Op 10 november stemde het Europese Parlement in met een nieuwe EU-richtlijn die bedrijven die essentiële diensten aanbieden verplicht om zich goed te beschermen tegen mogelijke cyberaanvallen. Het gaat om bedrijven zoals supermarktketens en koeriersdiensten. Bernold Nieuwesteeg, directeur van het Centre for the Law and Economics of Cyber Security (CLECS) aan Erasmus School of Law, is enthousiast over de nieuwe richtlijn, maar twijfelt aan de controlecapaciteit van de overheid door een gebrek aan cyberexpertise.
De betreffende bedrijven zullen na invoer van de regelgeving moeten voldoen aan strengere veiligheidsnormen en worden verplicht aanvallen te melden. Daarnaast kan de CEO van een bedrijf voor het eerst geschorst worden door de toezichthouder wanneer deze persoon verzuimt om een adequaat niveau van cybersecurity te handhaven, al moeten de exacte voorwaarden daarvoor nog nader uitgewerkt worden. De nieuwe richtlijn is een goede stimulans voor bedrijven, vertelt Nieuwesteeg aan De Telegraaf: “Bedrijven die slachtoffer zijn van een ransomware-aanval houden nu vaak de kaarten tegen de borst. Als ze losgeld hebben betaald, delen ze die informatie meestal niet. Terwijl het juist goed is om dat wel te doen, zodat anderen daarvan kunnen leren.”
De nieuwe richtlijn en de uiteindelijke invoering van de nieuwe wetgeving is een stap in de goede richting, maar het succes van de richtlijn is nog niet gegarandeerd, beargumenteert Nieuwesteeg: “hoe ga je als overheid controleren of de cybersecurity in orde is? Veel slimme cybersecurity-experts werken in het bedrijfsleven. Maar het zou raar zijn als de overheid die specialisten inhuurt, omdat zij zelf de cybersecuritydiensten leveren. Dat is als de slager die zijn eigen vlees keurt.”
- Onderzoeker
- Meer informatie
Lees het hele artikel van De Telegraaf hier.