Regulering van technologie: Hoe de last voor toezichthoudende instanties te verlichten

Met de komst van nieuwe technologiewetgeving, de toenemende nadruk op cybersecurity en gelijktijdige due diligence tijdens fusies en overnames (M&A) staan investeerders en toezichthouders voor groeiende eisen aan hun tijd en middelen. Het aantal bedrijven dat onder regelgevende vereisten valt, neemt aanzienlijk toe door bestaande en nieuwe wetgeving zoals de AVG (GDPR), NIS1, NIS2 en de Digital Operational Resilience Act (DORA). Soms is de Nationale Bevoegde Autoriteit (NBA) nog niet eens aangewezen. Daarnaast voegt cybersecurity een extra laag van complexiteit toe voor investeerders, financiers en kopers in de M&A-markt, wat leidt tot grondigere due diligence met betrekking tot de technologische infrastructuur van bedrijven. Dit artikel biedt twee mogelijke oplossingen: een "Digital Due Diligence"-checklist en proactieve "In-control-verklaringen" om beide lasten te verlichten.

Wat is het probleem, en wie wordt erdoor geraakt?

Regelgevende en sectorale eisen op het gebied van cybersecurity nemen explosief toe. Deze omvatten DNB (De Nederlandsche Bank) [1], DORA (Digital Operational Resilience Act) [2] Cyber Resilience Act [3][4] NIS2 [5], SWIFT Customer Security Programme (CSP) [6], FedRAMP, ISO 27001, CIS Critical Security Controls, FISMA [7], NIST SP 800-53 en PCI DSS [8]. Het beheren van al deze regelgeving is complex voor bedrijven en voor toezichthouders, die de implementatie correct moeten controleren. In de Europese Unie alleen al lopen de aantallen bedrijven die worden geraakt in de miljoenen zie Figuur onder.

 Figuur1: Aantal bedrijven dat wordt geraakt door regelgeving [9][10][11][12][13]

Uit de ervaring met de AVG (GDPR) blijkt dat bedrijven weliswaar de benodigde administratie op orde krijgen, maar dat de echte uitdaging ligt in het implementeren van voldoende technologische processen, capaciteiten (mensen en vaardigheden) en structuren om de naleving van de regelgeving adequaat te monitoren en te rapporteren.

Volgens Kuijper (2020), "Gegevensbeschermingsautoriteiten (DPAs) boeten vooral de zichtbare symptomen van non-compliance met de AVG (de gematerialiseerde risico’s), in plaats van de onderliggende oorzaken van die symptomen te beboeten en te beschrijven, zoals bijvoorbeeld het niet analyseren van risico’s bij gegevensverwerking, een gebrek aan governance of controles, enz."

Regulerende boetes zijn de meest significante kosten wanneer er iets misgaat; ze kunnen soms oplopen tot 4% van de jaarlijkse wereldwijde omzet van het overtredende bedrijf [14].

Uit recent onderzoek blijkt dat de meeste GDPR-schendingen betrekking hebben op het implementeren van de technische en organisatorische maatregelen die vereist zijn om informatiebeveiliging te waarborgen (art. 32). Het implementeren van informatiebeveiligingsmaatregelen is voor veel organisaties lastig door schaarse middelen en beperkte capaciteiten.

Toekomstige regelgeving is alleen duurzaam als deze verplicht proactieve indiening van zogenaamde ‘in-control verklaringen’ vereist. Deze vormen een omgekeerde bewijslast: bedrijven moeten kunnen aantonen dat ze voldoen aan de regels.

Extra complexiteit op de M&A-markt

Bij fusies en overnames stellen kopers strengere voorwaarden aan ondernemers die hun bedrijf willen verkopen, waaronder eisen op het gebied van data en privacy [14]. De verhoogde aandacht voor cybersecurity benadrukt het kritieke belang van grondige digitale due diligence met betrekking tot digitale activa en uitgebreide risicobeoordelingen. In M&A-transacties kan zelfs één fout verstrekkende gevolgen hebben, wat leidt tot aanzienlijke financiële verliezen en reputatieschade.

Gelukkig wordt er steeds vaker ook due diligence uitgevoerd voor de technologische afdeling van een bedrijf. Dit is niet verrassend, aangezien technologie een steeds grotere rol speelt in bedrijfsprocessen en waardecreatie. Beroemde voorbeelden zoals de overnames van DigiNotar door Vasco, Yahoo door Verizon en Starwood Hotels door Marriott International hebben de verstrekkende gevolgen van onvoldoende due diligence aangetoond.

In het geval van Yahoo wisten aanvallers via een spear-phishing-aanval toegang te krijgen tot de back-upgegevens van een medewerker. Dit toont het belang aan van het principe van minimale toegangsrechten (least privilege), aangezien te ruime gebruikersrechten het cybercriminelen aanzienlijk makkelijker maken om het netwerk binnen te dringen en via "system hopping" het hele netwerk te verkennen, vooral als er geen netwerksegmentatie is. Inbreuken zoals die bij Yahoo leidden tot een verlaging van de overnameprijs met 350 miljoen dollar door Verizon [15].

Feitelijk zijn alle bedrijfsprocessen, in wisselende mate, afhankelijk van technologie en digitale processen. Zakelijk en privéleven zijn naadloos geïntegreerd, net als data, waaronder intellectueel eigendom of vertrouwelijke gegevens die als goodwill worden gewaardeerd in elk overnameproces. Deze data kan overal staan, zoals op thuisapparaten of in smartphoneopslag zoals iCloud.

In deze context is grondige digitale due diligence niet alleen een best practice, maar een absolute noodzaak. Naarmate bedrijven zich in het digitale tijdperk ontwikkelen, is het vermogen om potentiële cybersecurityrisico’s effectief te beoordelen en te beheren fundamenteel voor het succes, de integriteit en de duurzaamheid van fusies, overnames en doorlopende bedrijfsvoering.

Voorkomen dat je een kat in de zak koopt

In onze digitale wereld zijn er verschillende redenen om een due diligence-beoordeling uit te voeren. In de kern is due diligence bedoeld om potentiële beveiligingsrisico’s bloot te leggen en dient het als basis voor verschillende essentiële overwegingen, zoals de waardering van het bedrijf en het identificeren van waardedrijvers. Dit omvat intellectueel eigendom, softwaretechnologie, automatiseringscapaciteiten, abonnementen, unieke marktvoorstellen en potentiële bedreigingen voor deze waardedrijvers.

Figuur 2. Due diligence moet alle lagen van de technologie-stack beoordelen.

Grondige due diligence op het gebied van technologie, processen en menselijke capaciteiten is essentieel voor het opbouwen van vertrouwen en het behouden van een goede reputatie. Een overname omvat activa, bedrijfsvoering en grote hoeveelheden klant- en werknemersgegevens. Door potentiële beveiligingsrisico’s en regelgevende overtredingen van tevoren te identificeren, kan reputatieschade worden voorkomen. Dit omvat ook de evaluatie van leveranciersrelaties, aangezien deze derde partijen vaak een zwakke schakel in de supply chain kunnen zijn.

Aangezien waardedrijvers van bedrijven (waardecreërende activa) steeds meer verschuiven naar de gebruikte softwaretechnologie, is het beoordelen van de "Secure Software by Design"-principes of het gebruik van goede praktijken zoals een Software Bill of Materials (SBOM) noodzakelijk. De software moet grondig worden gecontroleerd om te voorkomen dat je technische schulden of een ondermaatse softwaretechnologie-stack koopt. Bovendien omvat digitale due diligence niet alleen technologische aspecten, maar ook het evalueren van de cybersecuritycultuur, processen en het bewustzijnsniveau onder werknemers van het bedrijf. Dit bleek het geval te zijn bij Marriott International, waar aanvallers waarschijnlijk via een phishing-e-mail ongeautoriseerde toegang kregen tot de gastenreserveringsdatabase van Starwood [16]. De inbreuk vond plaats in 2014, twee jaar voordat Marriott Starwood overnam, maar werd pas ontdekt nadat de overname was voltooid.

Daarnaast is digitale due diligence cruciaal voor het beschermen van intellectueel eigendom (IE). Met name bij overnames die gericht zijn op het verwerven van specifieke technologieën, is de waarde van deze kernactiva van groot belang. Een opvallend voorbeeld is het geval van DigiNotar, waar de belangrijkste activa van het bedrijf, de certificaten, illegaal werden gekopieerd, wat uiteindelijk leidde tot het faillissement van het bedrijf en de koper, Vasco, met lege handen achterbleef, nadat ze een "kat in de zak" hadden gekocht. Uitgebreide digitale due diligence-inspanningen zijn cruciaal om vast te stellen dat het IE juridisch en technisch beschermd is en nog steeds aanzienlijke waarde heeft. Bewustzijn en diepgaande kennis van de technologische en beveiligingsstatus van het bedrijf, de belangrijkste leveranciers en de exacte identificatie van de waardecreërende activa die worden overgenomen, kunnen de overgangsperiode aanzienlijk verbeteren.

Hoe voer je Digital Due Diligence (DDD) uit?

Zowel de verkopende als de kopende partij kunnen bijdragen aan het vereenvoudigen en versnellen van het overnameproces. Het verkopende bedrijf kan zijn beveiligingsstatus tonen op basis van een raamwerk (bijv. CIS8, ISO27001, ISO27701) in de vorm van periodieke verklaringen dat ze hun digitale beveiliging, risico’s, privacy en audits onder controle hebben via een gestructureerde methode van controletoetsing. En het adequaat opvolgen van auditbevindingen. Dit is over het algemeen een goede praktijk, niet alleen voor een overname.

De kopende partij kan de "in-control"-verklaringen beoordelen om digitale due diligence uit te voeren. De eerste stap in dit proces is het vaststellen van het exacte doel achter de overname. Wil een bedrijf zijn marktaandeel vergroten, de concurrentie uitschakelen of een specifieke technologie verwerven? De volgende stap is het bepalen welke systemen, software, data en andere technologische activa nodig zijn om de doelstellingen te bereiken. Vervolgens kunnen al deze waardevolle activa en hun eigenaars in een applicatie worden geregistreerd, bijvoorbeeld in Anove.

Daarna is het tijd om gezamenlijk de risico’s te beoordelen waaraan deze activa blootstaan. De laatste stap is het evalueren van de controles die in de organisatie zijn geïmplementeerd op basis van een raamwerk zoals Payment Card Industry Data Security Standard (PCI DSS), ISO27001, NIST Cybersecurity Framework (CSF) NIST 800-53 of andere relevante normenkaders.Financiers kunnen deze grondige beoordeling vereisen om de waarde en potentiële technologische schulden van een bedrijf te onderzoeken.

Oplossingen voor zowel toezichthouders als financiers

Voor de hierboven genoemde Digital Due Diligence kunnen we gebruikmaken van de goede praktijk van zogenaamde "In-control-verklaringen". Deze verklaringen geven een snel overzicht van de status van de controles in een privacy- en beveiligingsmanagementsysteem. In sterk gereguleerde omgevingen zoals de financiële sector worden in-control-verklaringen al gebruikt. Dit is een manier om aan een toezichthoudende autoriteit te verifiëren en aan te tonen dat een organisatie zijn administratie eerlijk en volgens de wet heeft uitgevoerd. In-control-verklaringen zijn nuttige instrumenten omdat ze toezichthouders tijd, middelen en geld besparen. De verklaringen kunnen automatisch worden gecontroleerd, vergelijkbaar met de procedure bij belastingaangiften. Periodiek zou een audit worden uitgevoerd om te beoordelen of een bedrijf daadwerkelijk waarheidsgetrouwe informatie heeft verstrekt, en deze wordt ondertekend door verantwoordelijke personen.

 

Het is niet per se nodig dat elk raamwerk een eigen ‘in-control verklaring’ vereist. Raamwerken vertonen vaak overlap in de voorgestelde beheersmaatregelen. Deze overlap kan in kaart worden gebracht om te begrijpen waar de raamwerken samenvallen. Er wordt voorgesteld om één ‘ouder’-raamwerk te gebruiken dat overeenkomt met meerdere ‘kind’-raamwerken en hun beheersmaatregelen. Je hoeft alleen de controle in het oudersysteem te testen om te voldoen aan meerdere onderliggende controles, zoals weergegeven in Figuur 2. Deze mapping – die door gemeenschappen zoals SecureControlsFrameworks wordt uitgevoerd – is al geïntegreerd in technologieën zoals Anove. Elke wijziging in een raamwerk wordt direct doorgevoerd, waardoor bedrijven één in-control verklaring kunnen indienen die geldt voor meerdere raamwerken tegelijk.

Figuur 3: Een voorbeeld van een "eenmaal testen, meerdere keren voldoen"-controle voor identificatie- en authenticatiecontrole.

 

Conclusie

De combinatie van alle aankomende regelgeving en de moeite die bedrijven hebben om adequate beveiligingsmaatregelen te implementeren, maakt het moeilijk voor zowel toezichthouders als bedrijven om te voldoen. Om deze complexiteit te beheersen, is een mogelijke weg vooruit het gebruik van een bestaand raamwerk als basis, bijvoorbeeld binnen de EU of binnen specifieke sectoren. Door parallellen te trekken met de Verenigde Staten, waar na een grote aanval op de Colonial Pipeline het gebruik van NIST en Zero Trust-strategieën verplicht werd gesteld voor overheden na een presidentieel uitvoerend bevel, duwt een vergelijkbare top-down-benadering digitale beveiliging in Europa in dezelfde richting. Dit is vergelijkbaar met wat we zagen na de MCI WorldCom- en Enron-schandalen, toen wereldwijd de Sarbanes-Oxley (SOX)-regelgeving werd ingevoerd [1].

In wezen betekent het behandelen van cybersecuritymanagement op dezelfde manier als financiële rapportagestandarden een gestructureerde en uitgebreide aanpak, net zoals het indienen van financiële rapportages (bijv. btw-aangiften) monitoring mogelijk maakt om afwijkingen of storingen te detecteren. Het moedigt ook goed rentmeesterschap aan bij bedrijfseigenaren.

Het monitoren en rapporteren van de technologische status over de hele stack is cruciaal voor elk bedrijf, evenals voor zijn stakeholders zoals investeerders, aandeelhouders, toezichthouders en kopers. Daarom is digitale beveiliging een zaak voor besluitvorming op het hoogste uitvoerende niveau.

De combinatie van Digital Due Diligence, het principe "eenmaal testen, meerdere keren voldoen" en proactieve "in-control-verklaringen" zou een integraal onderdeel kunnen worden van het evalueren van de digitale beveiligingsstatus van een bedrijf. De vraag blijft wie het voortouw zal nemen voor een top-down-benadering om een fundamenteel raamwerk te leiden, of moeten we eerst een incident meemaken zoals de aanval op de Colonial Pipeline?

Over de auteurs

Yuri Bobbert, PhD is hoogleraar aan de Antwerp Management School (AMS) en CEO bij Anove International (Anove.io). Hij was eerder wereldwijd hoofd IT-beveiliging, risico en compliance bij NN Group NV, waar hij het digitale due diligence- en integratieproces leidde voor de overname van Delta Lloyd door NN Group. Deze deal van 2,5 miljard euro creëerde de grootste levensverzekeringsmaatschappij van Nederland en werd goedgekeurd door De Nederlandsche Bank (DNB).

Iris van Holsteijn, MSc is een jong cybersecurityprofessional bij Anove International. Iris heeft een MSc in Global Criminology en een BSc in International Development Studies.

Referenties

[1]

De Nederlandsche Bank, Good Practice Informatiebeveiliging 2019/2020, 2019.

[2]

Europese Commissie, "The Digital Operational Resilience Act (DORA)", [Online]. Beschikbaar: https://www.digital-operational-resilience-act.com.

[3]

Europese Commissie, "Strengthening EU-wide cybersecurity and resilience", [Online]. Beschikbaar: https://www.nis-2-directive.com.

[4]

Europese Commissie, "Cyber Resilience Act", [Online]. Beschikbaar: https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act.

[5] Europese Commissie, "Directive on Security of Network and Information Systems (NIS 2 Directive)", [Online]. Beschikbaar: https://www.nis-2-directive.com.

[6]

SWIFT, "Customer Security Programme", [Online]. Beschikbaar: https://www.swift.com/myswift/customer-security-programme-csp.

[7]

Amerikaans Congres, "FISMA, Federal Information Security Management Act of 2002", maart 2002. [Online]. Beschikbaar: https://www.congress.gov/bill/107th-congress/house-bill/3844.

[8]

PCI Security Standards Council, "Payment Card Industry Security Standards Council", [Online]. Beschikbaar: https://www.pcisecuritystandards.org/document_library/?document=pci_dss.

[9]

BBP Media, "NIS2 is Coming - And the Retail Industry is Not Prepared".

[10]

CBS, "Bedrijven; bedrijfsgrootte en rechtsvorm", https://opendata.cbs.nl/#/CBS/nl/dataset/81588NED/table, 2023.

[11]

Eurostat, "Sectoral overview", https://ec.europa.eu/eurostat/cache/htmlpub/key_figures_on_european_business_2021/sectoral_overview.html, 2021.

[12]

M. Kors, "Wat betekent NIS2 voor Nederlandse organisaties?", https://www.computable.nl/artikel/blogs/security/7444125/5260624/wat-betekent-nis2-voor-nederlandse-organisaties.html.

[13]

PricewaterhouseCoopers, "DORA: Why is it relevant to you?", https://www.pwc.com/gr/en/advisory/technology/dora-why-it-is-relevant-to-you.html.

[14]

F. Conijn en R. Smit, "Koper grijpt de macht bij bedrijfsovernames", Het Financieele Dagblad, https://fd.nl/bedrijfsleven/1493159/koper-grijpt-de-macht-bij-bedrijfsovernames, 16 oktober 2023.

[15]

A. Athavaley en D. Shepardson, "Verizon, Yahoo agree to lowered $4.48 billion deal following cyber-attacks", Reuters, www.reuters.com/article/us-yahoo-m-a-verizon-idUSKBN1601EK, 2017.

[16]

J. Fruhlinger, "Marriott data breach FAQ: How did it happen and what was the impact?", CSO Online, https://www.csoonline.com/article/567795/marriott-data-breach-faq-how-did-it-happen-and-what-was-the-impact.html, 12 februari 2020.