03 nov. 2025
De regelgeving op het gebied van cyberbeveiliging is veranderd in een steeds complexer web van compliance-eisen die organisaties niet langer kunnen negeren. Nu bedrijven cloud computing, kunstmatige intelligentie-gedreven oplossingen en Internet of Things technologieƫn omarmen, worden ze tegelijkertijd geconfronteerd met een verhoogd risico op gegevensinbreuken en een verscherpt toezicht van regelgevende instanties wereldwijd. Moderne cyberbeveiliging gaat veel verder dan het verdedigen van systemen tegen online aanvallen - het omvat nu ook strikte naleving van de zich ontwikkelende regelgevende kaders die zijn ontworpen om gevoelige gegevens te beschermen, organisatorische verantwoordelijkheid te garanderen en robuuste beveiligingsinfrastructuren op te zetten.
Niet-naleving van regelgeving op het gebied van cyberbeveiliging heeft ernstige gevolgen, waaronder aanzienlijke financiĆ«le boetes en juridische vertakkingen die de bedrijfscontinuĆÆteit in gevaar kunnen brengen. Organisaties moeten zich een weg banen door dit mijnenveld van regelgeving om het vertrouwen van klanten te behouden, hun reputatie te beschermen en de risico's van datalekken te beperken. Voor Chief Information Officers, Chief Information Security Officers en beveiligingsprofessionals is het begrijpen en implementeren van deze compliance-eisen cruciaal geworden voor het succes van organisaties.
Europese Unie versterkt cyberbeveiligingsraamwerk
De Europese Unie heeft verschillende uitgebreide regelgevingskaders geĆÆntroduceerd die van grote invloed zijn op de manier waarop organisaties cyberbeveiliging benaderen. De NIS2-richtlijn, die staat voor Netwerk- en Informatiebeveiligingsrichtlijn, is een bijgewerkte en uitgebreide versie van de oorspronkelijke NIS-richtlijn, speciaal ontworpen om de tekortkomingen van zijn voorganger te verhelpen. Lidstaten moesten deze richtlijn uiterlijk op 17 oktober 2024 als nationale wet aannemen, wat een belangrijke mijlpaal is in de Europese regelgeving op het gebied van cyberbeveiliging.
NIS2 verplicht exploitanten van kritieke infrastructuur en essentiĆ«le diensten in de hele EU om passende beveiligingsmaatregelen te nemen en alle cyberbeveiligingsincidenten te melden om de beveiliging van netwerk- en informatiesystemen te verbeteren. De richtlijn heeft betrekking op een aanzienlijk groter aantal sectoren die vitale gebieden van de samenleving vertegenwoordigen dan het oorspronkelijke kader. De vier primaire vereisten -risicobeheer, verantwoordingsplicht van bedrijven, rapportageverplichtingen en bedrijfscontinuĆÆteit - leggen strengere normen op dan NIS1. Organisaties die niet aan deze eisen voldoen, riskeren hoge boetes en mogelijke juridische gevolgen.
De Digital Operational Resilience Act, beter bekend als DORA, werd van kracht op 17 januari 2025 en is voornamelijk gericht op financiĆ«le instellingen. VĆ³Ć³r de invoering van DORA bestond er geen uniforme methodologie voor het aanpakken van problemen op het gebied van informatie- en communicatietechnologie, of deze nu het gevolg waren van cyberaanvallen of technische storingen. De verordening vereist nu van financiĆ«le instellingen, waaronder banken, verzekeringsmaatschappijen en investeringsbanken, dat ze zich houden aan strikte richtlijnen om ervoor te zorgen dat ze bestand zijn tegen, kunnen reageren op en herstellen van aanzienlijke operationele onderbrekingen en tegelijkertijd cyberaanvallen kunnen voorkomen en verminderen.
De Cyber Resilience Act gaat in op de realiteit dat zowel hardware als software belangrijke doelwitten zijn geworden voor kwaadaardige activiteiten. Deze verordening is van toepassing op fabrikanten, importeurs en distributeurs van producten met digitale elementen en zorgt voor cyberbeveiliging gedurende de gehele levenscyclus van het product. Het introduceert verplichte cyberbeveiligingseisen voor de planning, het ontwerp, de ontwikkeling en het onderhoud van dergelijke producten. De voorschriften van de CRA voor het melden van cyberbeveiligingsincidenten gaan in op 11 september 2026 en alle andere vereisten worden geĆÆmplementeerd op 11 december 2027. Producten zoals medische apparaten en auto's met hun eigen veiligheids- en beveiligingsvoorschriften zijn vrijgesteld van dit kader.
Kunstmatige intelligentie heeft te maken met regelgeving
De EU-wet op kunstmatige intelligentie richt zich voornamelijk op AI-regelgeving, maar heeft ook belangrijke gevolgen voor cyberbeveiligingspraktijken. De wetgeving vereist dat AI-systemen met een hoog risico worden ontworpen en ontwikkeld om de juiste niveaus van nauwkeurigheid, robuustheid en cyberbeveiliging te bereiken en deze kwaliteiten gedurende hun hele levenscyclus te behouden. De Europese Commissie zal deze prestatieniveaus meten en evalueren om naleving te waarborgen.
AI-systemen met een hoog risico moeten bevooroordeelde output voorkomen en beveiligd zijn tegen manipulatie door onbevoegde partijen. Deze verordening wordt van kracht op 2 augustus 2026, zodat organisaties de tijd hebben om hun AI-systemen voor te bereiden op naleving. Het snijvlak van AI en regelgeving op het gebied van cyberbeveiliging weerspiegelt het groeiende besef dat kunstmatige intelligentiesystemen unieke beveiligingsuitdagingen met zich meebrengen die speciaal toezicht vereisen.
Verenigd Koninkrijk bevordert wetgeving cyberdefensie
De Cyber Security and Resilience Bill van het Verenigd Koninkrijk heeft als doel de cyberdefensie van het land te verbeteren en ervoor te zorgen dat vitale kritieke infrastructuren waarop bedrijven voor digitale diensten vertrouwen, veilig blijven. Deze wetgeving zal de implementatie van sterke cyberbeveiligingsmaatregelen verplichten en het rapporteren van incidenten aan de overheid verplichten om het verzamelen van gegevens over cyberaanvallen te verbeteren. De regering kondigde in juli 2024 aan dat ze dit wetsvoorstel tijdens de huidige parlementaire zitting zou indienen. De details zouden in april 2025 worden gepubliceerd en de formele indiening bij het parlement zou later in 2025 plaatsvinden.
Verenigde Staten verbeteren rapportage over kritieke infrastructuur
De Cyber Incident Reporting for Critical Infrastructure Act, beter bekend als CIRCIA, is een Amerikaanse wet die gericht is op het verbeteren van de cyberveiligheid van het land door het verkrijgen van betere en snellere informatie over cyberaanvallen. De wetgeving verplicht kritieke organisaties om het Cybersecurity and Infrastructure Security Agency op de hoogte te stellen wanneer ze een cyberaanval uitvoeren of losgeld betalen, waardoor de autoriteiten een duidelijker beeld krijgen van het cyberdreigingslandschap. De meldingsverplichtingen zullen naar verwachting in 2026 van kracht worden, na de publicatie van de definitieve regels in 2025, zodat organisaties de tijd hebben om geschikte meldingsmechanismen op te zetten.
India stelt kader voor gegevensbescherming vast
India heeft belangrijke stappen gezet om de bescherming van gegevens en privacy te verbeteren door middel van de Digital Personal Data Protection Act. De DPDP-regels, die deel uitmaken van de Digital Personal Data Protection Act van 2023, betekenen een belangrijke vooruitgang voor India op het gebied van cyberbeveiliging. Deze wetgeving verplicht de aanstelling van een functionaris voor gegevensbescherming voor organisaties die omgaan met persoonsgegevens. Chief Information Security Officers zullen nauw moeten samenwerken met functionarissen voor gegevensbeveiliging om de strategieƫn voor cyberbeveiliging af te stemmen op de vereisten voor gegevensbescherming, zodat er een uniforme aanpak ontstaat voor informatiebeveiliging en privacy.
Strategische voorbereiding op naleving van regelgeving
Chief Information Officers en Chief Information Security Officers moeten een proactieve aanpak hanteren om de brede reikwijdte van wettelijke compliance-eisen in 2025 aan te pakken. Beveiligingsleiders kunnen hun organisaties helpen de uitdagingen op het gebied van compliance voor te blijven door toegang te houden tot de nieuwste cyberbeveiligingsprocedures op basis van wijzigingen in regelgevingskaders. Dit vereist voortdurende controle van ontwikkelingen op het gebied van regelgeving en inzicht in de manier waarop nieuwe vereisten bestaande beveiligingsprogramma's beĆÆnvloeden.
Om de organisatorische implicaties van regelgevende kaders te begrijpen, is nauwe samenwerking met interne medewerkers van verschillende afdelingen nodig. Juridische, compliance-, financiƫle en operationele teams moeten samenwerken om een volledig begrip te krijgen van de regelgeving en de praktische implementatie ervan. Daarnaast biedt de samenwerking met externe consultants of juristen voor advies over regelgeving waardevolle expertise bij het navigeren door complexe compliancelandschappen.
Communicatie is een essentieel onderdeel van de voorbereiding op regelgeving. Door teams en belanghebbenden op de hoogte te houden van de gevolgen van wijzigingen in de regelgeving, zorgt u ervoor dat iedereen begrijpt wat zijn rol en verantwoordelijkheden zijn bij het handhaven van de naleving. Dit omvat regelmatige trainingssessies, bijgewerkte documentatie en duidelijke escalatieprocedures voor compliance-gerelateerde problemen.
Inzicht in de huidige positie van het bedrijf is essentieel voor effectief compliance management. Organisaties moeten grondige evaluaties uitvoeren om hiaten tussen de huidige beveiligingspraktijken en de wettelijke vereisten te identificeren. Deze beoordelingen vormen de basis voor het ontwikkelen van uitgebreide routekaarten naar compliance die prioriteit geven aan initiatieven op basis van risicobeoordeling, beschikbaarheid van middelen en deadlines van de regelgeving.
Beveiligingsverantwoordelijken kunnen hun organisaties helpen de uitdagingen op het gebied van compliance voor te blijven door toegang te houden tot de nieuwste cyberbeveiligingsprocedures en ervoor te zorgen dat antivirusoplossingen correct worden ingezet en bijgewerkt in overeenstemming met de regelgevingskaders.
Beveiligingsleiders moeten ook kaders opstellen voor voortdurende controle op naleving in plaats van naleving van de regelgeving te behandelen als een eenmalig project. Mechanismen voor voortdurende beoordeling helpen organisaties nieuwe hiaten in de compliance te identificeren voordat het kritieke problemen worden, waardoor proactief herstel mogelijk is in plaats van reactief crisismanagement.
De regelgeving zal zich blijven ontwikkelen naarmate cyberbedreigingen toenemen en overheden reageren met bijgewerkte kaders. Organisaties die investeren in flexibele, adaptieve complianceprogramma's positioneren zichzelf effectiever om toekomstige veranderingen in de regelgeving op te vangen dan organisaties die een rigide, minimalistische aanpak hanteren die alleen gericht is op de huidige vereisten. Door compliancecapaciteiten op te bouwen die verder gaan dan de huidige mandaten, creƫer je veerkracht tegen toekomstige uitbreiding van de regelgeving en versterk je tegelijkertijd de algehele beveiliging.
Inhoud
Europese Unie versterkt cyberbeveiligingsraamwerkKunstmatige intelligentie heeft te maken met regelgeving
Verenigd Koninkrijk bevordert wetgeving cyberdefensie
Verenigde Staten verbeteren rapportage over kritieke infrastructuur
India stelt kader voor gegevensbescherming vast
Strategische voorbereiding op naleving van regelgeving
Artikelen
Verken diepgaande artikelen over trends in de sector, inzichten van experts en de nieuwste ontwikkelingen op het gebied van cyberbeveiliging en technologie.
Terug naar Artikelen
