2024 was een topjaar voor ontwikkelingen in informatiebeveiliging, waaronder normen en regelgeving. Kunstmatige intelligentie (AI) heeft wereldwijd een aanzienlijke groei doorgemaakt, met nieuwe regelgeving die van kracht werd of werd overwogen als reactie op de mogelijkheden van de technologie. De EU Artificial Intelligence (AI) Act trad op 1 augustus in werking, terwijl de VS wetgeving en regelgeving op staatsniveau heeft ontwikkeld in plaats van op federaal niveau.
In bredere zin heeft Australië in 2024 een nieuwe Cyber Security Strategy en Cyber Security Act uitgebracht, die het land tegen 2030 als wereldleider op het gebied van cybersecurity moet positioneren. De VS deelde haar strategie om wereldwijd een sterker, veiliger digitaal ecosysteem op te bouwen met haar International Cyberspace and Digital Policy Strategy.
Terwijl de wereld van cybersecurity in rap tempo blijft veranderen, hebben onze bijdragers hun deskundige inzichten en updates over nieuwe ontwikkelingen gedeeld. In deze blog delen we onze top tien favoriete Winter Reads om u te helpen op de hoogte te blijven van regelgevende en wetgevende ontwikkelingen en belangrijk wereldwijd nieuws.
De CrowdStrike-storing: een pleidooi voor het versterken van incidentrespons met ISO 27001
In juli leidde een mislukte software-update van CrowdStrike tot een wereldwijde IT-uitval die van invloed was op alles, van luchtvaartmaatschappijen tot kritieke zorgsystemen. Het incident benadrukte de noodzaak voor organisaties om incidentresponsprotocollen op te stellen en te implementeren, en hun beveiligingshouding te verbeteren.
In deze blog bespreekt Rene Millman de gebeurtenissen die leidden tot de storing, wie erdoor getroffen werden en waarom het begrijpen en aanpakken van mogelijke kwetsbaarheden in uw toeleveringsketen zo belangrijk is. Hij schetst:
✅ De impact van het CrowdStrike-incident en hoe het werd opgelost
✅ Hoe informatiebeveiligingsnormen zoals ISO 27001 bedrijven kunnen helpen bij het ontwikkelen van robuuste incidentresponsplannen
✅ Hoe ISO 27001 best practices organisaties in staat stellen hun veerkracht te vergroten en risicomanagement en -beperking te verbeteren.
Wat de EU AI Act voor uw bedrijf betekent
Hoewel de EU AI Act een wet van de Europese Unie is, moeten Britse technologiebedrijven die hun AI-diensten en -modellen op de EU-markt willen aanbieden, er nog steeds aan voldoen.
In deze blog kijkt Nicholas Fearn naar de impact van de EU AI Act op Britse bedrijven en bespreekt:
✅ De kritische updates in de definitieve versie van de wet
✅ Potentiële veranderingen die Britse organisaties moeten aanbrengen in hun complianceprogramma's
✅ Hoe bedrijven ISO 42001 kunnen gebruiken om hun naleving van de EU AI Act te stroomlijnen.
Hoe bedrijven zich kunnen voorbereiden op de implementatie van DORA
De EU Digital Operational Resilience Act (DORA) is vanaf 17 januari van toepassing op bedrijventh, en heeft als doel de cyberbeveiliging van financiële instellingen en externe ICT-dienstverleners te verbeteren. Britse bedrijven die financiële of ICT-diensten leveren aan Europese klanten, moeten ook voldoen aan de wet om zaken te kunnen blijven doen in de EU.
Nicholas Fearn bespreekt in deze blog hoe bedrijven zich kunnen voorbereiden op DORA en kunnen zorgen voor naleving van de wetgeving, waaronder:
✅ Het belang van een gestructureerde aanpak van compliance en het ervoor zorgen dat uw organisatie voldoet aan de DORA-verplichtingen vóór de deadline
✅ Hoe Britse bedrijven hun algehele concurrentievermogen op de markt kunnen vergroten door zich aan DORA te houden
✅ Waarom organisaties grondige due diligence moeten uitvoeren op hun externe ICT-dienstverleners om externe risicofactoren te beheren
✅ Hoe best practice-kaders zoals ISO 27001 een basis kunnen vormen voor het voldoen aan de DORA-vereisten.
Hoe bedrijven kunnen voldoen aan NIS 2 vóór de deadline van oktober
De tweede iteratie van de EU-richtlijn Netwerk- en informatiesystemen (NIS 2) werd in oktober van dit jaar geïmplementeerd. De nieuwe en bijgewerkte richtlijn biedt wettelijke maatregelen die gericht zijn op het verbeteren van de collectieve cyberbeveiliging van elke EU-lidstaat, waaronder het aanpakken van cybercriminaliteit en het faciliteren van het delen van cyberbeveiligingsinformatie en samenwerking.
Nicholas Fearn legt in de blog uit hoe bedrijven kunnen zorgen voor naleving van de NIS 2-richtlijn. Hij bespreekt:
✅ Hoe NIS 2 en de bijbehorende vereisten voor risicomanagement en rapportage van invloed zijn op Britse organisaties
✅ De voordelen van een sterke cybersecurityhouding en verbeterde cyberveerkracht
✅ Stappen die getroffen bedrijven kunnen ondernemen om hun cyberpositie te beoordelen, risico's in de toeleveringsketen te evalueren en naleving te waarborgen.
Alles wat u moet weten over ISO 45001
ISO 45001 is een internationale norm voor gezondheid en veiligheid op het werk. Deze norm biedt organisaties een kader voor het implementeren en continu verbeteren van een managementsysteem voor gezondheid en veiligheid op het werk.
In onze uitgebreide gids beschrijft Christie Rae alles wat u moet weten over de norm, waaronder:
✅ De kernbeginselen van ISO 45001
✅ Een overzicht van de zeven clausules waaruit de eisen van de norm bestaan
✅ Belangrijkste voordelen van het laten certificeren van uw organisatie
✅ Essentiële ISO 45001-certificeringsvereisten
✅ Een blik op het ISO 45001-audit- en beoordelingsproces.
Uw 10-stappenplan voor een robuust ISMS
Een effectief informatiebeveiligingsbeheersysteem (ISMS) is essentieel voor het beschermen van de gegevens van uw organisatie, het beperken van cyberrisico's en het waarborgen van naleving van relevante wetten en regelgevingen. Omdat de kosten van datalekken blijven stijgen en cyberdreigingen steeds geavanceerder worden, is het van vitaal belang dat uw organisatie een strategie heeft om de informatie die zij bezit te beschermen.
In deze blog deelt Christie Rae ons tienstappenplan voor het ontwikkelen, implementeren en verbeteren van uw ISMS, waaronder:
✅ Het kiezen van uw ISMS-framework, bijvoorbeeld ISO 27001 of NIST CSF
✅ Het ontwikkelen van de aanpak van uw organisatie voor risicobeoordeling
✅ Het definiëren van uw beleid en procedures voor informatiebeveiliging, -beheer en -overdracht
En meer ...
Wat houdt een inbreuk in? Hoe u incidenten en kosten minimaliseert
De laatste editie van het IBM Cost of a Data Breach-rapport laat zien dat de kosten blijven stijgen, met een gemiddelde kost van $ 4.5 miljoen (£ 3.6 miljoen) per inbreuk in het VK. Wereldwijd is het bedrag bijna $ 4.9 miljoen (£ 3.8 miljoen) per inbreuk - 10% hoger dan vorig jaar. Nu cyberdreigingen blijven toenemen, moeten organisaties proactiever zijn dan ooit om incidenten te minimaliseren.
In deze blog bespreekt Phil Muncaster de bevindingen van het IBM-rapport en hoe organisaties het risico op datalekken kunnen verkleinen. Hij behandelt:
✅ Belangrijkste factoren achter de stijgende kosten van datalekken voor Britse organisaties
✅ Hoe het implementeren van werknemerstraining als onderdeel van een grondige aanpak van cyberrisicobeheer organisaties kan helpen datalekken te verminderen
✅ Hoe best practice-kaders en normen zoals ISO 27002, SOC 2 en NIST CSF organisaties in staat stellen om sterke cybersecuritypraktijken op te bouwen.
Wat betekent de Australische cyberbeveiligingsstrategie voor uw bedrijf?
De Australische overheid publiceerde in november 2023 haar Cyber Security Strategy 2030-2023, met als doel het land tegen het einde van de dag te positioneren als een wereldleider in cybersecurity. Dit omvat de Cyber Security Act, die wetgevende hiaten aanpakt om Australië in lijn te brengen met internationale best practices.
Phil Muncaster bespreekt in de blog de Cyber Security Strategy en bespreekt:
✅ De zes 'cyberschilden' die de Australische Cyber Security Strategy vormen
✅ Wat Australische organisaties moeten doen om zich aan te passen aan de strategie
✅ Hoe ISO 27001 en andere best practices organisaties kunnen helpen cyberdreigingen te bestrijden.
Wat staat er in de nieuwe Amerikaanse internationale cyberstrategie?
In mei 2024 onthulde de VS de United States International Cyberspace & Digital Policy Strategy (ICDPS) met als doel een sterker, veiliger digitaal ecosysteem over de hele wereld te bouwen. Het document bouwt voort op de US National Cybersecurity Strategy uit 2023, die ook een pijler bevatte die was gewijd aan internationale samenwerking en consensus.
In deze blog bespreekt Danny Bradbury de ICDPS en de impact ervan op bedrijven, waaronder:
✅ De drie fundamentele principes en vier belangrijke actiegebieden die door de strategie zijn gedefinieerd
✅ Belangrijkste conclusies van de ICDPS voor de particuliere sector
✅ Het belang van goede digitale governance-praktijken, waaronder cyberbeveiligingshygiëne en verantwoord gebruik van technologieën.
ISO 9001 uitgelegd: een uitgebreide gids voor kwaliteitsmanagementsystemen
ISO 9001, de internationale norm voor kwaliteitsmanagement, biedt organisaties een raamwerk om een kwaliteitsmanagementsysteem (QMS) op te bouwen, te onderhouden en continu te verbeteren. Certificering volgens de norm helpt organisaties om hun activiteiten te stroomlijnen, de klanttevredenheid te verbeteren en ervoor te zorgen dat producten of diensten voldoen aan of de klant- en regelgevingsbenchmarks overtreffen.
In haar blog gaat Rebecca Harper dieper in op de ISO 9001-norm, de vereisten en hoe u gecertificeerd kunt worden, waaronder:
✅ De zeven belangrijkste kwaliteitsmanagementprincipes van ISO 9001
✅ Belangrijke ISO 9001-clausules en hun doel bij het bouwen van uw QMS
✅ Het certificeringsproces en voortdurende verbetering
✅ Voordelen van ISO 9001-certificering
✅ Best practices voor het implementeren van ISO 9001 binnen uw bedrijf.
Ontgrendel uw AI-beveiligingsnalevingsvoordeel
De regelgeving op het gebied van informatiebeveiliging ontwikkelt zich nog steeds snel. Als het om AI gaat, begint de wetgeving op staatsniveau te worden aangenomen in de VS, en Normen Australië heeft ISO 42001 aangenomen om organisaties te helpen AI effectief en verantwoord in te zetten.
We blijven de nieuwste inzichten en updates over alles wat met informatiebeveiliging te maken heeft, aanbieden. Of u zich nu voorbereidt om te voldoen aan de komende wettelijke vereisten, de naleving van de informatiebeveiliging van uw organisatie wilt verbeteren of meer wilt weten over wereldwijde wetgeving en normen voor informatiebeveiliging, u kunt op onze blog vertrouwen om de inzichten te leveren die u nodig hebt om op de hoogte te blijven.
