Wereldwijde verschuiving in Cybersecurity Wet- en Regelgeving

Cybersecurity en Kritieke Infrastructuur: Belangrijke Wetten en Richtlijnen

Nieuwe wet- en regelgeving op het gebied van cybersecurity zijn de afgelopen jaren aanzienlijk toegenomen. De afbeelding hieronder toont diverse wereldwijd geïntroduceerde wetten.

Toelichting wetten

Enkele van deze wetten lichten we verder toe vanwege hun overeenkomsten in kritieke infrastructuren, rapportage en samenwerking.

NIS2: De NIS2-richtlijn verbetert de beveiliging en weerbaarheid van kritieke en essentiële diensten in EU-lidstaten. Sectoren zoals energie, transport, bankwezen, gezondheidszorg, digitale infrastructuur en openbaar bestuur vallen hieronder. Significante cyberincidenten moeten binnen 24 uur worden gemeld. Dit stelt nationale autoriteiten in staat snel te reageren en verdere schade te voorkomen. In Nederland wordt de NIS2-richtlijn geïmplementeerd door de Cyberbeveiligingswet.

CIRCIA: In de Verenigde Staten is sinds 2022 de Cyber Incident Reporting for Critical Infrastructure Act (CIRCIA) van kracht. Deze wet verbetert de veiligheid van kritieke infrastructuren. Organisaties moeten cyberincidenten en ransomware-betalingen melden aan de Cybersecurity and Infrastructure Security Agency (CISA). Dit helpt bij het snel reageren op dreigingen en verbetert de nationale cyberveiligheid.

SLACIP: De Security Legislation Amendment (Critical Infrastructure Protection) Act 2022 van Australië versterkt de veiligheid van kritieke infrastructuren zoals energie, water, transport en communicatie. Verantwoordelijke entiteiten moeten een risicobeheerprogramma opstellen, onderhouden en naleven. De wet geldt voor sectoren en activa die als kritiek worden beschouwd.

Basic Act on Cybersecurity: In Japan geldt sinds 2014 de Basic Act on Cybersecurity voor sectoren die als kritisch worden beschouwd voor de samenleving en economie. Denk aan energie, water, transport en gezondheidszorg. De wet voorziet in de oprichting van een Cybersecurity Strategic Headquarters, verantwoordelijk voor de nationale cybersecurity-strategie. De wet benadrukt de noodzaak van internationale samenwerking om cyberaanvallen gecoördineerd aan te pakken.

Verplichte Incidentrapportage

Veel wetten verplichten organisaties om cyberincidenten binnen een bepaalde tijd te melden. Dit helpt bij het snel reageren op dreigingen en verbetert de nationale samenwerking. Hieronder de overeenkomsten tussen de verschillende wetten.

NIS2-richtlijn: Organisaties moeten significante cyberincidenten melden aan nationale autoriteiten. Dit omvat incidenten die aanzienlijke verstoring of schade kunnen veroorzaken. De melding moet gedetailleerde informatie bevatten over de aard van het incident, de impact, de getroffen systemen en de genomen maatregelen. Niet voldoen aan de rapportagevereisten kan aanzienlijke boetes opleveren.

CIRCIA: Organisaties moeten cyberincidenten 24/7 rapporteren aan de CISA. Dit stelt CISA in staat snel middelen in te zetten en hulp te bieden aan slachtoffers. Door cyberincidenten snel te melden, kan CISA trends analyseren en informatie delen om andere potentiële slachtoffers te waarschuwen.

Security Legislation Amendment: Verantwoordelijke entiteiten moeten incidenten melden aan bevoegde autoriteiten als onderdeel van hun risicobeheerprogramma. Specifieke tijdsvereisten kunnen variëren afhankelijk van de aard van het incident.

Basic Act on Cybersecurity: De wet benadrukt de noodzaak om proactief te reageren op cybersecurity-dreigingen. Dit vereist samenwerking tussen overheden en aanbieders van kritieke infrastructuur. De wet bevat geen specifieke tijdsvereisten voor het rapporteren van cyberincidenten.

Internationale Samenwerking

Cyberdreigingen kennen geen grenzen. De wetten benadrukken het belang van internationale samenwerking en informatie-uitwisseling om cyberdreigingen gecoördineerd aan te pakken.

Valt uw organisatie onder de in Nederland geldende Cyberbeveiligingswet, die waarschijnlijk in het derde kwartaal van 2025 van kracht gaat? Onze consultants van AuditConnect staan u graag te woord. Neem contact op via onze contactpagina.