BSA-onderzoek Europese cyber security-wetgeving: lidstaten wisselend voorbereid

Niet elke EU-lidstaat is even goed voorbereid als het gaat om cyber security. Dat blijkt uit een onderzoek van BSA | The Software Alliance, dat voor het eerst Europese wet- en regelgeving op het gebied van cyber security analyseerde. De BSA | The Software Alliance toetste de nationale wet- en regelgeving in alle 28 EU-lidstaten aan de hand van 25 criteria die als essentieel worden beschouwd voor effectieve bescherming van cyber security. Doel van dit onderzoek was de EU-landen een mogelijkheid te bieden om hun eigen policy’s af te zetten tegen key metrics. Daarnaast zet BSA hiermee een stap vooruit door de belangrijkste bouwstenen voor een krachtig juridisch kader voor cyber security te bepalen.

“Als het gaat om cyberbescherming, is er in Europa sprake van grote verdeeldheid. De meeste lidstaten erkennen dat cyber security een prioriteit is. Toch blijft de volledige interne markt kwetsbaar voor bedreigingen vanwege de inconsistenties in hun aanpak”, zegt Thomas Boué, Director of Policy EMEA bij BSA. “De Europese richtlijn voor netwerk- en informatiebeveiliging kan helpen bij het verstevigen van het basisniveau van cyber security en cyberweerbaarheid, als die richtlijn zich richt op het in lijn brengen van de bescherming van de meest kritische Europese infrastructuur en op het introduceren van geharmoniseerde rapportage- en kennisdelingsprocessen binnen de gemeenschappelijke markt.”

Een aantal van de belangrijkste onderzoeksresultaten op een rij.

• De meeste EU-lidstaten zien cyber security als een nationale prioriteit – vooral als het gaat om kritische infrastructuren.
• Er zijn aanzienlijke hiaten tussen de cyber security-policy’s, juridische kaders en operationele mogelijkheden van alle lidstaten, met als gevolg een grote achterstand in algehele cyber security-bescherming in Europa.
• Bijna alle EU-lidstaten hebben incident response-teams samengesteld om cyberincidenten aan te pakken, maar het doel en de ervaring van deze eenheden verschillen.
• Er is op het gebied van cyber security een zorgwekkend gebrek aan systematische samenwerking tussen overheid en bedrijfsleven, en tussen Europese regeringen en niet-gouvernementele organisaties (ngo’s) en internationale partners.

Op basis van het onderzoek raadt de BSA EU-lidstaten aan te focussen op vier belangrijke onderdelen van een krachtig juridisch kader voor cyber security.

• Creëer en onderhoud een uitgebreid juridisch kader met policy’s, gebaseerd op een nationale cyber security-strategie die is aangevuld met branchespecifieke cyber security-plannen.
• Geef operationele eenheden duidelijke verantwoordelijkheden voor operationele computerbeveiliging en emergency response en incident response.
• Kweek vertrouwen en werk samen met het bedrijfsleven, ngo’s en internationale partners en allianties.
• Stimuleer het onderwijs en het bewustzijn rondom risico’s en prioriteiten op het gebied van cyber security.

Verder waarschuwt de BSA Europese regeringen ervoor om nutteloze beschermingsregelingen te voorkomen, die afbreuk kunnen doen aan cyberbeschermingsinitiatieven in plaats van ze te verbeteren. Lidstaten moeten in het bijzonder:

• onnodige of onredelijke eisen vermijden, die de keuze kunnen beperken en kosten verhogen, zoals unieke, landspecifieke certificerings- of testeisen, mandaten voor lokale content, voorschriften voor gevoelige informatie als broncode en encryptiesleutels, en beperkingen aan buitenlands eigendom en intellectueel eigendom;
• standaarden niet manipuleren, maar juist toonaangevende, internationaal erkende, technische standaarden ondersteunen;
• datalokalisatieregels vermijden en ervoor zorgen dat data vrij tussen de verschillende markten kan bewegen;
• niet de voorkeur geven aan eigen technologieën die buitenlandse concurrentie belemmeren en schadelijk zijn voor wereldwijde innovatie.

Het volledige onderzoeksrapport met de 28 landen en gedetailleerde samenvattingen van alle EU-lidstaten is hier te vinden