De 10 grootste nalevingsmomenten van 2023: onze keuze voor een mijlpaaljaar

Door Phil Muncaster • 13 December 2023

Er is de afgelopen twaalf maanden genoeg geweest om Britse cyberbeveiligings- en complianceprofessionals bezig te houden. Van langverwachte sectorregelgeving tot nieuwe overeenkomsten over het delen van gegevens en baanbrekende wetgevingsvoorstellen: 12 is op veel fronten een opvallend jaar geweest. Er zal de komende twaalf maanden veel moeten worden ingebouwd in nalevingsprogramma's, dus hier is onze keuze uit de tien grootste nieuwe regels, voorschriften en wetten waarmee rekening moet worden gehouden:

1.NIS 2 en zijn Britse equivalent

Een tweede versie van de Netwerk- en Informatiebeveiligingsrichtlijn (NIS) van de EU is in januari 2023 in werking getreden en de lidstaten hebben tot 17 oktober 2024 de tijd om deze in lokale wetgeving om te zetten. Het beoogt het toepassingsgebied van de richtlijn uit te breiden naar middelgrote en grote bedrijven in andere sectoren zoals telecom, sociale media, afvalwater en voedsel. Er zullen ook zwaardere boetes komen, minimale basisvereisten en een grotere nadruk op incidentrespons, verantwoordelijkheid van de directeur en beveiliging van de toeleveringsketen. Alle Britse ‘exploitanten van essentiële diensten’ (OES) die in de EU actief zijn, zullen hieraan moeten voldoen. En in de tussentijd bereidt Groot-Brittannië zijn eigen update van het regime voor, legt hij uit hier.

Bekijk deze NIS 2-nalevingsgids.

2.De Digital Operational Resilience Act (DORA)

Bedrijven uit de financiële sector en hun ICT-technologiepartners die in Europa actief zijn, hebben tot 17 januari 2025 de tijd om aan deze nieuwe EU-wet te voldoen. Met groen licht zal DORA in januari 2023 bedrijven die de regels naleven, dwingen de gaten in hun operationele veerkracht te dichten in het licht van de toenemende cyberdreigingen. Het omvat risicobeheer, incidentrapportage, gestandaardiseerde veerkrachttests, het delen van inlichtingen en risicobeheer door derden. Organisaties die de ISO 27001-certificering al hebben behaald – of de leidende principes van proactief risicobeheer en de voortdurende verbetering van de operationele veerkracht volgen – zullen in een goede positie verkeren om hieraan te voldoen.

Bekijk deze 15-punts DORA-compliancechecklist.

3. Wetsvoorstel gegevensbescherming en digitale informatie (DPDI)

Geprezen als de poging van Groot-Brittannië om zijn eigen post-Brexit-versie van de Brexit te produceren GDPRis de DPDI Bill een poging om de gegevensbeschermingswet bedrijfsvriendelijker te maken zonder gevolgen voor de adequaatheidsstatus van het Verenigd Koninkrijk. Een van de belangrijkste veranderingen is dat alleen organisaties die zich bezighouden met ‘risicovolle’ gegevensverwerking gegevens moeten bijhouden, waardoor mogelijk papierwerk kan worden verminderd. Er zijn ook verduidelijkingen over wanneer organisaties gegevens kunnen verwerken zonder dat daarvoor toestemming nodig is. Er zijn echter zorgen voor Britse bedrijven met activiteiten in de EU. Ze zullen ofwel hun raamwerk voor naleving van de AVG moeten behouden zoals het is en niet in staat zijn om te profiteren van de genoemde voordelen van de DPDI, ofwel twee parallelle raamwerken gebruiken, wat meer werk zal betekenen. Gespecialiseerde adviseurs kan helpen door deze inspanningen via één portaal te centraliseren.

4.Nieuwe SEC-regels

De Securities and Exchange Commission (SEC) geïntroduceerd nieuwe vereisten voor openbaarmaking van beveiliging in 2023, wat ook gevolgen zal hebben voor Britse bedrijven. Concreet kan elk Brits bedrijf dat diensten levert (vooral data-gerelateerd) aan beursgenoteerde Amerikaanse bedrijven meer toezicht van deze organisaties verwachten. Van Amerikaanse bedrijven wordt verwacht dat ze binnen vier dagen elk cyberincident bij een dienstverlener melden dat “een materiële impact” heeft op hun bedrijf. Er zal daarom een veel hogere lat liggen voor het openbaar maken en plannen van respons op incidenten, en voor het reageren op voortdurende due diligence van Amerikaanse partners. Naleving van ISMS en ISO 27001 of SOC 2 zou bedrijven kunnen helpen deze garanties aan hun Amerikaanse partners te bieden.

5. EU-VS-kader voor gegevensprivacy (DPF)

Dit raamwerk werd in juli 2023 door de Europese Commissie goedgekeurd en zorgde in wezen voor een adequaatheidsbesluit dat betekent dat gegevens ongehinderd van het blok naar de VS kunnen stromen. Om gecertificeerd te worden en voortdurende naleving aan te tonen, moeten Amerikaanse organisaties specifieke gegevensbeschermingsprocessen in hun bedrijfsvoering verankeren, waaronder doelbinding, gegevensminimalisatie, het bewaren en delen van gegevens.

6.Databridge-overeenkomst tussen Groot-Brittannië en de VS

Dit werd in september aangekondigd en is een uitbreiding van het EU-VS DPF, bedoeld om dure contractclausules voor Britse bedrijven die persoonlijke gegevens overdragen aan Amerikaanse dienstverleners te elimineren en andere belemmeringen voor de gegevensstroom tussen de twee landen te minimaliseren. Britse bedrijven zullen nu kunnen voldoen aan de regels voor internationale gegevensoverdracht zonder dat hun Amerikaanse partners extra risicobeoordelingen hoeven uit te voeren. De nieuwe databrug zal op vrijwel identieke wijze werken als de EU-VS DPF en dat zal ook zo blijven Beschikbaar vanaf 12 oktober 2023.

7. Wet cyberweerbaarheid (CRA)

Op het moment van schrijven wordt de CRA van de EU nog steeds afgerond. Maar het doel op hoog niveau is om consumenten en bedrijven te beschermen door: het opleggen van een strikte reeks cyberbeveiligingseisen “die de planning, het ontwerp, de ontwikkeling en het onderhoud regelen” van technische producten; en het voorzien van een nieuw CE-vliegerkeurmerk om de transparantie te vergroten. Fabrikanten, importeurs en distributeurs van producten met een ‘digitale component’ die als een hoog risico worden beschouwd, zullen waarschijnlijk conformiteitsbeoordelingen door derden moeten ondergaan op basis van de nieuwe beveiligingseisen. De last kan echter zwaarder zijn voor kleinere bedrijven experts beweren Organisaties die al aan de AVG voldoen met robuuste beveiligingscontroles, beleid en procedures, zouden naleving met beperkte aanpassingen haalbaar moeten vinden.

8.EU AI-wet

De wetgeving wordt momenteel afgerond en zal erop gericht zijn de maatschappelijke schade als gevolg van AI te verminderen. Er zal een risicogebaseerde aanpak nodig zijn, waarbij AI-modellen worden geclassificeerd op basis van ‘onaanvaardbaar’, ‘hoog’, ‘beperkt’ en ‘minimaal’ risico. Degenen die als een hoog risico worden beschouwd, zullen moeten voldoen aan strikte criteria zoals risicobeoordelingen en mitigatiesystemen, het registreren van activiteiten, gedetailleerde documentatie, passend menselijk toezicht en een hoog niveau van robuustheid en veiligheid om zich te kunnen conformeren. Het model wordt vervolgens geregistreerd in de EU-database en krijgt een CE-markering. Britse organisaties die in de EU verkopen, zullen te maken krijgen met twee afzonderlijke nalevingskaders of met het voldoen aan de EU-wetgeving. Organisaties kunnen beginnen het werk nu door de processen voor de beoordeling van de impact op gegevensbescherming aan te passen ter voorbereiding op de nieuwe regeling.

9.NIST Cyberbeveiligingsframework 2.0

Het CSF 2.0 is de eerste belangrijke vernieuwing in dit raamwerk voor beste praktijken sinds de start ervan in 2014. Het zal een nieuwe “Govern”-pijler introduceren;

Organisatorische context
Strategie voor risicobeheer
Risicobeheer van de toeleveringsketen
Rollen, verantwoordelijkheden en bevoegdheden
Beleid, processen en procedures; en toezicht.

En er zullen meer implementatievoorbeelden zijn om organisaties te helpen de KSF-theorie in de praktijk te brengen. Experts geloven dat een informatiebeveiligingsbeheersysteem (ISMS) zou kunnen helpen door voorbeelden te schetsen van het gebruik van de CSF 2.0 Reference Tool en inzicht te geven in hoe implementaties in de echte wereld eruit zien.

10. PCI DSS 4.0

Hoewel PCI DSS 4.0 feitelijk in maart 2022 werd goedgekeurd, is het dit jaar regelmatig onderwerp van discussie geweest nu het twee jaar durende aftellen naar de implementatiedeadline op 31 maart 2025 is begonnen. Terwijl eerdere versies van het raamwerk prescriptief waren (dwz firewalls en antiviruscontroles gebruikten), heeft PCI DSS 4.0 tot doel beveiliging als een continu proces te bevorderen. Tot de veranderingen behoren onder meer de vereiste voor anti-malware in plaats van antivirus en de inzet van multi-factor authenticatie om toegang te krijgen tot de gegevensomgeving van kaarthouders. Er zijn ook vereisten om de risico's van digitale skimming te beperken en de risico's in de toeleveringsketen te helpen minimaliseren door een software-inventaris bij te houden, inclusief bibliotheken en componenten. Zoals altijd zullen de bedrijven die grote kaartvolumes verwerken, een externe audit moeten uitvoeren.

Bekijk onze gids voor het bereiken van PCI-DSS V4-compliance naast ISO 27001.

Phil Muncaster

Phil Muncaster is al vijftien jaar IT-journalist. Hij begon in 20 als verslaggever van de IT-titel IT Week en klom op tot nieuwsredacteur voordat hij vertrok om een freelance carrière na te streven. Sindsdien heeft Phil geschreven voor titels als The Register, waar hij meer dan twee jaar als Azië-correspondent werkte terwijl hij in Hong Kong woonde, MIT Technology Review, SC Magazine, Infosecurity Magazine en anderen.

Lees meer van Phil Muncaster

Cyber security 6 januari 2026

Vijf trends op het gebied van beveiliging en compliance om in 2026 in de gaten te houden.

Hoe ziet het komende jaar eruit voor professionals in cybersecurity en compliance? We hebben het nieuws doorgenomen en de voorspellingen van branchegenoten bestudeerd...

Phil Muncaster

Cyber security 11 December 2025

Is een beveiligingslek door AI-agenten onvermijdelijk in 2026?

Is een beveiligingslek in AI-agenten in 2026 onvermijdelijk?

Het is misschien wel drie jaar geleden dat ChatGPT een nieuwe technologische wapenwedloop ontketende, maar alle ogen zijn nu gericht op AI-agenten. Voorstanders beweren dat het...

Phil Muncaster

Informatiebeveiliging 9 December 2025

Een jaar in naleving: vijf dingen die we in 2025 hebben geleerd - banner

Een jaar in compliance: vijf dingen die we in 2025 hebben geleerd

De afgelopen 12 maanden hebben opnieuw bewezen dat het cybersecuritylandschap zelden een tekort aan incidenten kent. Grote beveiligingsinbreuken kosten organisaties ...

Phil Muncaster