Toenemende geopolitieke spanningen, de groei van door natiestaten ondersteunde cyberoperaties en de snelle adoptie van AI veranderen het wereldwijde cyberwet- en regelgeving landschap fundamenteel. Dit blijkt uit de vijfde editie van het Global Cyber Policy Radar-rapport van NCC Group, het moederbedrijf van Fox-IT.
Het rapport laat zien dat cyberbeleid niet langer alleen een technisch onderwerp is, maar een belangrijk instrument voor nationale veiligheid, economische strategie en geopolitieke invloed. Regelgeving wordt in toenemende mate gevormd door de manier waarop staten hun macht willen uitoefenen en risico’s willen beheersen in een steeds verder gefragmenteerde wereldorde. Dit uit zich onder meer in maatregelen rond controle over toeleveringsketens en datasoevereiniteit, evenals de inzet van offensieve cyberoperaties.
In de Global Cyber Policy Radar worden drie ontwikkelingen geïdentificeerd die momenteel bepalend zijn voor cyberwetgeving wereldwijd:
- Digitale soevereiniteit zorgt voor verdere fragmentatie van het wereldwijde cyberlandschap doordat overheden meer controle opeisen over data, cloudinfrastructuur, technologie supply chains en kritieke diensten - vaak zonder een gezamenlijk internationaal kader.
- AI-security wordt steeds vaker afgedwongen via bestaande cyberwetgeving in plaats van via nieuwe, op zichzelf staande AI wetten. Hierdoor worden organisaties scherper beoordeeld op hoe zij AI inzetten en beveiligen.
- Cyberverantwoordelijkheid verschuift steeds nadrukkelijker naar de boardroom, doordat toezichthouders direct toezicht en persoonlijke verantwoordelijkheid bij senior leiderschap neerleggen.
Een andere belangrijke verschuiving dat in het rapport wordt besproken gaat over de houding van landen ten opzichte van cyber in het algemeen. Geconfronteerd met aanhoudende en ontwrichtende cyberactiviteit komen overheden steeds vaker tot de conclusie dat enkel verdedigen niet voldoende is. Offensieve cybercapaciteiten worden hierom steeds belangrijker in nationale veiligheidsstrategieën.
Recente Amerikaanse cyberoperaties, waaronder activiteiten die in verband worden gebracht met Iran, laten zien hoe cybercapaciteiten steeds vaker onderdeel zijn van bredere militaire en geopolitieke strategieën. Deze verschuiving naar een meer offensieve aanpak, die inmiddels ook door een groeiend aantal Europese landen, inclusief Nederland, wordt overgenomen, roept belangrijke vragen op over internationale samenwerking, escalatierisico’s en de rol van de private sector.
Bij het ontbreken van internationaal afgesproken spelregels kan de uitbreiding van offensieve cyberactiviteiten leiden tot verdere fragmentatie van het cyberlandschap. Dit maakt compliance voor internationaal opererende organisaties complexer en vergroot de druk op bedrijven om mee te werken aan door overheden geleide cyberinitiatieven.
Tegelijkertijd treden belangrijke wetgevingskaders zoals NIS2, DORA, de EU Cyber Resilience Act en de AI Act in werking of worden deze al actief gehandhaafd. Daardoor krijgen organisaties te maken met strengere compliance-eisen op het gebied van governance, weerbaarheid en C-suite besluitvorming. In het rapport worden organisaties geadviseerd om proactief te reageren op deze wet- en regelgevingseisen door hun cyber governance te versterken, hun positie ten aanzien van publiek private samenwerking te verduidelijken en ervoor te zorgen dat bestuurders zijn toegerust om te opereren in een wereld waarin cyberrisico’s, geopolitiek en regelgeving niet meer los van elkaar te zien zijn.
Katharina Sommer, Director of Government Affairs and Analyst Relations bij NCC Group: “Cyberbeleid is een verlengstuk geworden van geopolitiek. Nu het vertrouwen tussen staten afneemt, wordt cyberwetgeving steeds vaker gevormd door nationale veiligheidsbelangen, risico’s in de toeleveringsketen en het gebruik van cybercapaciteiten als strategisch instrument.”
“Onze nieuwste Global Cyber Policy Radar laat zien dat overheden niet langer alleen vertrouwen op weerbaarheid. Van Amerikaanse cyberoperaties die in verband worden gebracht met Iran tot de uitbreiding van offensieve cybercapaciteiten in Europa: staten maken duidelijk dat cyber inmiddels een kernonderdeel is van afschrikking en machtsprojectie.”
“Voor organisaties betekent dit een fundamentele verandering in het umfeld waarin ze opereren. Digitale soevereiniteit, offensieve cyberactiviteit en strengere verantwoordingsplicht komen samen, waardoor nieuwe verwachtingen ontstaan voor bestuurders. Zij moeten niet alleen begrijpen wat compliance inhoudt, maar ook bepalen hoe hun organisatie zich opstelt wanneer overheden om samenwerking vragen. Organisaties die hier vroegtijdig op inspelen, aantoonbaar werken aan weerbaarheid en cybersecurity stevig op bestuursniveau verankeren, zijn het best voorbereid op dit steeds verder gefragmenteerde landschap.”