Event | Cybersec Netherlands 2024
Het aantal regelgevende initiatieven rond digitalisering die de EU de komende vijf jaar wil nemen, valt letterlijk niet meer op één hand te tellen. Cybersec Netherlands 2024 gaf inzicht in welke EU-wetgeving vandaag het relevantst is in functie van cybersecurity.
Het was Jeremy Rollison, die bij Microsoft aan het hoofd staat van de EU Policy-afdeling, die het overzicht gaf. Rollison is gevestigd in Brussel, en met een kwinkslag wist hij te vertellen dat ‘elk excuus goed is om je even buiten Brussel te bevinden’.
Rollison lijkt een drukke job te hebben voor Microsoft, want het aantal domeinen waar de EU-wetgeving beraamt of reeds heeft vastgelegd inzake digitalisering is breed. Van ai (met de implementatie van onder meer de Verordening Kunstmatige Intelligentie (Artificial Intelligence Act; Ai Act), duurzaamheid (met onder meer de Circular Economy Act), connectiviteit (met onder meer de Digital Networks Act), privacy (GDPR, cookies), cloud (Data Act), consumentenrecht (Digital Advertising Act) en content moderatie (CSAM).
Maar in functie van cybersecurity koos Rollison deze vier wetgevende initiatieven uit. ‘Deze zijn voor cybersecurity momenteel het meest levend en daarom ook het relevantst, al zijn er dus ook nog heel wat andere.’
- NIS2
Deze richtlijn is gericht op een verbetering van de digitale en economische weerbaarheid van Europese lidstaten ‘De wetgeving heeft impact op achttien sectoren. De grootste impact van NIS2 voor de organisaties draait om maatregelen inzake cybersecurity risk management en rond het rapporteren van incidenten’, merkt Rollison op.
Timing: 17 oktober 2024. Doordat deze implementatie voor nationale wetgeving recent was (en slechts twee landen, waaronder België, die timing haalden), is deze richtlijn in dit overzicht ook de meest bekende.
- Cyber Resilience Act
Deze EU-regelgeving gaat dus niet over cyberweerbaarheid van (alle) organisaties, maar over hardware- en software-producten. Hij stelt bindende eisen aan de cyberveiligheid van digitale producten die in de EU worden verkocht, zoals software en iot-apparaten. ‘Alle producten, mits enkel uitzonderingen, die rechtstreeks of onrechtstreeks worden geconnecteerd aan een netwerk, komen ervoor in aanmerking.’
Timing: In tegenstelling tot NIS2 is de Cyber Resilience Act nog niet voor morgen: invoering is voor 2026 en 2027.
- Dora
Dora staat voor Digital Operational Resilience Act en richt zich op de financiële sector. ‘Een sector die per definitie al sterk is gereguleerd’, merkt Rollison op. Het gaat hier om Europese regelgeving die de operationele weerbaarheid van financiële organisaties en hun diensten moet versterken.
Toch gaat het niet enkel om financiële bedrijven. ‘Dora brengt ook vereisten met zich mee voor third-party-ict-providers, met een focus op cloud computing die kritieke functionaliteiten ondersteunen’.
Timing: begin volgend jaar, en meer bepaald: 17 januari 2025
- EU Cloud Certification Scheme
Eucs is een raamwerk voor het certificeren van de cybersecurity van clouddienstverleners. Het is een onderdeel van de 2019 Cybersecurity Act of CSA. ‘Cybersecurity schema’s zoals de Eucs zijn niet verplicht. Al kunnen ze in de toekomst wel verplicht worden’, stelt hij. ‘Het covert alle soorten van clouddiensten: van infrastructuur tot applicaties.’
Timing: Het conceptvoorstel van de Europese Commissie is de voorbije maanden ter beoordeling bij de 27 lidstaten voorgelegd. Eucs is nog niet helemaal rond.
