. Hij moedigt hen ook aan om “herhaalbare items” te automatiseren, zodat deze verplichtingen geen cruciale cyberbeveiligingsmiddelen uitputten.

Bedrijven kunnen de effectiviteit van hun cybersecurity-complianceprogramma’s vergroten door ervoor te zorgen dat elk teamlid het belang van deze regelgeving begrijpt, vervolgt hij. Dit zorgt ervoor dat compliance “niet alleen een inspanning van het beveiligingsteam wordt, maar een inspanning van het hele bedrijf”.

Het belang van ISO 27001

Door een wereldwijd erkende industriestandaard zoals ISO 27007 te implementeren, kunnen organisaties de best practices ontwikkelen die nodig zijn om hun cybersecuritypositie te verbeteren en uiteindelijk aan de eisen van toezichthouders te voldoen.

Breavington van RPC legt uit dat deze accreditaties eenvoudig te actualiseren zijn en de voortdurende toewijding van een organisatie aan de naleving van de regelgeving zullen aantonen. Hij suggereert dat dit een effectievere aanpak is dan “het bijhouden van de vele en mogelijk minder specifieke wettelijke en regelgevende vereisten”.

Wright ziet ook de waarde van het volgen van ISO 27007, omdat hij gelooft dat organisaties hierdoor het vertrouwen van klanten in hun benadering van cyberbeveiliging en compliance kunnen vergroten. Hij voegt eraan toe dat technische oplossingen zoals een Information Security Management System (ISMS) hen in staat zouden stellen om bepaalde compliance-eisen te stroomlijnen en eraan te voldoen – en daarbij ‘middelen vrij te maken’ bij uitgebrande en overwerkte cyberbeveiligingsteams.

Gezien de mogelijke financiële gevolgen en gevolgen voor de reputatie is het niet naleven van de sectorregelgeving geen optie. Maar met behulp van gebruikersbewustzijnsprogramma's, best practices uit de sector en de nieuwste geautomatiseerde cyberbeveiligingstools is er voor organisaties op zijn minst een manier om de lasten te verminderen.

Nicholas Fearn

Nicholas Fearn is een freelance journalist uit de Welsh Valleys. Hij heeft geschreven voor grote media als de Financial Times, The Independent, The Telegraph, Evening Standard, iNews, HuffPost en Insider, maar ook voor B2B-publicaties als Computer Weekly, Computing en IT Pro. Als Nic niet over de nieuwste gadgets en technologische trends schrijft, luistert hij waarschijnlijk naar de hele discografie van Mariah Carey.

Lees meer van Nicholas Fearn

Cyber security 8 januari 2026

Het compliance-tijdperk: hoe regelgeving, technologie en risico's de normen in het bedrijfsleven herschrijven (blog)

Het tijdperk van compliance: hoe regelgeving, technologie en risico de normen in het bedrijfsleven herschrijven.

Compliance is voor de meeste bedrijfsleiders niet het meest aantrekkelijke aspect. Ze zien het misschien als een noodzaak om druk van de regelgeving te vermijden, maar toch...

Nicholas Fearn

Cyber security 27 November 2025

Hoe grootschalige cyberincidenten de werkelijke impact van kwetsbaarheden in de toeleveringsketen op het bedrijfsleven aantonen

Cyberinbreuken richten grote schade aan bij bedrijven. Ze kunnen de bedrijfsvoering lamleggen, de schatkist leegtrekken en het vertrouwen van klanten ondermijnen. Vaak...

Nicholas Fearn

Cyber security 4 September 2025

Datalek bij Qantas: waarom leverancierstoezicht een prioriteit moet zijn bij naleving

Een recent datalek bij Qantas, waarbij de persoonlijke gegevens van 5.7 miljoen klanten in gevaar kwamen, heeft de voortdurende cyberbeveiligingsrisico's van hun bedrijf aan het licht gebracht.

Nicholas Fearn