In de toespraak van koning Charles III bij de opening van het Britse parlement vorige week werden kritische wetgevende maatregelen geschetst die de nieuwe regering van plan is te nemen tijdens hun regeringsperiode, waarbij de prioriteiten van de regering voor de komende jaren werden benadrukt. 

De ambitieus wetgevingsprogramma omvatte ongeveer 40 wetsvoorstellen, met twee specifieke stukken wetgeving die zich richten op de technologiesector: de Cyber ​​Security and Resilience Bill en de Digital Information and Smart Data Bill.    

 Wat zijn de belangrijkste inzichten op het gebied van informatie en cyberveiligheid uit deze wetsvoorstellen, en wat kunnen bedrijven nu doen om zich voor te bereiden op komende wetgeving? 

De wet op cyberbeveiliging en veerkracht 

De Cyber ​​Security and Resilience Bill heeft tot doel de cyberverdediging van het land te versterken en de kritieke infrastructuur en digitale diensten te beveiligen waar bedrijven sterk op vertrouwen. Recente cyberaanvallen op de NHS en het Ministerie van Defensie onderstrepen de urgentie van deze stap. Het komende wetsvoorstel belooft deze kwetsbaarheden snel aan te pakken, de bescherming van de digitale economie te waarborgen en de groei te ondersteunen. 

Centraal in de strategie van het wetsvoorstel staat een herziening van bestaande regelgeving, die momenteel verouderde EU-wetten weerspiegelt, namelijk NIS, die binnenkort zal worden vervangen door de bijgewerkte NIS 2. De nieuwe Britse wetgeving zal de toezichthouders versterken en meer rapportage over cyberdreigingen verplicht stellen. Hierdoor krijgt de overheid een beter inzicht in het cyberlandschap en verbetert haar responsvermogen. 

Het wetsontwerp heeft ook tot doel het bereik van de huidige regelgeving uit te breiden tot meer digitale diensten en toeleveringsketens, die steeds aantrekkelijkere doelwitten zijn geworden voor cyberaanvallers. Door dit te doen, probeert het kritieke leemten in de defensie van het land op te vullen en het soort verstoringen te voorkomen waar de openbare diensten in Groot-Brittannië recentelijk mee te maken hebben gehad. zoals de ransomware-aanval die verschillende Londense ziekenhuizen lamlegde. 

De wetgeving zal naar verwachting hogere boetes en straffen introduceren voor het niet naleven van cyberbeveiligingsnormen om eventuele nieuwe wettelijke vereisten te versterken. Deze boetes vormen een aanvulling op de incidentele maar aanzienlijke boetes die de Information Commissioner's Office (ICO) al heeft opgelegd voor datalekken. 

Het wetsvoorstel erkent de onderling verbonden aard van de handel en zal daar ook naar kijken vereisen dat organisaties ervoor zorgen dat hun leveranciers en partners voldoen aan robuuste cyberbeveiligingsnormen. Het kan ook verplichtingen opleggen aan het senior management, waarbij directeuren of managers persoonlijk aansprakelijk worden gesteld voor niet-naleving. 

Regelgevers zullen de bevoegdheid krijgen om de implementatie van essentiële cyberveiligheidsmaatregelen te garanderen, inclusief potentiële kostendekkingsmechanismen en de autoriteit om kwetsbaarheden proactief te onderzoeken. Bovendien zal het wetsvoorstel uitgebreide incidentrapportage verplicht stellen, waardoor de overheid betere gegevens krijgt over cyberaanvallen, waaronder ransomware-incidenten, om de detectie en reactie op bedreigingen te verbeteren. 

Met de aanstaande introductie van de Cyber ​​Security and Resilience Bill zullen bedrijven, vooral die in de technologie- en kritieke infrastructuursectoren, waarschijnlijk moeten investeren in strengere cyberbeveiligingsmaatregelen. Dit zal hun veerkracht vergroten en ervoor zorgen dat ze voldoen aan de nieuwe, strengere normen. 

De toegenomen rapportageverplichtingen kunnen echter leiden tot administratieve lasten en kosten voor bedrijven. De regering onderkent deze uitdagingen en is van plan om via het Nationaal Cyber ​​Security Centrum (NCSC) middelen ter beschikking te stellen, vooral voor kleine bedrijven, om hen te helpen hun cyberbeveiligingspraktijken te verbeteren. 

Het wetsvoorstel zal waarschijnlijk ook bepalingen bevatten met betrekking tot kunstmatige intelligentie (AI), naast de nadruk op algemene cyberbeveiliging. Hoewel er geen specifiek AI-wetsvoorstel werd geïntroduceerd, wordt in de Cyber ​​Security and Resilience Bill opgemerkt dat de groeiende invloed van AI wordt erkend en dat er maatregelen worden voorgesteld om de cyberveiligheidsimplicaties aan te pakken die verband houden met krachtige AI-modellen. Een holistische aanpak op deze manier zou er ongetwijfeld voor zorgen dat AI-technologieën veiliger en met meer aandacht zouden worden ontwikkeld en ingezet, waardoor potentiële risico’s zouden worden beperkt. 

Top 5 lessen uit de voorgestelde wet op cyberbeveiliging en veerkracht  

 

  1. Striktere naleving en straffen: De nieuwe Cyber ​​Security and Resilience Bill zal naar verwachting hogere boetes en straffen introduceren voor bedrijven die niet voldoen aan de verplichte cyberbeveiligingsnormen, naast de bestaande ICO-boetes voor datalekken.
  2. Uitgebreide reikwijdte en rapportagevereisten: Bedrijven moeten zich houden aan bijgewerkte regelgeving die meer digitale diensten en toeleveringsketens bestrijkt. Organisaties zullen ook cyberveiligheidsincidenten uitgebreider moeten rapporteren om de overheid van betere gegevens over cyberdreigingen te voorzien.
  3. Cyberbeveiliging van de toeleveringsketen: Het voorgestelde wetsontwerp benadrukt sterk de noodzaak om kritieke infrastructuur beter te beschermen tegen cyberaanvallen. Vanwege het onderling verbonden karakter van de moderne handel en de recente ernst van cyberincidenten in de toeleveringsketen moeten bedrijven bereid zijn ervoor te zorgen dat hun leveranciers en partners ook hoge cyberbeveiligingsnormen handhaven en dat kunnen aantonen.
  4. Verantwoordelijkheid van het hogere management: Het wetsontwerp kan verplichtingen opleggen aan het senior management om cyberbeveiligingsmaatregelen te implementeren, met mogelijke persoonlijke boetes of straffen voor niet-naleving.
  5. Ondersteuning voor kleine bedrijven: De regering is van plan via het Nationaal Cyber ​​Security Centrum (NCSC) middelen ter beschikking te stellen om kleine bedrijven te helpen hun cyberbeveiligingspraktijken te verbeteren en aan nieuwe wettelijke vereisten te voldoen. 

Het wetsvoorstel Digitale Informatie en Slimme Data 

In een belangrijke wetswijziging heeft de onlangs onthulde wet op digitale informatie en slimme data tot doel de kracht van data te benutten om de economische groei te stimuleren, een moderne digitale overheid te ondersteunen en het leven van burgers te verbeteren. Dit initiatief volgt op de mislukte poging van de vorige regering om de wet goed te keuren Wetsvoorstel gegevensbescherming en digitale informatie (DPDI). maar belooft een frisse aanpak, afgestemd op het huidige digitale landschap. 

In de kern beoogt het wetsvoorstel een alomvattend regelgevingskader te creëren dat innovatief datagebruik aanmoedigt. Centraal hierbij staat de promotie van digitale verificatiediensten, die tot doel hebben alledaagse taken zoals verhuizen, controles voorafgaand aan het dienstverband en het kopen van goederen met een leeftijdsbeperking te stroomlijnen door veilige digitale identiteiten te bieden. Verwacht wordt dat deze innovatie tijd en geld zal besparen en tegelijkertijd de veiligheid van online transacties zal verbeteren. 

Het wetsvoorstel legt ook de nadruk op Smart Data-regelingen, die het op verzoek veilig delen van klantgegevens met geautoriseerde externe leveranciers zullen vergemakkelijken. Net als het succesvolle Open Banking-raamwerk heeft dit initiatief tot doel innovatieve diensten te bevorderen die de besluitvorming en de marktbetrokkenheid vergroten. Het wetsvoorstel beoogt de positie van consumenten te versterken en de economische groei in verschillende sectoren te stimuleren door een wetgevende basis voor deze regelingen te creëren. 

Het verbeteren van de openbare dienstverlening en het ondersteunen van wetenschappelijk onderzoek zijn ook belangrijke doelstellingen van het wetsvoorstel. Door de wet op de digitale economie te wijzigen wil de regering het delen van gegevens over bedrijven die gebruik maken van openbare diensten verbeteren, de overstap maken naar elektronische registratie van geboorten en sterfgevallen en de IT-systemen in de gezondheidszorg en de sociale zorgsector standaardiseren. Bovendien zal het wetsvoorstel de datawetten actualiseren om de moderne interdisciplinaire onderzoeksbehoeften beter te weerspiegelen, waardoor wetenschappers brede toestemming voor hun werk kunnen krijgen en commerciële onderzoekers de mogelijkheid krijgen om data effectief te gebruiken. 

Het wetsvoorstel introduceert gerichte hervormingen van de datawetten om bescherming in evenwicht te brengen met innovatie om deze doelen te bereiken. Deze hervormingen zijn bedoeld om de bestaande regelgeving te verduidelijken, belemmeringen voor de ontwikkeling van nieuwe technologieën weg te nemen en ervoor te zorgen dat hoge normen voor gegevensbescherming worden gehandhaafd. 

Een belangrijk onderdeel van het wetsvoorstel is de modernisering en versterking van het Information Commissioner's Office (ICO). De ICO zal worden geherstructureerd met een nieuwe CEO, bestuur en voorzitter, en er zullen nieuwe bevoegdheden worden verleend om de wetgeving inzake gegevensbescherming af te dwingen. Deze transformatie heeft tot doel ervoor te zorgen dat de ICO effectief toezicht kan houden op de verbeterde gegevensbeschermingsmaatregelen die in het wetsvoorstel worden voorgesteld. 

De wet op digitale informatie en slimme data vertegenwoordigt een proactieve benadering om data te benutten ten behoeve van de economie en de samenleving. Door de regelgevingsstructuren te moderniseren, de openbare diensten te verbeteren en wetenschappelijk onderzoek te ondersteunen, wil de regering Groot-Brittannië in de voorhoede van de digitale economie positioneren en tegelijkertijd hoge normen voor gegevensbescherming en beveiliging handhaven.  

Belangrijkste lessen uit de wet op digitale informatie en slimme data  

  1. Structurele en bestuurlijke veranderingen aan de ICO: Het wetsvoorstel herstructureert de ICO om het te voorzien van een nieuw bestuurskader en meer bevoegdheden. Deze veranderingen zijn bedoeld om het vermogen van de ICO te vergroten om de regelgeving inzake gegevensbescherming af te dwingen en toezicht te houden op digitale verificatiediensten.
  2. Ontwikkeling van veilige digitale identiteitsproducten: Het wetsvoorstel ondersteunt het creëren en adopteren van veilige digitale identiteitsproducten en -diensten. Deze producten zullen veilige transacties in verschillende contexten vergemakkelijken, zoals verhuizingen, controles vóór indiensttreding en de aankoop van goederen en diensten met een leeftijdsbeperking.
  3. Ondersteuning voor slimme dataschema's: De wetgeving bevordert de ontwikkeling van slimme datasystemen, waardoor klantinformatie kan worden gedeeld met geautoriseerde providers. Dit initiatief heeft tot doel innovatie te bevorderen en de dienstverlening in de financiële, energie- en telecommunicatiesector te verbeteren.
  4. Hervormingen van de datawetten: Het wetsvoorstel introduceert gerichte hervormingen van de datawetten om bescherming in evenwicht te brengen met innovatie. Deze hervormingen zijn bedoeld om de bestaande regelgeving te verduidelijken, belemmeringen voor de ontwikkeling van nieuwe technologieën weg te nemen en hoge normen voor gegevensbescherming te handhaven. 

 

Hoe zit het met de AI-regulering in Groot-Brittannië? 

Ondanks de verwachtingen heeft de Britse regering in de toespraak van de koning geen specifiek AI-wetsvoorstel geïntroduceerd. Overwegingen op het gebied van AI zijn echter ingebed in de Cyber ​​Security and Resilience Bill en productveiligheidsmaatregelen, wat erop wijst dat de overheid het toenemende belang en de potentiële risico's van AI-technologieën onderkent. 

Ondanks het ontbreken van een op zichzelf staand AI-wetsvoorstel heeft de regering zich ertoe verbonden “te streven naar passende wetgeving om eisen te stellen aan degenen die werken aan de ontwikkeling van de krachtigste modellen voor kunstmatige intelligentie”.

Deze toezegging benadrukt een voortdurende inspanning om ervoor te zorgen dat de ontwikkeling en inzet van AI worden uitgevoerd binnen een raamwerk dat prioriteit geeft aan veiligheid, beveiliging en ethische normen. 

En hoewel er geen onmiddellijke Britse AI-regelgeving waarschijnlijk lijkt, is de AI-wet van de EU nu wet geworden. Het is van toepassing op elk bedrijf dat handelt of actief is in of met EU-bedrijven en consumenten, dus bedrijven moeten zich hier nu op voorbereiden en op de waarschijnlijkheid van toekomstige Britse AI-specifieke regelgeving.  

Voorbereiding: hoe uw bedrijf een voorsprong kan nemen op de komende regelgeving 

Met de naderende wetgeving op het gebied van cyberveiligheid, ISO 27001 is een cruciale troef voor organisaties die hun digitale verdediging willen versterken. Deze internationaal erkende standaard sluit nauw aan bij veel voorgestelde Cyber ​​Security and Resilience Bill en de Digital Information and Smart Data Bill-vereisten. De op risico's gebaseerde benadering van ISO 27001 voor het beheer van informatiebeveiliging weerspiegelt de focus van de wet op alomvattende risicobeoordeling en risicobeperkingsstrategieën. 

Voordelen van ISO 27001 voor compliance 

  • Systematisch risicobeheer: ISO 27001 vereist dat bedrijven systematisch informatiebeveiligingsrisico's identificeren, beoordelen en behandelen, in lijn met de nieuwe regelgevende focus op risicobeheer en proactieve kwetsbaarheidsbeoordelingen.
  • Gestructureerde incidentrapportage: De standaard schrijft procedures voor voor het detecteren, rapporteren en reageren op beveiligingsincidenten, ter ondersteuning van de verhoogde incidentrapportagevereisten van de nieuwe wetgeving.
  • Uitgebreide beveiligingscontroles: ISO 27001 schrijft een breed scala aan beveiligingscontroles voor, waardoor bedrijven kunnen voldoen aan de verbeterde beveiligingsmaatregelen die door de nieuwe regelgeving worden vereist.
  • CONTINUE VERBETERING: ISO 27001 bevordert een cultuur van voortdurende verbetering van de informatiebeveiliging, waardoor bedrijven zich kunnen aanpassen aan nieuwe bedreigingen en veranderingen in de regelgeving. 

 

Voor bedrijven met een sterke ISO 27001-basis zal de naleving van de komende cyberbeveiligingsregelgeving soepeler, minder tijdrovend en kosteneffectiever verlopen. Door gebruik te maken van bestaande raamwerken kan de werklast en de middelen die nodig zijn om aan nieuwe wettelijke eisen te voldoen, met maar liefst 50-70% worden verminderd.

Deze voorsprong vertaalt zich in substantiële kostenbesparingen en stelt bedrijven in staat middelen strategischer toe te wijzen, waarbij de nadruk ligt op het verfijnen van de beveiliging in plaats van het vanaf het begin opbouwen van compliance-frameworks.  

Wat kunnen bedrijven doen om zich voor te bereiden op AI-regelgeving? 

Naarmate we strengere AI-regelgeving naderen, biedt ISO 42001 een proactieve benadering van compliance. Organisaties die deze standaard nu adopteren, bereiden zich niet alleen voor op toekomstige regelgeving; ze positioneren zichzelf als leiders op het gebied van verantwoord AI-gebruik. De potentiële voordelen zijn aanzienlijk: een betere beveiliging, een groter vertrouwen van belanghebbenden en een concurrentievoordeel in een steeds meer door AI aangedreven markt. 

Het mooie van ISO 42001 ligt in het aanpassingsvermogen en de synergie met bestaande cybersecurity-frameworks. Organisaties die al bekend zijn met normen als ISO 27001 voor informatiebeveiliging zullen ISO 42001 een natuurlijk verlengstuk van hun beveiligingshouding vinden. De best practices voor het integreren van AI-frameworks met bestaande beveiligingsmaatregelen beginnen met een holistische benadering. Dit omvat het in kaart brengen van AI-systemen aan de huidige beveiligingscontroles, het identificeren van lacunes en het implementeren van AI-specifieke waarborgen waar nodig. 

Op zoek naar de toekomst 

Door robuuste informatiebeveiligings- en AI-beveiligingsprocessen te integreren, zoals uiteengezet in ISO 27001 en ISO 42001, kunnen bedrijven veranderingen in de regelgeving efficiënt beheren, de veerkracht vergroten en een concurrentievoordeel behouden. Deze holistische aanpak zorgt ervoor dat uw organisatie compliant is en goed voorbereid is op toekomstige uitdagingen op het gebied van cyberbeveiliging.