Nieuw cyberbeveiligingsvoorstel van de Europese Unie richt zich op cybercriminaliteit

Wetgevers proberen de cyberbeveiligingsvereisten in de hele Europese Unie aan te scherpen en bevorderen nieuwe wetgeving om de beveiligingsvereisten voor alle digitale hardware- en softwareproducten te versterken. De voorgestelde wet, getiteld de Cyber ​​Resilience Act, zou alles omvatten, van computers en mobiele telefoons tot slimme keukenapparatuur en digitaal kinderspeelgoed.

"Als het op cyberbeveiliging aankomt, is Europa zo sterk als zijn zwakste schakel: of het nu een kwetsbare lidstaat is of een onveilig product in de toeleveringsketen", zegt Thierry Breton, EU-commissaris voor de interne markt.

De voorgestelde wetgeving, die eerder deze maand door de Europese Commissie werd onthuld, schrijft voor dat producten moeten worden ontworpen, ontwikkeld en geproduceerd op manieren die cyberbeveiligingsrisico's beperken. Dit omvat bijvoorbeeld vereisten om producten te verkopen in een veilige standaardconfiguratie, om een ​​grondig productidentificatiesysteem te onderhouden en om ervoor te zorgen dat exploiteerbare kwetsbaarheden kunnen worden aangepakt door middel van beveiligingsupdates, naast andere regels voor openbaarmaking van cybercriminaliteit.

De afgelopen jaren is het aantal persoonlijke apparaten dat met internet is verbonden flink gegroeid.

Toch zijn veel van deze zogenaamde internet van dingen producten zijn zeer kwetsbaar voor hacks en cybercriminaliteit. In werkelijkheid, ransomware-aanvallen komen wereldwijd elke 11 seconden voor en hebben de wereldeconomie vorig jaar naar schatting € 20 miljard gekost, volgens Cybersecurity-ondernemingen. Ondertussen kosten DDoS-aanvallen - kwaadaardige pogingen om de toegang tot internetdiensten of websites te verstoren of af te sluiten - slechts de EU-economie ongeveer € 65 miljard in 2020.

In België werden in 1,000 bijvoorbeeld bijna 2021 bedrijven getroffen door cybercriminaliteit – een stijging van 300% ten opzichte van het jaar ervoor, volgens een analyse door Mastercard. De meeste cyberaanvallen waren aanvallen van malware en ransomware.

"We verdienen het om ons veilig te voelen met de producten die we kopen op de interne markt", zegt Margrethe Vestager, executive vice president van de Europese Commissie voor A Europe Fit for the Digital Age. "De Cyber ​​Resilience Act zorgt ervoor dat de verbonden objecten en software die we kopen voldoen aan sterke cyberbeveiligingswaarborgen."

Een functionaris van de Microsoft Digital Crimes Unit toont een hittekaart van kwaadaardige computernetwerken in West-Europa in 2013. Afbeelding: REUTERS/Jason Redmond

Van versterkte cyberbeveiligingsprotocollen wordt ook verwacht dat ze bedrijven en fabrikanten helpen, vooral kleinere bedrijven die mogelijk niet over de technische middelen of financiële middelen beschikken om een ​​cyberaanval te overleven.

Eerder dit jaar heeft het World Economic Forum Wereldwijde cyberbeveiligingsvooruitzichten meldde dat de gemiddelde kosten van een cyberinbreuk voor een bedrijf $ 3.6 miljoen waren. Bovendien zagen gerichte bedrijven de aandelenkoersen dalen en besteedden ze gemiddeld 280 dagen aan het identificeren van en reageren op een cyberaanval.

"Technologieleiders, bedrijven en hun raden van bestuur zouden er goed aan doen aandacht te besteden aan deze ontwikkelingen en te erkennen dat cyberstrategie een bedrijfsstrategie is en dat het begrijpen van cyberrisico's deel uitmaakt van goed bestuur in het digitale tijdperk", zegt Daniel Dobrygowski, hoofd van bestuur en vertrouwen in het Forum's Centre for Cybersecurity.

De voorgestelde Cyber ​​Resilience Act werd verwelkomd door branchegroepen zoals de TIC Council, een wereldwijde organisatie die zich bezighoudt met de onafhankelijke test-, inspectie- en certificeringssectoren. "Het voorstel is een goede eerste stap op weg naar een meer cyberbestendige interne markt", zegt Martin Michelot, uitvoerend directeur van de TIC Council voor Europa.

De wetgeving was eerst naar voren gebracht door de voorzitter van de Europese Commissie Ursula von der Leyen in november 2021. Als de wet wordt goedgekeurd door het Europees Parlement en de Europese Raad, hebben EU-landen twee jaar de tijd om de nieuwe regels aan te passen.

"Digitaal vertrouwen is een noodzaak in een wereldeconomie die afhankelijk is van steeds toenemende connectiviteit, datagebruik en nieuwe innovatieve technologieën", zegt Akshay Joshi, hoofd industrie en partnerschappen bij het Forum's Center for Cybersecurity. "Naarmate gewone burgers steeds meer op hun hoede worden voor de technologieën waarmee ze omgaan, zal deze verordening de transparantie verder vergroten en eindgebruikers in staat stellen weloverwogen keuzes te maken."

De Cyber ​​Resilience Act van de EU voegt zich bij verschillende andere wetgevingsvoorstellen die over de hele wereld zijn voorgesteld en die tot doel hebben cybercriminaliteit te beteugelen, die volgens Cybersecurity Ventures de wereldeconomie in 5.5 2021 biljoen euro heeft gekost. tegen 2025, schade door cybercriminaliteit zullen naar verwachting meer dan € 10 biljoen bedragen.

Eerder dit jaar hebben de Verenigde Staten een nieuwe wet uitgevaardigd versterking van de openbaarmakingsvereisten voor cybercriminaliteit voor bedrijven die in kritieke infrastructuursectoren werken. Het beleid volgde op een grote ransomware-aanval in mei 2021 tegen Colonial Pipeline, dat het grootste pijpleidingsysteem van het land voor vliegtuigbrandstof, benzine en diesel exploiteert. De aanval, die naar verluidt werd gelanceerd via een oud virtueel particulier bedrijfsnetwerk, legde pijpleidingen over de Amerikaanse oostkust lam en resulteerde in Koloniale pijpleiding betalen ongeveer $ 5 miljoen aan Bitcoin voor de hackers. Het Amerikaanse ministerie van Justitie later bijna de helft hersteld van het losgeld.

Vandaag de dag, de Amerikaanse Securities and Exchange Commission en Amerikaanse Congres streven ook naar nieuwe regelgeving om benchmarks voor cyberbeveiliging en openbaarmakingsvereisten voor cybercriminaliteit te versterken en te standaardiseren.

"Regelgeving speelt een belangrijke rol bij het stimuleren van cyberweerbaarheid", voegde Dobrygowski eraan toe.