Waar kunnen we u mee helpen?

    Blog

    Nieuwe Europese cyber security wetgeving in de maak

    "Cyber-attacks can be more dangerous to the stability of democracies and economies than guns and tanks. […] Cyber-attacks know no borders and no one is immune. This is why today, the Commission is proposing new tools, including a European Cybersecurity Agency, to help defend us against such attacks." - voorzitter van de Europese Commissie, Jean-Claude Juncker, tijdens de Staat van de Unie rede 2017.

    80% van alle Europese bedrijven kreeg vorig jaar te maken met in ieder geval één cyber security incident. Bedrijven als Maersk, TNT Express, Renault en Telefónica werden dit jaar bijvoorbeeld getroffen door Wannacry, Petya (beiden ransomware) of NotPetya (een ‘wiper’, bedoeld om data te vernietigen). De Europese Commissie (hierna: "Commissie") heeft daarom deze week verschillende maatregelen voorgesteld om de Europese cyber security te verbeteren.

    In het voorstel voor een nieuwe Verordening 2017/0225 wordt het EU-agentschap voor cyberbeveiliging (hierna: "ENISA") versterkt met extra mankracht en financieel budget. Daarnaast krijgt het een permanent mandaat om de lidstaten bij te staan in hun strijd tegen cyberaanvallen. Een nieuwe Europese certificeringsregeling moet waarborgen dat ICT-producten en -diensten veilig gebruikt kunnen worden mede met het oog op het Internet of Things.

    ENISA

    Onder het voorstel functioneert ENISA als het cyber security kenniscentrum en assisteert het de Europese Unie instellingen met het ontwikkelen en implementeren van cyber security beleid. Daarnaast adviseert ENISA de lidstaten over hoe zij beter incidenten kunnen voorkomen, detecteren en hoe zij hierop kunnen reageren. Tevens voorziet het in technische assistentie en analyseert het kwetsbaarheden en incidenten.

    Europese certificeringsregeling

    In de voorstel-Verordening zijn bepalingen opgenomen voor het maken van certificeringsregelingen door ENISA. Certificering heeft tot doel om het vertrouwen in ICT producten en diensten te vergroten en "cybersecurity by design" te bevorderen. Hetzelfde certificaat wordt erkend in alle lidstaten en zal voor ondernemingen de administratieve lasten en kosten verlagen. Een certificaat is niet verplicht.

    Het certificaat zal onder andere bestaan uit de volgende elementen: het type ICT product of dienst, een specificatie van de cyber security vereisten waarop de specifieke ICT producten en diensten zijn beoordeeld (bijvoorbeeld met verwijzing naar Europese of internationale standaarden of technische specificaties), regels betreffende non-conformiteit, kwetsbaarheden en eventueel toezicht op de naleving van de cyber security vereisten.

    Andere maatregelen

    Verder stelt de Commissie voor om een Europees onderzoeks- en kenniscentrum voor cyber security op te richten en een blauwdruk op te stellen voor een snelle reactie op grootschalige cyberaanvallen. De Commissie presenteert tevens een richtlijn voor de bestrijding van fraude en vervalsing in verband met andere betaalmiddelen dan contanten, hieronder vallen ook cryptocurrencies als Bitcoin en Ethereum.

    In oktober brengt de Commissie haar visie over de rol van encryptie in het kader van strafrechtelijke onderzoeken naar voren. Begin 2018 zal de Commissie ook voorstellen indienen om grensoverschrijdende toegang tot elektronisch bewijsmateriaal te vereenvoudigen.

    Het Europees Parlement en de Raad van Ministers zullen zich nu over de voorstel-Verordening buigen.

    Ook Nederland wil de cybercriminaliteit bestrijden. Op 1 januari 2018 treedt de Wet gegevensverwerking en meldplicht cybersecurity in werking. Organisaties in vitale sectoren zijn vanaf dan verplicht om een melding te doen van digitale veiligheidsincidenten (ICT-inbreuken) bij het Nationaal Cyber Security Centrum ("NCSC"). Daarnaast heeft het kabinet € 26 miljoen uitgetrokken voor de bestrijding van cybercrime.

    De komende tijd houden wij u op de hoogte van relevante ontwikkelingen rondom deze nieuwe voorstellen en de meldplicht ICT-inbreuken.

    Meer weten? Neem contact op met het Van Doorne Cyber Security Team.