Toenemende geopolitieke spanningen, cyberaanvallen door statelijke actoren en de snelle adoptie van ai veranderen het wereldwijde landschap van cyberwet- en regelgeving fundamenteel. Dit blijkt uit de vijfde editie van het Global Cyber Policy Radar-rapport van NCC Group, het Britse moederbedrijf van het Nederlandse Fox-IT.
Het rapport laat zien dat cyberbeleid meer is dan alleen een technisch onderwerp. Het wordt een belangrijk instrument voor nationale veiligheid, economische strategie en geopolitieke invloed. Regelgeving wordt in toenemende mate gevormd door de manier waarop staten hun macht willen uitoefenen en risico’s willen beheersen in een steeds verder gefragmenteerde wereldorde. Dit uit zich onder meer in maatregelen rond controle over toeleveringsketens en data-soevereiniteit, evenals de inzet van offensieve cyberoperaties.
In het rapport worden drie ontwikkelingen geïdentificeerd die momenteel bepalend zijn voor cyberwetgeving wereldwijd:
- Digitale soevereiniteit zorgt voor verdere fragmentatie van het wereldwijde cyberlandschap doordat overheden meer controle opeisen over data, cloud-infrastructuur, tech-leveringsketens en kritieke diensten – vaak zonder een gezamenlijk internationaal kader;
- Ai-security wordt steeds vaker afgedwongen via bestaande cyberwetgeving in plaats van via nieuwe, op zichzelf staande ai-wetten. Hierdoor worden organisaties scherper beoordeeld op hoe zij ai inzetten en beveiligen.
- Cyberverantwoordelijkheid verschuift steeds nadrukkelijker naar de boardroom, doordat toezichthouders direct toezicht en persoonlijke verantwoordelijkheid bij de hoogste leiding neerleggen.
Offensieve cybercapaciteiten
Ook verandert de houding van landen ten opzichte van cyber in het algemeen. Geconfronteerd met aanhoudende en ontwrichtende cyberactiviteit komen overheden steeds vaker tot de conclusie dat enkel verdedigen niet voldoende is. Offensieve cybercapaciteiten worden hierom steeds belangrijker in nationale veiligheidsstrategieën, aldus NCC Group.
Recente Amerikaanse cyberoperaties, waaronder activiteiten die in verband worden gebracht met Iran, laten zien hoe cybercapaciteiten steeds vaker onderdeel zijn van bredere militaire en geopolitieke strategieën, aldus het bedrijf. Deze verschuiving naar een meer offensieve aanpak, die inmiddels ook door een groeiend aantal Europese landen, inclusief Nederland, wordt overgenomen, roept belangrijke vragen op over internationale samenwerking, escalatie-risico’s en de rol van de private sector.
Wetgevingskaders
Bij het ontbreken van internationaal afgesproken spelregels kan de uitbreiding van offensieve cyberactiviteiten leiden tot verdere fragmentatie van het cyberlandschap. Dit maakt compliance voor internationaal opererende organisaties complexer en vergroot de druk op bedrijven om mee te werken aan door overheden geleide cyberinitiatieven, stelt NCC vast in het onderzoek.
Tegelijkertijd treden belangrijke wetgevingskaders zoals NIS2, Dora, de EU Cyber Resilience Act en de AI Act in werking of worden deze al actief gehandhaafd. Daardoor krijgen organisaties te maken met strengere compliance-eisen op het gebied van governance, weerbaarheid en C-suite-besluitvorming.
In het rapport van NCC worden organisaties geadviseerd om proactief te reageren op deze wet- en regelgevingseisen door hun cybergovernance te versterken, hun positie ten aanzien van publiek private samenwerking te verduidelijken en ervoor te zorgen dat bestuurders zijn toegerust om te opereren in een wereld waarin cyberrisico’s, geopolitiek en regelgeving niet meer los van elkaar te zien zijn.
