Navigeren door de belangrijkste hedendaagse voorschriften voor cyberbeveiliging

Waarom compliance belangrijk is in de cyberbeveiligingsregelgeving

In de verbonden wereld van vandaag zijn gegevensbeveiliging en netwerkbeveiliging niet langer alleen technische kwesties - het zijn juridische en reputatievereisten. Naarmate bedreigingen zich ontwikkelen en de digitale infrastructuur zich uitbreidt, moeten de regelgevingskaders die zijn ontworpen om systemen veilig te houden, gelijke tred houden. Maar compliance met deze regelgeving gaat niet alleen over het vermijden van boetes of het aanvinken van vakjes. Het gaat erom beveiliging te integreren in elke fase van productontwikkeling en systeemintegratie.

In de eerste twee blogs van deze serie hebben we de menselijke kant van cyberbeveiliging onderzocht - waarom bewustzijn belangrijk is en hoe je verantwoordelijk met kwetsbaarheden omgaat. Nu richten we onze aandacht op de voorschriften voor cyberbeveiliging die de minimumstandaard voor veilige systemen bepalen.

Voor vastgoedbeheerders, vastgoedontwikkelaars en systeemintegrators is de vraag eenvoudig: zou u een apparaat vertrouwen dat niet voldoet aan de nieuwste normen voor cyberbeveiliging? Als een fabrikant de verplichte regels voor cyberbeveiliging over het hoofd ziet, is er een veel groter probleem - wat zouden ze nog meer over het hoofd kunnen zien?

Verplichte voorschriften: Wat je moet volgen

Netwerk- en informatiebeveiligingsrichtlijn 2 (NIS2): Meer bewustzijn over cyberbeveiliging in de EU

Wat is NIS2?

De Network and Information Security Directive 2 (NIS2), die in 2022 door de EU is aangenomen, breidt verplichte cyberbeveiligingseisen uit naar een breder scala aan sectoren, waaronder kritieke infrastructuur, digitale diensten, fabrikanten van aangesloten apparaten, post- en koeriersdiensten, wetenschap, onderzoek en onderwijs. Onder NIS2 moeten bedrijven:

• Op risico gebaseerde beveiligingsmaatregelen aannemen voor hun netwerken en informatiesystemen.

• Ernstige beveiligingsincidenten binnen 24 uur na ontdekking melden.

• Strengere beveiligingseisen voor de toeleveringsketen implementeren, zodat het hele ecosysteem - inclusief fabrikanten, integrators en dienstverleners - zich houdt aan robuuste beveiligingspraktijken.

NIS2 speelt een cruciale rol bij de bescherming van essentiële diensten in de hele EU door strengere maatregelen op het gebied van cyberbeveiliging af te dwingen en het bewustzijn te vergroten om kritieke infrastructuur te beschermen, waaronder energienetwerken, watervoorzieningssystemen en gezondheidszorgsystemen. Op die manier zorgt de richtlijn ervoor dat alledaagse basisvoorzieningen zoals elektriciteit, schoon water en medische diensten bestand blijven tegen cyberdreigingen, waardoor zowel de maatschappelijke stabiliteit als de openbare veiligheid behouden blijven.

Ontdek meer in onze blogpost: De weg naar digitale beveiliging: een blik op de NIS2-richtlijn van de EU.

De richtlijn radioapparatuur (RED): Cyberbeveiligingseisen voor draadloze apparaten

Wat is de RED?

De Radio Equipment Directive (RED), uitgevoerd door de Europese Unie, is in ontwikkeling om verplichte cyberbeveiligingseisen te introduceren voor alle draadloze en radioverbonden apparaten. Dit is ook relevant voor IP-gebaseerde intercoms en toegangscontrolesystemen, omdat deze systemen vaak gebruik maken van radiogebaseerde technologieën voor toegangscontrole, zoals RFID-kaartlezers of Bluetooth-lezers. Als een apparaat niet voldoet aan de RED, kan het te maken krijgen met operationele storingen of zelfs een verkoopverbod in de EU. Dit omvat:

• Zorgen voor netwerkveerkracht om ongeautoriseerde toegang te voorkomen.

• Bescherming van persoonlijke gegevens en privacy door fabrikanten te verplichten sterkere encryptie en authenticatie te implementeren.

• Fraude voorkomen door ervoor te zorgen dat apparaten niet kunnen worden misbruikt door zwakke beveiligingsconfiguraties.

Blijf op de hoogte met onze blog: Klaar voor RED? Voldoen aan de richtlijn radioapparatuur.

Productbeveiliging en telecommunicatie-infrastructuur (PSTI): minimale beveiligingseisen

Wat is PSTI?

Een van de belangrijkste recente verschuivingen in de regelgeving is de Britse Product Security and Telecommunications Infrastructure (PSTI) Act, die fabrikanten van aangesloten apparaten verplicht duidelijke informatie te verstrekken over hun beleid voor software-updates. Dit betekent dat bedrijven niet langer onaangekondigd beveiligingsupdates kunnen stopzetten, waardoor systemen kwetsbaar blijven. Bovendien moeten ze:

• Aangeven hoe lang software-updates beschikbaar zullen zijn voordat het product het einde van zijn levensduur bereikt.

• Het gebruik van producten met standaardwachtwoorden stopzetten en ervoor zorgen dat apparaten het instellen van unieke wachtwoorden afdwingen.

• Openbare middelen beschikbaar stellen voor gebruikers en onderzoekers om zich bewust te blijven van cyberbeveiliging en potentiële gebreken te melden.

Industriestandaarden: Verder gaan dan naleving

Terwijl dwingende voorschriften de minimale vereisten voor cyberbeveiliging bepalen, geven branchecertificeringen blijk van een toewijding aan hogere beveiligingsnormen. Hoewel deze certificeringen niet wettelijk verplicht zijn, dienen ze als krachtige indicatoren dat een bedrijf cyberbewustzijn serieus neemt en gestructureerde, herhaalbare processen heeft om risico's te beheren. Toonaangevende leveranciers volgen raamwerken zoals:

• ISO 27001 - De internationale norm voor informatiebeveiligingsbeheer.

• Een wereldwijd erkende certificering die garandeert dat een bedrijf een gestructureerd beleid voor cyberbeveiliging en strategieën voor risicobeheer volgt.

• EN 303 645 - Een beveiligingsstandaard voor IoT-apparaten

• Een Europese norm met best practices voor de beveiliging van aangesloten apparaten, waaronder veilige software-updates, wachtwoordbeleid, vereisten voor gegevensbescherming en nog veel meer.

• NDAA Compliance - Vertrouwen waarborgen voor en buiten de Amerikaanse markt

• De Amerikaanse National Defense Authorization Act (NDAA) beperkt het gebruik van telecommunicatie- en beveiligingsapparatuur van bepaalde fabrikanten die als een risico voor cyberbeveiliging worden beschouwd. Integrators die werken aan projecten voor de overheid of kritieke infrastructuur moeten ervoor zorgen dat alle apparaten, zoals IP-camera's, intercoms en toegangslezers, voldoen aan de vereisten van de NDAA. Dit is echter niet alleen een vereiste voor de Amerikaanse overheid; veel niet-gouvernementele organisaties wereldwijd nemen vrijwillig dezelfde beveiligingsstandaarden over. Door niet-vertrouwde merken uit te sluiten, versterken ze de veerkracht van hun systemen en zorgen ze voor cyberveiligheid op de lange termijn.

Naleving is slechts het begin - leiderschap in cyberbeveiliging gaat verder dan dat

Hoewel het naleven van standaarden zoals RED, NIS2 of PSTI essentieel is, betekent naleving alleen nog niet dat een bedrijf toonaangevend is op het gebied van cyberbeveiliging. Naleving van regelgeving is de minimumvereiste - verder gaan en de complexiteit van cyberbeveiliging begrijpen is wat veilige en vooruitdenkende merken onderscheidt.

Veel bedrijven zien bewustzijn van cyberbeveiliging nog steeds als een vereiste om aan regelgeving te voldoen, in plaats van als een strategisch voordeel. In de praktijk tonen incidenten echter aan dat investeren in robuuste beveiligingsmaatregelen niet alleen draait om het voorkomen van boetes, maar ook om het waarborgen van de bedrijfscontinuïteit, het behouden van klantvertrouwen en zelfs het beschermen van levens.

Voor systeemintegrators en vastgoedbeheerders is het kiezen van de juiste leveranciers van cruciaal belang. Vraag jezelf voordat je een beslissing neemt het volgende af:

• Biedt de fabrikant softwareondersteuning en beveiligingsupdates voor de lange termijn?

• Is de fabrikant transparant over het bekendmaken van kwetsbaarheden en patches?

• Gaat de fabrikant verder dan de wettelijke vereisten door zich te houden aan best practices, zoals ISO 27001 en EN 303 645?

Als het antwoord nee is, dan is het misschien tijd om je opties te heroverwegen. Cyberbedreigingen wachten niet - waarom jij wel?