Europese cyber security-wetgeving: lidstaten wisselend voorbereid
4 maart 2015 -
Niet elke EU-lidstaat is even goed voorbereid als het gaat om cyber security. Dat blijkt uit een onderzoek van BSA | The Software Alliance, dat voor het eerst Europese wet- en regelgeving op het gebied van cyber security analyseerde.
De BSA | The Software Alliance toetste de nationale wet- en regelgeving in alle 28 EU-lidstaten aan de hand van 25 criteria die als essentieel worden beschouwd voor effectieve bescherming van cyber security. Doel van dit onderzoek was de EU-landen een mogelijkheid te bieden om hun eigen policy’s af te zetten tegen key metrics. Daarnaast zet BSA hiermee een stap vooruit door de belangrijkste bouwstenen voor een krachtig juridisch kader voor cyber security te bepalen.
Grote Europese verdeeldheid
"Als het gaat om cyberbescherming, is er in Europa sprake van grote verdeeldheid. De meeste lidstaten erkennen dat cyber security een prioriteit is. Toch blijft de volledige interne markt kwetsbaar voor bedreigingen vanwege de inconsistenties in hun aanpak," zegt Thomas Boué, Director of Policy EMEA bij BSA. "De Europese richtlijn voor netwerk- en informatiebeveiliging kan helpen bij het verstevigen van het basisniveau van cyber security en cyberweerbaarheid, als die richtlijn zich richt op het in lijn brengen van de bescherming van de meest kritische Europese infrastructuur en op het introduceren van geharmoniseerde rapportage- en kennisdelingsprocessen binnen de gemeenschappelijke markt."
Een aantal van de belangrijkste onderzoeksresultaten op een rij:
De meeste EU-lidstaten zien cyber security als een nationale prioriteit – vooral als het gaat om kritische infrastructuren.
Er zijn aanzienlijke hiaten tussen de cyber security-policy’s, juridische kaders en operationele mogelijkheden van alle lidstaten, met als gevolg een grote achterstand in algehele cyber security-bescherming in Europa.
Bijna alle EU-lidstaten hebben incident response-teams samengesteld om cyberincidenten aan te pakken, maar het doel en de ervaring van deze eenheden verschillen.
Er is op het gebied van cyber security een zorgwekkend gebrek aan systematische samenwerking tussen overheid en bedrijfsleven, en tussen Europese regeringen en niet-gouvernementele organisaties (ngo’s) en internationale partners.
Krachtig juridisch kader
Op basis van het onderzoek raadt de BSA EU-lidstaten aan te focussen op vier belangrijke onderdelen van een krachtig juridisch kader voor cyber security.
Creëer en onderhoud een uitgebreid juridisch kader met policy’s, gebaseerd op een nationale cyber security-strategie die is aangevuld met branchespecifieke cyber security-plannen.
Geef operationele eenheden duidelijke verantwoordelijkheden voor operationele computerbeveiliging en emergency response en incident response.
Kweek vertrouwen en werk samen met het bedrijfsleven, ngo’s en internationale partners en allianties.
Stimuleer het onderwijs en het bewustzijn rondom risico’s en prioriteiten op het gebied van cyber security.
Nutteloze maatregelen
Verder waarschuwt de BSA Europese regeringen ervoor om nutteloze beschermingsregelingen te voorkomen, die afbreuk kunnen doen aan cyberbeschermingsinitiatieven in plaats van ze te verbeteren. Lidstaten moeten in het bijzonder:
onnodige of onredelijke eisen vermijden, die de keuze kunnen beperken en kosten verhogen, zoals unieke, landspecifieke certificerings- of testeisen, mandaten voor lokale content, voorschriften voor gevoelige informatie als broncode en encryptiesleutels, en beperkingen aan buitenlands eigendom en intellectueel eigendom;
standaarden niet manipuleren, maar juist toonaangevende, internationaal erkende, technische standaarden ondersteunen;
datalokalisatieregels vermijden en ervoor zorgen dat data vrij tussen de verschillende markten kan bewegen;
niet de voorkeur geven aan eigen technologieën die buitenlandse concurrentie belemmeren en schadelijk zijn voor wereldwijde innovatie.
Nederlandse positie
In het onderzoek stelt BSA vast dat Nederland een ver ontwikkeld juridisch en policy-kader voor cyber security heeft, waaronder de National Cyber Security Strategy 2 uit 2013. Dit is de tweede strategie in deze lijn; het cyber security-kader in Nederland wordt elke twee jaar vernieuwd. Nederland heeft ook een National Cyber Security Centrum (NCSC) dat zich op een centrale manier bezighoudt met aan cyber security gerelateerde procedures en werkwijzen. Het NCSC werkt daarnaast actief samen met Information Sharing and Analysis Centres (ISAC’s) voor sectoren die te maken hebben met een kritieke infrastructuur.
Het volledige onderzoeksrapport met de 28 landen en gedetailleerde samenvattingen van alle EU-lidstaten zijn te vinden op www.bsa.org/EUcybersecurity.