Snel naar content
Informatiebeveiliging en privacy

Een terug- en vooruitblik op Informatiebeveiliging en Privacy: 2023 vs 2024

Voor cybercriminelen was 2023 een goed jaar. Online dreigingen zijn alleen maar toegenomen en het aantal aanvallen is opnieuw nog nooit zo hoog geweest. Een terugblik op een aantal grote en kleinere datalekken:

  • KNVB
    Ransomwaregroep Lockbit slaagde erin de systemen van de KNVB binnen te dringen en zo beschikking te krijgen over vertrouwelijke gegevens van onder andere spelers van het Nederlands elftal. De groep eiste een bedrag van één miljoen euro losgeld. De KNVB ging hierover in onderhandeling en betaalde. Het beschermen van de privacy van alle betrokkenen woog zwaarder.
  • Landal GreenParks
    Ransomwaregroep Clop kreeg toegang tot persoonsgegevens van zo’n 12.000 bezoekers van Landal GreenParks. De hackers kregen toegang via een kwetsbaarheid in de software. Ook hier werd losgeld geëist. Landal besloot niet te betalen, waarna alle gestolen gegevens op het darkweb zijn geplaatst.
  • Gemeente Smallingerland
    In dit Friese dorp moest een brief worden verstuurd aan 192 inwoners over een betaalachterstand. De brieven werden dubbelzijdig geprint en verstuurd, waardoor slechts de helft een brief ontving, met alle gegevens van iemand anders op de achterkant.

Feit is dat al onze data online erg kwetsbaar blijft en we alert moeten blijven. Gelukkig zijn er afgelopen jaar ook veel positieve ontwikkelingen geweest op het gebied van wetgeving.

Lees ook: Zo werk je als CISO toe naar meer zichtbaarheid en draagvlak

Een aantal nieuwe zaken

De implementatie van de NIS2-richtlijn is van start gegaan.

Deze nieuwe richtlijn richt zich op cyberbeveiligingsrisico’s en moet cyber- en informatiebeveiliging naar een hoger niveau tillen. De richtlijn moet daarmee worden opgenomen in de nationale wetgeving. Geschat wordt dat de NIS2-richtlijn eind 2024 is omgezet in nationale wetgeving. De NIS2-richtlijn is de opvolger van de eerdere NIS1-richtlijn.

Wat is er veranderd t.o.v. de NIS1-richtlijn?

  • Breder toepassingsgebied: meer sectoren en entiteiten waaronder overheidsinstellingen, grote en middelgrote bedrijven
  • Strengere, aanvullende eisen onder andere op het gebied van cyberrisicobeheer en bedrijfscontinuïteit

Update: Bij het publiceren van deze blog was dit de verwachting. Op 31 januari, heeft demissionair minister van Justitie en Veiligheid Dilan Yeşilgöz-Zegerius de Tweede Kamer echter laten weten dat het Nederland niet gaat lukken om de Europese NIS2-richtlijn en de CER-richtlijn voor de deadline van 17 oktober 2024 te implementeren.

DORA: Digital Operational Resilience Act

DORA is een aanvulling op de NIS2-richtlijn die specifiek van toepassing is op de financiële sector. De DORA is een lex specialis ten opzichte van de NIS-2-richlijn. Dit betekent dat als de DORA specifieker is, voorrang heeft op NIS2-richtlijn.

Artificial Intelligence Act

AI-systemen worden steeds populairder, waaronder ook ChatGPT. Het is daarbij van belang dat gegevens op een zo goed mogelijke manier beschermd worden en de veiligheid van gebruikers voorop staat. De kern van de Artificial Intelligence Act is om kunstmatige intelligentie te reguleren via een op risico gebaseerde aanpak.

Lees ook: De risico’s van ChatGPT voor informatiebeveiliging en privacy

EU Data Act

De EU Data Act is bedoeld om zowel consumenten als bedrijven meer zeggenschap te geven over gegevens die worden gegenereerd door slimme apparaten. Met deze regelgeving komen wordt vastgesteld wie er toegang heeft tot deze gegevens.

Data Privacy Framework

Het Data Privacy Framework houdt in dat er weer data kan worden gedeeld tussen partijen vanuit de EU naar de VS. De Europese Commissie heeft een zogeheten adequaatheidsbesluit genomen over de Verenigde Staten, waarmee het niveau van bescherming van persoonsgegevens gelijk is aan dat van de bescherming die we kennen binnen de EER, namelijk die van de GDPR (AVG). Dit Framework is de opvolger van het Privacy Shield dat in 2020 ongeldig werd verklaard.

Information Security Management System

LIAS ISMS

Met LIAS ISMS heb je als lokale overheid een professionele tool voor informatieveiligheid en privacy in handen. De tool ondersteunt bij het voldoen aan formele eisen zoals de documentatieplicht en audits.

 

Meer weten

Wat kunnen we verwachten voor 2024?

  • Naleving Wpg: Uit resultaten van afgelopen jaren bleek dat een groot deel van de boa-werkgevers, waarvoor de Wpg van toepassing is, de naleving van deze wet nog niet op orde had. Daarom moesten er bij betreffende organisaties verbetermaatregelen worden opgesteld.

    De datum van de hercontrole en verslag hiervan aanleveren bij de Autoriteit Persoonsgegevens stond op 31 december 2023. De AP heeft deze termijn verlengd tot 1 maart 2024.

  • Artificial Intelligence: Verwacht wordt dat cybercriminelen ook AI zullen inzetten bij digitale aanvallen. Hiermee zullen de aanvallen nog makkelijker, sneller en moeilijker herkenbaar worden. Dit houdt in dat we:
    • nog beter moeten voorbereiden op hoe schade zoveel mogelijk kan worden beperkt.
    • incident response en bedrijfscontinuïteitsprocessen moeten worden geoefend.

  • Toetsen op werking: Dit jaar mag er door DigiD-aansluithouders voor het eerst getoetst worden op werking voor vijftal normen (U/TV.01; U/WA.02; C.07; C.08 en C.09) (vanaf de inleverperiode: januari tot mei, over het jaar 2023). Dit jaar kan eigenlijk worden gezien als een oefening. Vanaf volgend jaar is dit verplicht en moet er getoetst worden op werking.

  • Doxing is strafbaar: Sinds 1 januari 2024 is doxing strafbaar gesteld in Nederland. Wat is doxing? Dit is het delen van persoonsgegevens om iemand te intimideren.

Wil je meer weten?

Wil je meer weten over onze oplossingen op gebied van informatiebeveiliging & privacy? Neem dan vrijblijvend contact met ons op. Eén van onze specialisten neemt binnen één werkdag contact met je op.

Blijf op de hoogte

De auteur

Inergy
Inergy

Wij eten, drinken en ademen data – en wat je ermee kan doen. Dat delen we graag met jou. Meer weten over Inergy? Neem contact met ons op via 0348 45 76 66 of info@inergy.nl.

Meer berichten

Alle berichten

Effectief begroten bij de lokale overheid: Focus op programma’s én teams

Effectief begroten bij de lokale overheid: Focus op programma’s én teams

Als lokale overheid sta je voor een constante uitdaging bij het beheren van je budgetten. Door te sturen op team- en afdelingsniveau anticipeer je beter op uitdagingen. Dit geeft een breder inzicht in de prestaties van jouw gemeente en het zorgt ervoor dat je jouw programmadoelen realistischer en effectiever behaald.

Lees verder

Hoe transformeert data de machine-industrie met supply chain-optimalisatie?

Hoe transformeert data de machine-industrie met supply chain-optimalisatie?

In de machine-industrie, waar efficiëntie en precisie cruciaal zijn, maakt een goed geoptimaliseerde supply chain het verschil tussen winstgevendheid en stilstand. Supply chai-optimalisatie gaat niet alleen over het stroomlijnen van processen, maar ook over het verminderen van kosten, verbeteren van levertijden, en verhogen van de flexibiliteit.

Lees verder

Hoe data inzetten helpt bij het verhogen van klanttevredenheid in de machine-industrie

Hoe data inzetten helpt bij het verhogen van klanttevredenheid in de machine-industrie

Dataplatforms spelen een essentiële rol in het verhogen van klanttevredenheid door jou in staat te stellen meer gepersonaliseerde, efficiënte en proactieve klankinteracties te bieden.

Lees verder