Cyberdreigingen zijn een alomtegenwoordig gevaar geworden. Van kleine startups tot multinationals, niemand is immuun. Ransomware-aanvallen nemen toe. Lekken van gevoelige gegevens vinden bijna wekelijks plaats. Hacken door staten is geen fictie meer, het is een harde realiteit. Gezien de toenemende digitale kwetsbaarheden dringt de wereldwijde gemeenschap aan op sterkere cyberverdediging en, belangrijker nog, naleving van strenge cybersecurityvoorschriften.
Een van de belangrijkste regelgevingen op dit gebied is de Cybersecurity Act van 2019. Hoewel minder bekend dan HIPAA of ISO 27001, speelt deze regelgeving een cruciale rol bij het versterken van digitaal vertrouwen in de hele Europese Unie. Maar wat is de Cybersecurity Act precies? Waarom moeten organisaties die ICT-producten en -diensten aanbieden deze serieus nemen?
Laten we het afbreken.
Wat is de Cybersecurity Act van 2019?
De Cybersecurity Act van 2019 is een belangrijke wetgevende stap van de Europese Unie (EU) om haar verdediging tegen digitale dreigingen te verbeteren. Deze wet trad op 27 juni 2019 in werking als Verordening (EU) 2019/881 en markeert een belangrijke stap op weg naar een verenigd en veilig digitaal Europa.
Waarom is de Cybersecurity Act opgesteld?
De noodzaak van de Cybersecurity Act kwam voort uit het toenemende aantal cyberaanvallen op kritieke infrastructuur, financiële systemen, cloudplatforms en IoT-apparaten in heel Europa. De bestaande nationale normen maakten het voor bedrijven lastig om aan de regelgeving te voldoen en voor consumenten om te weten welke producten echt veilig waren.
De EU besefte dat cyberveiligheid niet optioneel of geïsoleerd kon zijn. Een gefragmenteerde aanpak van digitale veiligheid was niet langer houdbaar. Een geharmoniseerde, pan-Europese strategie was essentieel.
Hoe is het ontstaan?
Vóór 2019 opereerde ENISA onder een tijdelijk mandaat, voornamelijk in een adviserende rol. Ondertussen hanteerden organisaties een lappendeken van vrijwillige beveiligingskaders en nationale certificeringen. Dit leidde tot inconsistenties, hoge nalevingskosten en wijdverbreide verwarring.
De Cybersecurity Act bracht duidelijkheid en structuur:
- ENISA kreeg hierdoor een permanente status en kreeg uitgebreidere bevoegdheden om EU-lidstaten te ondersteunen, reacties te coördineren en de paraatheid te verbeteren.
- Er werd een kader geïntroduceerd voor EU-brede certificeringen op het gebied van cyberbeveiliging, waarmee bedrijven de beveiliging van hun ICT-producten, -diensten en -processen op verschillende niveaus van zekerheid kunnen certificeren.
De wet ondersteunt de bredere strategie van de EU voor een digitale eengemaakte markt, stimuleert grensoverschrijdende handel en innovatie en versterkt tegelijkertijd de digitale veiligheid en het consumentenvertrouwen.
In tegenstelling tot oudere cybersecuritywetten, die vaak reactief waren, is de Cybersecurity Act van 2019 proactief. De wet richt zich niet alleen op het reageren op incidenten, maar ook op het creëren van een cultuur waarin veiligheid voorop staat. Certificering, standaardisatie en veerkracht op lange termijn staan hierbij centraal.
Deze verordening heeft de toon gezet voor toekomstige wetgeving in de EU, waaronder voorstellen voor de Cyber Resilience Act, die de basis hiervan wil aanvullen en verder wil uitbouwen.
Kortom, de Cybersecurity Act van 2019 vormt een basis voor de digitale veiligheid in de EU en een signaal aan de wereld dat cybercompliance niet vrijblijvend is.
Richtlijnen, best practices en kaders van de Cybersecurity Act van 2019
Een van de meest impactvolle kenmerken van de Cybersecurity Act van 2019 is de invoering van een uitgebreid certificeringskader voor cybersecurity. Dit is een gestructureerd, gelaagd systeem dat is ontworpen om vertrouwen in digitale technologieën in de hele EU te creëren. Of het nu gaat om een cloudservice, een smart home-apparaat of een softwareplatform, de wet biedt een stappenplan om de cybersecurityparaatheid ervan aan te tonen.
Het EU-kader voor cyberbeveiligingscertificering
Het door de wet geïntroduceerde certificeringskader richt zich op het evalueren van de cyberbeveiliging van ICT-producten, -diensten en -processen via formele certificeringsregelingen. Deze regelingen zijn (voorlopig) vrijwillig, maar spelen een grote rol bij het versterken van de EU-markt voor cyberbeveiliging en het verminderen van de onzekerheid bij zowel consumenten als bedrijven.
Elk certificeringsschema omvat:
- Gedefinieerde beveiligingsvereisten
- Evaluatiecriteria
- Testmethoden
- Uitgifteprocedures
- Regels voor toezicht en monitoring
Het doel is om ervoor te zorgen dat elk gecertificeerd product of elke gecertificeerde dienst voldoet aan een erkend niveau van cyberbeveiligingsgarantie, zodat kopers en gebruikers zich geen zorgen hoeven te maken.
Drie niveaus van zekerheid
Het certificeringskader werkt volgens een gelaagd model.
- Basic
- Richt zich op bescherming tegen minimale risico's.
- Geschikt voor producten of diensten met een lager risico.
- Vereist beperkte testen en evaluaties.
- Wezenlijk
- Richt zich op grotere cyberbeveiligingsbedreigingen.
- Omvat gestructureerde beoordelingsprocedures.
- Vereist conformiteitsbeoordelingen door geaccrediteerde instanties.
- Hoge
- Gereserveerd voor kritieke systemen of producten met een hoog risico.
- Vereist intensieve, onafhankelijke evaluaties en voortdurende monitoring.
- Ideaal voor essentiële dienstverlening, financiën, gezondheidszorg of openbare infrastructuur.
Met dit gelaagde model kunnen organisaties een niveau kiezen dat past bij hun risicoblootstelling en nalevingsdoelen.
Kernprincipes en beste praktijken
De Cybersecurity Act van 2019 bevordert ook verschillende best practices die aansluiten bij bredere regelgeving en kaders voor cyberbeveiliging:
- Beveiliging door ontwerp en standaard: Producten moeten vanaf het begin veilig zijn, en niet alleen na de implementatie.
- Transparantie:De certificeringsdetails en -criteria zijn openbaar.
- Herbruikbaarheid van bewijsmateriaal:Certificeringscomponenten kunnen in verschillende programma's worden hergebruikt om kosten te verlagen.
- Harmonisatie: Heeft als doel om gefragmenteerde nationale certificeringsprogramma's te vervangen door één enkele, EU-brede aanpak.
Hoewel de wet specifiek is voor de EU, sluit het kader aan bij wereldwijde inspanningen om gestandaardiseerde cybersecurityregelgeving te ontwikkelen. Veel van de principes weerspiegelen ISO 27001, NIST CSF en CIS-controleswaardoor het voor multinationale organisaties eenvoudiger wordt om nalevingsinspanningen in verschillende rechtsgebieden in kaart te brengen.
Waarom moeten organisaties zich druk maken over de Cybersecurity Act van 2019?
In de huidige, digitaal-georiënteerde economie is compliance een strategisch voordeel. De Cybersecurity Act van 2019 biedt een toekomstgerichte, gestructureerde aanpak voor cyberparaatheid, die organisaties een concurrentievoordeel kan geven en hen tegelijkertijd helpt risico's effectiever te beheren.
Waarom zou uw organisatie zich druk moeten maken over deze specifieke cybersecuritywet?
1. Het bouwt vertrouwen op bij klanten en partners
Of u nu clouddiensten, IoT-apparaten of bedrijfssoftware aanbiedt, klanten willen de zekerheid dat uw producten veilig zijn. De EU-cybersecuritycertificering biedt precies dat.
- Gecertificeerde producten tonen aan dat ze voldoen aan duidelijk gedefinieerde regelgeving voor cyberbeveiliging.
- Het is gemakkelijker om opdrachten binnen te halen, vooral van overheidsinstanties of grote ondernemingen die prioriteit geven aan naleving.
- Het geeft potentiële partners meer vertrouwen in uw activiteiten.
2. Het maakt uw bedrijf toekomstbestendig
De Cybersecurity Act van 2019 legt de basis voor wat er komen gaat. De EU zet al in op verplichte certificering in bepaalde risicocategorieën via nieuwe voorstellen zoals de Cyber Resilience Act. Vrijwillige certificering zou binnenkort een wettelijke verplichting kunnen worden.
- Als u er vroeg bij bent, heeft u tijd om u voor te bereiden.
- U verkleint het risico op boetes, verstoringen van de bedrijfsvoering of wettelijke belemmeringen in de toekomst.
- U blijft concurrenten voor die zich langzamer aanpassen.
3. Het vermindert het cyberbeveiligingsrisico
Cyberdreigingen zijn onvermijdelijk. De implementatie van het CSA-certificeringskader helpt kwetsbaarheden gedurende de gehele levenscyclus van uw product of dienst te minimaliseren, met name wanneer organisaties actief bekende zwakheden monitoren die zijn gedocumenteerd in vertrouwde bronnen. kwetsbaarheidsdatabases Gebruikt door beveiligingsteams wereldwijd.
- Het bevordert 'security-by-design', waarbij veiligheid vanaf de basis wordt ingebouwd.
- Het verbetert uw interne cyberbeveiliging, waardoor de kans op succesvolle aanvallen afneemt.
- Normaal audits en beoordelingen verbeteren de verantwoordingsplicht en de reactie op incidenten.
4. Het versterkt de markttoegang in de hele EU
Met meer dan 27 lidstaten kan de Europese Unie complex zijn voor bedrijven die te maken hebben met meerdere nationale cybersecurityregelgeving. De wet vereenvoudigt dit door één EU-brede standaard te creëren.
- Certificering op grond van de wet garandeert dat u voldoet aan de regelgeving in alle EU-landen.
- Hierdoor is het niet meer nodig om aanpassingen te doen aan verschillende veiligheidskaders op nationaal niveau.
- Dat betekent meer efficiëntie en lagere nalevingskosten.
5. Het signaleert operationele volwassenheid
Tegenwoordig hechten stakeholders, waaronder investeerders, veel waarde aan digitaal risicomanagement. Naleving van erkende cybersecurityregelgeving wordt gezien als een teken van volwassenheid en verantwoordelijkheid.
- Het kan de publieke perceptie van uw merk verbeteren.
- Het zorgt ervoor dat due diligence-processen soepeler verlopen bij partnerschappen, fusies en financieringsrondes.
- Het helpt uw organisatie te positioneren als een leider op het gebied van beveiliging.
Wie moet voldoen aan de Cybersecurity Act van 2019?
Een van de meest gestelde vragen over deze cybersecuritywet is: “Is dit van toepassing op mijn organisatie?” Het korte antwoord: als uw bedrijf zich bezighoudt met digitale producten, diensten of infrastructuur die actief zijn in of gericht zijn op de Europese Unie, dan is dat voor u van belang.
De Cybersecurity Act van 2019 heeft vooral betrekking op organisaties die betrokken zijn bij:
- ICT-producten en -diensten:Hieronder vallen softwareleveranciers, hardwarefabrikanten, aanbieders van clouddiensten en ontwikkelaars van digitale platforms en verbonden apparaten.
- Kritische infrastructuur: Exploitanten van essentiële diensten zoals energie, gezondheidszorg, financiën, watervoorziening en transport.
- Overheidscontractanten of leveranciers: Elk bedrijf uit de particuliere sector dat samenwerkt met EU-overheidsinstanties of instellingen in de publieke sector.
- Managed Service Providers (MSP's): Vooral degenen die cyberbeveiligingsoplossingen of -ondersteuning over de grenzen van de EU heen aanbieden.
Als uw bedrijf een slimme thermostaat, een cloud-app, een industriële sensor of zelfs digitale authenticatiesoftware verkoopt die in de EU wordt gebruikt, dan valt u onder de regelgeving.
Momenteel is certificering volgens het kader van de wet vrijwillig. Dit zal naar verwachting echter binnenkort veranderen voor digitale producten en diensten met een hoog risico. De Europese Commissie heeft het volgende duidelijk gemaakt:
- Certificering kan in de toekomst verplicht worden gesteld voor bepaalde ICT-categorieën.
- Producten die een hoog cyberbeveiligingsrisico vormen (zoals kritieke IoT-apparaten of cloudservices die in gevoelige omgevingen worden gebruikt) zullen waarschijnlijk als eerste in de rij staan.
Bedrijven die zich nu al laten certificeren, hebben niet alleen een voorsprong, ze zijn er ook klaar voor.
Organisaties die de Cybersecurity Act van 2019 serieus moeten nemen
- Tech-startups het lanceren van apps of slimme apparaten op EU-markten
- Grote softwareleveranciers met SaaS-platforms die door EU-klanten worden gebruikt
- Cloudproviders het aanbieden van opslag- of computerdiensten in Europa
- IoT-fabrikanten verkoop van connected home- of industriële apparaten
- Bedrijven in de gezondheidszorg of fintech het verwerken van gevoelige gebruikersgegevens
- Overheids-IT-leveranciers samenwerking met EU-instellingen
Zelfs als uw hoofdkantoor zich buiten de EU bevindt, bijvoorbeeld in de VS of India, moet u nog steeds aan de wetgeving voldoen als uw digitale product of dienst binnen de EU wordt gebruikt.
Cybersecurity Act 2019 versus andere beveiligingskaders
De Cybersecurity Act van 2019 is een belangrijke mijlpaal in het Europese cybersecuritybeleid, maar hoe verschilt deze van andere bekende kaders en regelgeving? Laten we deze eens vergelijken met enkele van de meest erkende normen wereldwijd, waaronder HIPAA, ISO, NIST, SOC en CIS.
Cybersecurity Act 2019 versus HIPAA
| Aspect | Cybersecuritywet 2019 | HIPAA |
| Focus | EU-brede cybersecuritycertificering voor ICT-producten/-diensten | Bescherming van gezondheidsgegevens (PHI) in de VS |
| strekking | Breed – omvat elk digitaal product of elke digitale dienst die de EU-markt betreedt | Smal – beperkt tot zorgverleners, verzekeraars en partners |
| Verplicht? | Vrijwillig (momenteel) | Verplicht voor gedekte entiteiten |
| Geografisch bereik | Europeese Unie | |
| Certificering | Gestructureerde, gelaagde certificeringsniveaus voor cyberbeveiliging | Geen formele certificering, maar naleving wordt afgedwongen via audits |
Bottom line: HIPAA richt zich op gegevensprivacy in de gezondheidszorg, terwijl de Cybersecurity Act 2019 meer een product- en infrastructuurgerichte aanpak hanteert, gericht op certificering en vertrouwen in de digitale toeleveringsketen.
Cybersecurity Act 2019 versus ISO (ISO/IEC 27001)
| Aspect | Cybersecuritywet 2019 | ISO / IEC 27001 |
| Focus | Certificering van ICT-producten/diensten | Informatiebeveiligingsbeheersystemen (ISMS) |
| strekking | Product- en servicespecifiek | Organisatiebrede systemen en processen |
| Certificeringstype | EU-certificeringsniveaus (Basis, Substantieel, Hoog) | ISO-geaccrediteerde certificering voor ISMS |
| Implementatie | Kaders ontwikkeld door ENISA en EU-organen | Internationale standaard, wereldwijd toepasbaar |
Bottom line: Bij ISO 27001 gaat het om het beheersen van organisatierisico's en het creëren van een veilige cultuur, terwijl de EU-wetgeving inzake cyberbeveiliging certificering op productniveau biedt en bedrijven helpt hun betrouwbaarheid op digitale markten aan te tonen.
Cybersecurity Act 2019 versus NIST-kader
| Aspect | Cybersecuritywet 2019 | NIST-kader voor cyberbeveiliging |
| Focus | EU-product-/dienstcertificering | Organisatorisch risicomanagement |
| Aardrijkskunde | EU | VS, maar wereldwijd overgenomen |
| Vrijwillig? | Ja (voor nu) | Ja |
| Implementatie | Certificeringsschema's van ENISA | 5-stappen risicomanagementmodel (identificeren, beschermen, detecteren, reageren, herstellen) |
Bottom line: NIST is een veelgebruikt strategisch kader, terwijl de Cybersecurity Act compliance-gebaseerde certificeringen introduceert. Deze twee kunnen elkaar aanvullen voor internationaal opererende bedrijven.
Cybersecurity Act 2019 versus SOC (SOC 2)
| Aspect | Cybersecuritywet 2019 | SOC 2 |
| Focus | ICT-beveiligingscertificering in de EU | Interne controles op gegevensbeveiliging en privacy |
| assessor | Geaccrediteerde EU-certificatie-instellingen | Onafhankelijke accountants (CPA-kantoren) |
| Rapportformaat | Certificeringslabels (Basis, Substantieel, Hoog) | Auditrapport tegen Trust Services Criteria |
| Toehoorders | Eindgebruikers, toezichthouders, zakelijke kopers | Klanten, partners en toezichthouders in Noord-Amerika |
Bottom line: SOC 2 is ideaal voor dienstverleners die gevoelige klantgegevens verwerken, terwijl de Cybersecurity Act helpt bij het certificeren van vertrouwen op productniveau in de EU.
Cybersecurity Act 2019 versus CIS-controles
| Aspect | Cybersecuritywet 2019 | CIS-controles |
| Focus | EU-brede certificering | Uitvoerbare, geprioriteerde cyberbeveiligingsmaatregelen |
| Natuur en wandelen | Regelgevingskader | Operationele beveiligingsgids |
| Gebruik | Bewijst het cyberbeveiligingsniveau aan kopers en autoriteiten | Begeleidt de implementatie van best practices op het gebied van beveiliging |
| Certificering | Ja | Geen formele certificering, alleen richtlijnen |
Bottom line: CIS is meer tactisch en gericht op dagelijkse activiteiten, terwijl de Cybersecurity Act van 2019 een vertrouwenskader op macroniveau biedt dat de cybersecurity-sterkte van een bedrijf formaliseert.
Hoewel deze kaders kunnen verschillen in reikwijdte, geografische ligging en handhaving, hebben veel ervan hetzelfde doel: het verbeteren van de cyberweerbaarheid en het verminderen van risico's. Sterker nog, de Cybersecurity Act van 2019 overlapt deze kaders in de praktijk vaak. Dat betekent dat bedrijven die al voldoen aan ISO, NIST of SOC 2 vaak gebruik kunnen maken van bestaande inspanningen voor certificering onder de EU Act.
De Cybersecurity Act van 2019: naleving vandaag, vertrouwen morgen
Naarmate cyberdreigingen zich blijven ontwikkelen, moet onze reactie daarop ook toenemen. De Cybersecurity Act van 2019 is een gedurfde en noodzakelijke stap van de Europese Unie om haar digitale verdediging te versterken en vertrouwen te bevorderen in een steeds meer verbonden wereld.
Deze cybersecuritywet is geen omslachtige regelgeving, maar biedt bedrijven een gestructureerde, flexibele en vooruitstrevende weg naar cybersecuritygaranties. Door middel van vrijwillige certificeringen, duidelijke kaders en consistente normen kunnen organisaties aantonen dat ze zich inzetten voor beveiliging.
Door u aan te passen aan deze EU-cyberveiligheidswet kunt u:
- Vergroot uw marktgeloofwaardigheid
- Verbeter uw beveiligingshouding
- Maak uw bedrijf toekomstbestendig voor de komende cybersecurityregelgeving
- Breid uw activiteiten gemakkelijker uit naar de EU-markt
Begin vandaag nog met de implementatie en maak van compliance een concurrentievoordeel.
