Cyberregelgeving wordt steeds complexer

De Global Cyber Policy Radar van de NCC Group geeft inzicht in de belangrijkste veranderingen in regelgeving en beleid met een focus op data privacy waar organisaties zich de rest van 2024 bewust van moeten zijn.

Christo Butcher, Executive consultant bij Fox-IT: “In het snel evoluerende cyberlandschap van vandaag is het cruciaal om goed geïnformeerd te blijven. Onze Cyber Policy Radar geeft een overzicht van de nieuwste ontwikkelingen op het gebied van cyberregelgeving en biedt inzichten die essentieel zijn om de weg te vinden in het complexe dataprivacy-landschap dat voor ons ligt.”

“Regeringen maken weliswaar plannen om de cyberregels te harmoniseren, maar vooralsnog zorgen de resterende fragmentatie en barrières voor implementatie ervoor dat organisaties die onder de regelgeving vallen voorlopig nog te maken hebben met complexe en overlappende regelgeving. Bovendien wordt de verantwoordelijkheid - en in sommige gevallen de aansprakelijkheid - rechtstreeks bij het hogere management gelegd. Het is daarom essentieel dat dit management over de informatie beschikt die nodig is om beslissingen over cyberstrategie te nemen en deze te rechtvaardigen en te verdedigen.” 

Daarnaast signaleert het rapport dat overheden hard optreden tegen het gebruik van offensieve cybertools. Butcher: “Slechte regelgeving kan verhinderen dat CISO's toegang krijgen tot deze tools, waardoor zij belemmerd worden in het effectief uitvoeren van beveiligingstests. Het is daarom essentieel dat de securitysector vanaf het begin betrokken wordt bij het opstellen van deze regels.” Dit gebeurt bijvoorbeeld in het Pall Mall-proces, een grootschalig internationaal initiatief om proliferatie en onverantwoordelijk gebruik van offensieve cybertools tegen te gaan.

Focus op dataprivacy

Het rapport laat ook de toenemende complexiteit zien van het dataprivacy-landschap aan de hand van een nieuwe analyse van de NCC Group van boetes voor inbreuk op dataprivacy die door regelgevers wereldwijd zijn opgelegd. Met behulp van gegevens verzameld door het
privacy-, beveiligings- en data-ethiekplatform OneTrust, constateert NCC Group dat:

  • Sinds 2020 zijn er meer dan 2700 boetes opgelegd in verband met dataprivacy, voor een totaalbedrag van € 6,6 miljard.
  • Van de boetes die tot nu toe zijn opgelegd, zijn er slechts 14 opgelegd in het VK en 72 in de VS, terwijl Spanje meer dan 840 boetes heeft opgelegd.
  • Ierland heeft zich ontpopt als de facto Europese toezichthouder voor multinationale technologiebedrijven en heeft 20 boetes opgelegd die goed zijn voor meer dan een derde van alle boetes wereldwijd (ongeveer €2,5 miljard).
  • De publieke sector is de grootste sector waarbinnen wereldwijd wordt gehandhaafd - hoewel dit slechts in één op de drie gevallen leidt tot een boete en wanneer dit gebeurt, zijn de boetes relatief laag (gemiddeld ongeveer €117.000)
  • Sociale media, e-commerce en technologiebedrijven kregen te maken met hoge boetes - gemiddeld respectievelijk €59,3 miljoen, €11,5 miljoen en €7,9 miljoen.

Butcher voegt hieraan toe: “Hoewel GDPR in veel landen de de-facto standaard is geworden, zorgen verschillen in nationale handhaving en handhaving binnen sectoren voor een steeds complexer compliance-landschap. Ook het veranderende politieke landschap, de toenemende aandacht van regelgevers voor online security en wat de wijdverspreide toepassing van AI betekent voor dataprivacy, dragen bij aan de complexiteit.”

Het rapport omvat ook een stappenplan voor organisaties om hun weg te vinden in het complexe en steeds veranderende cybersecuritylandschap en hen te helpen beter op hun situatie afgestemd en toekomstbestendig te investeren in security.