Hoe bedrijven kunnen omgaan met de toename van EU-technologiereguleringen

Het aantal bedrijven dat te maken heeft met regulerende eisen is aanzienlijk toegenomen door bestaande en nieuwe wetgeving, zoals de EU Algemene Verordening Gegevensbescherming (GDPR), NIS1 en NIS2,[i] en de Digital Operational Resilience Act (DORA).[ii]

Vorige week waarschuwde Mario Draghi dat deze EU-wetgevingen "onze bedrijven aan het doden zijn". Daarnaast voegen cyberrisico's een extra laag van complexiteit toe voor ondernemers, investeerders en financiers, wat leidt tot strengere due diligence voor de technologie-infrastructuur van bedrijven. Toezichthouders krijgen te maken met significante uitdagingen, zoals schaarste aan talent en kennis en verouderde werkwijzen. Proactieve "in-control statements" leggen de verantwoordelijkheid voor het bewijs van digitale verzekering bij de bedrijven zelf, in plaats van bij de toezichthouders. Ik verwacht dat dit zowel ondernemers als toezichthouders aanzienlijk zal ontlasten.

De zware regulering van technologie en AI dreigt de vooruitgang van Europese bedrijven te smoren.
Draghi stelde: "We are killing our companies" met complexe en inconsistente regelgeving.

Wat is het probleem, en wie wordt geraakt?

De regulerings- en industrie-eisen op het gebied van cybersecurity nemen explosief toe.

Zij omvatten standaarden opgelegd door De Nederlandsche Bank (DNB), DORA, de European Union (EU) Cyber Resilience Act[i], NIS2,[2] het SWIFT Customer Security Programme (CSP),[3] US Federal Risk and Authorization Management Program (FedRAMP),[iv] International Organization for Standardization (ISO) standaard ISO 27001, de Center for Internet Security (CIS) Critical Security Controls[v], de US Federal Information Security Management Act (FISMA),[vi] de National Institute of Standards and Technology (NIST) Special Publication (SP) 800-53)[vii], Cloud Security Alliance Capability Assessment Model (CSA CMM)[viii], American Institute of Certified Public Accountants (AICPA) Trust Service Criteria (TSC)[ix] en de Payment Card Industry Data Security Standards (PCI DSS)[x], enzovoort.

Het beheren van al deze reguleringen is een complex proces voor ondernemingen en toezichthouders die moeten toezien op de correcte implementatie ervan. Het aantal ondernemingen dat in de Europese Unie alleen al met deze reguleringen te maken krijgt, loopt in de miljoenen (Figuur 1)[xi].

Figuur 1 — Aantal EU-ondernemingen dat door reguleringen wordt geraakt

Zoals de EU GDPR aantoont, kan de benodigde papierwerk voor het aantonen van "papieren compliance" wel worden afgehandeld. Toch ligt de moeilijkheid in het implementeren van de juiste technologie en voldoende processen, capaciteiten (mensen en vaardigheden) en structuren om adequaat toezicht te houden en te rapporteren over het welzijn van een onderneming.

Een startup of scale-up technologiebedrijf dat zaken wil doen in heel Europa en de VS, valt in de meeste gevallen onder drie of meer verschillende reguleringen. En als zij de Europese regelgevingslast afzetten tegen de "open Amerikaanse markt met minder reguleringen," is de keuze duidelijk: één op de drie EU-unicorns verplaatst zich van de EU naar de VS om deze reden[i]

Regeldruk treft alle sectoren, en met name kleine bedrijven.

De enorme hoeveelheid papierwerk die nodig is om in Europa te opereren, heeft een onevenredig grote impact op kleine bedrijven.

  -Bronnen: Financial Times, Berlaymonster

Regulerende boetes, zoals bij een datalek, zijn vaak de grootste kostenpost wanneer er iets misgaat. Deze kunnen oplopen tot 4% van de wereldwijde jaaromzet van het overtredende bedrijf. Volgens Kuijper (2020): "De gegevensbeschermingsautoriteiten (DPAs) boeten vooral de zichtbare symptomen van GDPR-non-compliance (de gematerialiseerde risico's), in plaats van de onderliggende oorzaken van die non-compliance-symptomen, zoals bijvoorbeeld het niet analyseren van de risico's van gegevensverwerking, een gebrek aan governance of controles, enzovoort."[ii]

Uit het onderzoek van Kuijper blijkt dat de meeste EU GDPR-schendingen te maken hebben met het implementeren van de technische en organisatorische maatregelen die vereist zijn om informatiebeveiliging te waarborgen (Artikel 32). Het implementeren van informatiebeveiligingscontroles is voor veel ondernemingen lastig door schaarse middelen en beperkte capaciteiten. Onlangs bevestigde een onderzoeker van de Antwerp Management School (AMS) dit door een grondige analyse van de oorzaken van GDPR-schendingen.[iii]

Toekomstige reguleringen kunnen alleen houdbaar zijn door verplichte proactieve indiening van zogenaamde 'in-control statements' af te dwingen. Gezien het aantal gereguleerde bedrijven en de bijbehorende last, voorzien we een omgekeerde bewijslast als de enige weg vooruit: bedrijven moeten kunnen aantonen dat zij voldoen[iv].

Oplossingen voor zowel toezichthouders als bedrijven

Het gebruik van zogenaamde "in-control statements" wordt aanbevolen om aan te tonen dat u de controle heeft over uw technologische omgeving. Deze statements bieden een snel overzicht van de status van controles binnen een privacy- en beveiligingsmanagementsysteem. In sterk gereguleerde omgevingen, zoals de financiële sector, zijn in-control statements al bekend.

Zij kunnen verifiëren en aantonen aan een toezichthoudende autoriteit dat de administratie van een onderneming eerlijk en wettelijk is gevoerd. In-control statements zijn nuttige instrumenten, omdat ze toezichthouders tijd, middelen en geld besparen. Deze statements kunnen automatisch worden gecontroleerd via AI-technologieën, vergelijkbaar met belastingaangifteprocedures, en kunnen afwijkingen of tekortkomingen rapporteren. Periodiek vindt een handmatige audit plaats om te beoordelen of een onderneming waarheidsgetrouwe informatie heeft verstrekt, waarbij de verantwoordelijke personen de bevindingen moeten ondertekenen.

Niet elk framework hoeft een eigen in-control statement te hebben. Er is vaak een zekere mate van overlap in de controles die ze voorschrijven. Deze overlap kan in kaart worden gebracht om te begrijpen waar de frameworks samenvallen. Bijvoorbeeld: één hoofdframework kan overeenkomsten vertonen met meerdere subframeworks en hun controles.

Het testen van controles in het hoofdframework zorgt voor naleving van talrijke andere onderliggende controles — het "test once, comply many"-principe (Figuur 2). Deze mapping, die wordt uitgevoerd door entiteiten zoals Secure Controls Frameworks, is al geïntegreerd in technologie zoals Anove en wordt bijgewerkt telkens wanneer er een wijziging in het framework optreedt. Dit stelt ondernemingen in staat om slechts één in-control statement in te dienen dat hun naleving van meerdere frameworks aantoont.

Cryptobedrijven vertrekken of stoppen door de veeleisende toezichtseisen van de AFM.

Figuur 2 — Voorbeeld van "Test Once, Comply Many" voor identificatie- en authenticatiecontroles (conceptueel model, ontwikkeld in Anove-technologie)

Goed bestuur

Het voldoen aan alle toepasselijke reguleringen en tegelijkertijd een passend beveiligingsbeheer implementeren, is een uitdaging. Een manier om deze complexiteit te beheren, is door een bestaand framework te gebruiken als basis voor het beheer van cybersecurity, of dit nu binnen een specifiek land of een specifieke sector is.

Bijvoorbeeld: toen de Verenigde Staten te maken kregen met een grote aanval op de Colonial Pipeline, werden NIST 800-53 en zero-trust-strategieën (NIST 800-207) verplicht gesteld na een presidentieel uitvoerend bevel.

Europa beweegt in dezelfde richting en neemt een vergelijkbare top-down-benadering voor digitale veiligheid. Dit is te vergelijken met wat er gebeurde na de boekhoudschandalen van MCI WorldCom en Enron, die leidden tot de Sarbanes-Oxley Act (SOX) in de Verenigde Staten om de audit- en openbaarmakingsvereisten te verbeteren. In beide gevallen leidde chaos tot duidelijke mandaat om controles, processen en gestandaardiseerde rapportage in te voeren.

In wezen zorgt het behandelen van cybersecuritymanagement op dezelfde manier als financiële rapportagestandarden voor een gestructureerde en uitgebreide aanpak, die monitoring mogelijk maakt om afwijkingen of storingen te detecteren. Het moedigt ook goed toezicht door eigenaars aan.

Het monitoren en rapporteren van de status van de gehele technologiestack is cruciaal voor elk bedrijf en zijn stakeholders, waaronder investeerders, aandeelhouders, toezichthouders en potentiële kopers. Daarom is digitale veiligheid een kwestie van besluitvorming op het hoogste bestuurlijke niveau.

De vraag blijft: zal iemand het voortouw nemen bij het implementeren van een top-down-benadering voor een fundamenteel framework, of moet er eerst een incident plaatsvinden, zoals de ransomware-aanval op de Colonial Pipeline, voordat er actie wordt ondernomen?

Toekomstperspectief

Ik voorzie een transformatieve verschuiving naar strenge reguleringen die bedrijven verplichten om hun inspanningen op het gebied van cybersecurity, privacy en databeveiliging met ongekende transparantie openbaar te maken in hun jaar- of kwartaalrapportages, vergelijkbaar met de regulerende hervormingen na het Enron- en MCI WorldCom-tijdperk.

Ik beveel aan dat bedrijven proactieve stappen nemen om:

-De specifieke regelgevende eisen (Wat) te identificeren waaraan zij moeten voldoen, inclusief duidelijke plannen voor hoe dit te doen (Hoe), verantwoordelijken aan te wijzen (Wie), deze plannen uit te voeren en hun effectiviteit periodiek te evalueren (Wanneer).

-Een "Test Once Comply Many"-benadering te hanteren met een gemeenschappelijk controls framework, om dubbel of overlappend werk te voorkomen.

-Een operationeel model op te zetten dat verantwoordelijkheid bevordert en afdwingt via regelmatige planning, implementatie en evaluaties, met periodieke rapportage over de prestaties. Dit moet top-down worden afgedwongen.

Met deze proactieve aanpak van "test once, comply many" en in-control-statements

kunnen Europese ondernemingen en hun regelgevende instanties vermijden dat zij overweldigd raken door een vloedgolf aan regels en bureaucratie, wat Europa's pioniersrol in het wereldwijde economische landschap in gevaar zou kunnen brengen.

Referenties:

[1] Verordening (EU) 2022/2554 van het Europees Parlement en de Raad van 14 december 2022 over digitale operationele veerkracht voor de financiële sector: https://eur-lex.europa.eu/eli/reg/2022/2554/oj

[2] PricewaterhouseCoopers, "DORA: Why Is It Relevant to You," https://www.pwc.com/gr/en/advisory/technology/dora-why-it-is-relevant-to-you.html

[3] The future of European competitiveness: Rapport door Mario Draghi, https://commission.europa.eu/topics/strengthening-european-competitiveness/eu-competitiveness-looking-ahead_en

[4] Europese Commissie, "Versterking van EU-brede cyberveiligheid en veerkracht—Voorlopige overeenkomst door de Raad en het Europees Parlement," Europese Unie, https://www.nis-2-directive.com; Europese Commissie, "Cyber Resilience Act," Europese Unie, https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act

[5] https://eur-lex.europa.eu/eli/dir/2022/2555


[6] SWIFT, "Customer Security Programme," https://www.swift.com/myswift/customer-security-programme-csp

[7] The Federal Risk and Authorization Management Program (FedRAMP®), https://www.fedramp.gov/


[8] https://www.cisecurity.org/controls

[9] US Congress, "FISMA, U.S. Congress, Federal Information Security Management Act of 2002," maart 2002, VS, https://www.congress.gov/bill/107th-congress/house-bill/3844

[10] Security and Privacy Controls for Federal Information Systems and Organizations: https://csrc.nist.gov/pubs/sp/800/53/r4/upd3/final

[11] The CSA Cloud Controls Matrix (CCM) is een cybersecurity controls framework voor cloud computing, https://cloudsecurityalliance.org/research/cloud-controls-matrix

[12] https://www.aicpa-cima.com/resources/download/2017-trust-services-criteria-with-revised-points-of-focus-2022

[13] Payment Card Industry Security Standards Council, "Payment Card Industry Data Security Standards," https://www.pcisecuritystandards.org/document_library/?document=pci_dss

[14] BBP Media, “NIS2 Is Coming—And the Retail Industry Is Not Prepared,” 26 oktober 2022, https://www.bbpmedia.co.uk/business-insights/retail/nis2-is-coming-and-the-retail-industry-is-not-prepared.html; CBS, "Bedrijven; Bedrijfsgrootte en Rechtsvorm," 2023, https://opendata.cbs.nl/#/CBS/nl/dataset/81588NED/table; Eurostat, "Sectoral Overview," 2021, https://ec.europa.eu/eurostat/cache/htmlpub/key_figures_on_european_business_2021/sectoral_overview.html; Kors, S.; “What Does NIS2 Mean for Dutch Organizations?," 7 december 2022, https://www.computable.nl/artikel/blogs/security/7444125/5260624/wat-betekent-nis2-voor-nederlandse-organisaties.html

[15] In 2008 en 2021 verplaatste bijna 30% van de in Europa opgerichte "unicorns"—startups die uiteindelijk meer dan USD 1 miljard waard werden—hun hoofdkantoor naar het buitenland, waarbij de grote meerderheid naar de VS verhuisde: https://commission.europa.eu/document/download/97e481fd-2dc3-412d-be4c-f152a8232961_en?filename=The%20future%20of%20European%20competitiveness%20_%20A%20competitiveness%20strategy%20for%20Europe.pdf

[16] N. Kuijper, "Translation of GDPR article 32 into effective privacy governance and management practices. A view on GDPR ambiguity, non-compliancy risks and effectiveness of ISO 27701:2019 as Privacy Management System," 12 juni 2020. Online beschikbaar: https://zenodo.org/records/3891540.

[17] Conijn, F.; Smit, R.; "Koper grijpt de macht bij bedrijfsovernames," Het Financieele Dagblad, 16 oktober 2023, https://fd.nl/bedrijfsleven/1493159/koper-grijpt-de-macht-bij-bedrijfsovernames

[18] G. Heiremans, "Navigating the Fine Line: Achieving GDPR Compliance while Optimizing IT Investments An investigation on how companies can evaluate the appropriateness of technical and organizational measures in light of articles 5,25 and 32 of GDPR.," Antwerp Management School (AMS), Antwerpen, 2024.

[19] Y. Bobbert, "Tech Regulations: How to Relieve the Burden of Supervisory Bodies and Reduce Risk for Investors," ISACA, https://www.isaca.org/resources/isaca-journal/issues/2024/volume-3/how-to-relieve-the-burden-of-supervisory-bodies-and-reduce-risk-for-investors, 2024.

[20] https://www.anove.ai/blog-posts/in-control-statements-made-easy

[21] https://www.cisa.gov/news-events/news/attack-colonial-pipeline-what-weve-learned-what-weve-done-over-past-two-years

 [22] https://sc.edu/about/offices_and_divisions/audit_and_advisory_services/about/news/2021/worldcom_scandal.php

[23] Het Enron-schandaal is waarschijnlijk het grootste, meest ingewikkelde en beruchtste boekhoudschandaal aller tijden, https://corporatefinanceinstitute.com/resources/esg/enron-scandal/

[24] 107e Congres van de VS, H. R. 3763 Sarbanes-Oxley Act of 2002, VS, 30 juli 2002, https://www.congress.gov/bill/107th-congress/house-bill/3763/text.