Wat u moet weten over de nieuwe Australische Cyber Security Act

Door Phil Muncaster • 6 November 2024

De digitale wereld is een steeds gevaarlijker plek voor Australische organisaties. Een reeks van spraakmakende datalekken en ransomware-aanvallen in de afgelopen jaren heeft het vertrouwen van klanten in onlinediensten ondermijnd, om nog maar te zwijgen van de financiën en reputaties van bedrijven.

Hoewel de meeste van deze aanvallen financieel gemotiveerd waren, toont een nieuw Microsoft-rapport aan dat de grenzen tussen cybercriminaliteit en bedreigingen van natiestaten vervagen. Dit betekent dat dergelijke incidenten steeds vaker worden behandeld als een kwestie van nationale veiligheid.

Dit alles verklaart de proactieve houding van de Albanese regering. Eerst kwam de Australische cyberbeveiligingsstrategie 2023-2030, waarin een routekaart wordt uitgezet voor Australië om in 2030 een "wereldleider" te worden op dit gebied. En nu positioneert een baanbrekend stuk wetgeving cybersecurity als de sleutel tot het beschermen van de nationale veiligheid en economische stabiliteit. Hoewel de details nog in de afrondende fase zitten, zouden Australische IT- en beveiligingsleiders er goed aan doen om te beginnen met plannen.

Wat staat er in de nieuwe wetgeving?

De Cyber Security Act is niet ambitieus. Als Australië's eerste zelfstandige stuk cybersecuritywetgeving belooft het zeven belangrijke initiatieven te implementeren die zijn uiteengezet in de eerder genoemde Cyber Security Strategy. Volgens de Afdeling binnenlandse zakenDe wet is bedoeld om ‘wettelijke lacunes’ te dichten en de ‘cyberomgeving’ en de kritieke infrastructuur (CNI) van het land toekomstbestendig te maken, met de nadruk op het volgende:

Nieuwe cybersecurity-normen voor slimme apparaten moeten een basis vormen voor verbeterde beveiliging voor consumenten, met inbegrip van unieke wachtwoorden, regelmatige updates en gegevensversleuteling
Verplichte rapportage van ransomware-betalingen (voor sommige niet nader gespecificeerde bedrijfstypen) om de autoriteiten te helpen de omvang van het probleem beter te begrijpen
Een verplichting tot 'beperkt gebruik' voor de National Cyber Security Coordinator en de Australian Signals Directorate (ASD), die beperkingen oplegt aan de manier waarop deze instanties informatie gebruiken die door slachtofferorganisaties met hen wordt gedeeld. Het uiteindelijke doel is om meer rapportages aan te moedigen
Een nieuwe Cyber Incident Review Board die 'no-fault'-onderzoeken zal uitvoeren na ernstige incidenten en anonieme inzichten openbaar zal delen

De Cyber Security Act zal ook hervormingen doorvoeren en implementeren die zijn uiteengezet in de Security of Critical Infrastructure Act 2018 (SOCI Act). Deze zijn ontworpen om:

Verduidelijk de verplichtingen voor organisaties die bedrijfskritische gegevens bewaren
Verbeter de overheidshulp om de impact van incidenten die CNI treffen te beperken
Vereenvoudig het delen van informatie tussen de industrie en de overheid
De overheid in staat stellen om CNI-entiteiten te dwingen ernstige tekortkomingen in het risicomanagement aan te pakken
Regelgeving voor cyberbeveiliging in telecommunicatie in lijn brengen met de SOCI-wet

Wat Australische bedrijven nu kunnen doen

Er waren 483 meldingen van datalekken in de tweede helft van 2023, een stijging van 19% ten opzichte van het eerste deel van het jaar. Volgens de Bureau van de Australische Informatiecommissaris (OAIC), de overgrote meerderheid (67%) werd veroorzaakt door kwaadaardige of criminele aanvallen. Zulke verhoogde dreigingsniveaus zetten wetgevers er in de eerste plaats toe aan om actie te ondernemen, en ze zouden raden er voortdurend aan moeten herinneren dat dergelijke risico's op een meer holistische manier beheerd moeten worden.

Hoewel de Cyber Security Act nog niet is afgerond, kunnen Australische organisaties volgens experts waarmee ISMS.online sprak, nu al veel doen om zich voor te bereiden op de mandaten. Dit geldt met name voor fabrikanten van slimme apparaten.

"Voor fabrikanten in Australië - en eigenlijk overal ter wereld - is dit een goed moment om naar de huidige beveiligingspraktijken te kijken, te beoordelen waar er hiaten of verbeterpunten zijn en plannen te maken om ze af te stemmen op de nieuwe vereisten", vertelt Javvad Malik, hoofd van het beveiligingsbewustzijn van KnowBe4, aan ISMS.online.

“Fabrikanten van slimme apparaten zouden een ‘secure by design’-mentaliteit moeten hebben, waarbij veiligheid vanaf het moment dat ze worden gepland en ontworpen in de producten is ingebouwd en nooit als een achteraf bedacht idee.”

Daniel Schell, medeoprichter en CTO van Airlock Digital, voorspelt dat de uiteindelijke normen waaraan IoT-fabrikanten zich moeten houden, waarschijnlijk zullen aansluiten bij de Europese norm Cyberbeveiliging voor het consumenteninternet der dingen (ETSI EN 303 645).

"Dit omvat controles voor het verbieden van standaardwachtwoorden, het implementeren van veilige updates, het beschermen van gevoelige gegevens, het verzekeren van veilige communicatie en het minimaliseren van aanvalsoppervlakken", vertelt hij aan ISMS.online. "Net als vergelijkbare regelgeving in Australië, zoals Regulatory Compliance Mark (RCM) voor elektronische apparatuur, zullen deze regelgevingen worden uitgedaagd door directe verkoop in het buitenland, vooral in het tijdperk van Temu en AliExpress."

Kelvin Lim, senior directeur van Black Duck, voegt toe dat Australische organisaties ook voorbereid moeten zijn om verplichte protocollen voor het melden van incidenten op te stellen “en nauw samen te werken met het Australian Cyber Security Centre.”

Malik van KnowBe4 benadrukt het belang van continue monitoring en rapportage.

“Maak er een gewoonte van om regelmatig audits en assurance reviews uit te voeren om ervoor te zorgen dat alle beveiligingscontroles werken zoals ontworpen en bedoeld op een continue basis,” betoogt hij. “Dit is niet alleen voor uw eigen veiligheid, maar ook in het voordeel van toezichthouders die organisaties nauwlettender zullen controleren in het licht van de nieuwe vereisten.”

Best Practice-normen kunnen helpen

Het goede nieuws is dat organisaties door beveiligingsnormen en -kaders zoals ISO 27001 te volgen, een solide basis kunnen creëren voor naleving van de nieuwe wetgeving, ongeacht de uiteindelijke vorm.

"Australische bedrijven vertrouwen steeds meer op digitale systemen om hun producten en diensten te adverteren en verkopen, waardoor cybersecurity essentieel is voor elk bedrijf", vertelt Alex Nehmy, regionaal CTO van Phosphorus Cybersecurity voor APJ, aan ISMS.online. "Best practice cybersecurity-normen en -kaders helpen Australische bedrijven hun cybersecurity-houding te verbeteren en de kans op een ernstig incident zoals ransomware te verkleinen."

Schell van Airlock Digital gaat nog een stap verder.

"Normen zoals ISO 27001 en NIST helpen organisaties met governance en de werking van hun Information Security Management System (ISMS)", zegt hij. "Volwassen organisaties die een gezond ISMS gebruiken, hebben incidentresponsbeleid en playbooks, samen met ondersteunende registers zoals hun wettelijke vereisten, en kunnen wettelijke wijzigingen op een gestructureerde manier integreren in hun huidige processen."

Dankzij next-gen compliance software providers is het voldoen aan de eisen van dergelijke standaarden niet langer zo tijdrovend en resource-intensief als het ooit was. Door internationaal erkende kaders te volgen, kunnen Australische organisaties ook een heel eind komen in het nakomen van hun verplichtingen op andere gebieden, zoals naleving van de AVG en diverse industriële regelgeving. In de tussentijd zullen velen de definitieve tekst van de Cyber Security Act nauwlettend in de gaten houden.

Phil Muncaster

Phil Muncaster is al vijftien jaar IT-journalist. Hij begon in 20 als verslaggever van de IT-titel IT Week en klom op tot nieuwsredacteur voordat hij vertrok om een freelance carrière na te streven. Sindsdien heeft Phil geschreven voor titels als The Register, waar hij meer dan twee jaar als Azië-correspondent werkte terwijl hij in Hong Kong woonde, MIT Technology Review, SC Magazine, Infosecurity Magazine en anderen.

Lees meer van Phil Muncaster

Cyber security 20 januari 2026

Het dichten van de kloof in AI-governance met ISO 42001

Het Verenigd Koninkrijk kampt met een probleem op het gebied van AI-governance. Dit was wellicht geen probleem een paar jaar geleden, toen projecten in de meeste organisaties nog in kleine stappen werden uitgevoerd. Maar vandaag de dag...

Phil Muncaster

Cyber security 6 januari 2026

Vijf trends op het gebied van beveiliging en compliance om in 2026 in de gaten te houden.

Hoe ziet het komende jaar eruit voor professionals in cybersecurity en compliance? We hebben het nieuws doorgenomen en de voorspellingen van branchegenoten bestudeerd...

Phil Muncaster

Cyber security 11 December 2025

Is een beveiligingslek door AI-agenten onvermijdelijk in 2026?

Is een beveiligingslek in AI-agenten in 2026 onvermijdelijk?

Het is misschien wel drie jaar geleden dat ChatGPT een nieuwe technologische wapenwedloop ontketende, maar alle ogen zijn nu gericht op AI-agenten. Voorstanders beweren dat het...

Phil Muncaster