Voor cybercriminelen was 2023 een goed jaar. Online dreigingen zijn alleen maar toegenomen en het aantal aanvallen is opnieuw nog nooit zo hoog geweest. Een terugblik op een aantal grote en kleinere datalekken:
- KNVB
Ransomwaregroep Lockbit slaagde erin de systemen van de KNVB binnen te dringen en zo beschikking te krijgen over vertrouwelijke gegevens van onder andere spelers van het Nederlands elftal. De groep eiste een bedrag van één miljoen euro losgeld. De KNVB ging hierover in onderhandeling en betaalde. Het beschermen van de privacy van alle betrokkenen woog zwaarder. - Landal GreenParks
Ransomwaregroep Clop kreeg toegang tot persoonsgegevens van zo’n 12.000 bezoekers van Landal GreenParks. De hackers kregen toegang via een kwetsbaarheid in de software. Ook hier werd losgeld geëist. Landal besloot niet te betalen, waarna alle gestolen gegevens op het darkweb zijn geplaatst. - Gemeente Smallingerland
In dit Friese dorp moest een brief worden verstuurd aan 192 inwoners over een betaalachterstand. De brieven werden dubbelzijdig geprint en verstuurd, waardoor slechts de helft een brief ontving, met alle gegevens van iemand anders op de achterkant.
Feit is dat al onze data online erg kwetsbaar blijft en we alert moeten blijven. Gelukkig zijn er afgelopen jaar ook veel positieve ontwikkelingen geweest op het gebied van wetgeving.
Lees ook: Zo werk je als CISO toe naar meer zichtbaarheid en draagvlak
Een aantal nieuwe zaken
De implementatie van de NIS2-richtlijn is van start gegaan.
Deze nieuwe richtlijn richt zich op cyberbeveiligingsrisico’s en moet cyber- en informatiebeveiliging naar een hoger niveau tillen. De richtlijn moet daarmee worden opgenomen in de nationale wetgeving. Geschat wordt dat de NIS2-richtlijn eind 2024 is omgezet in nationale wetgeving. De NIS2-richtlijn is de opvolger van de eerdere NIS1-richtlijn.
Wat is er veranderd t.o.v. de NIS1-richtlijn?
- Breder toepassingsgebied: meer sectoren en entiteiten waaronder overheidsinstellingen, grote en middelgrote bedrijven
- Strengere, aanvullende eisen onder andere op het gebied van cyberrisicobeheer en bedrijfscontinuïteit
Update: Bij het publiceren van deze blog was dit de verwachting. Op 31 januari, heeft demissionair minister van Justitie en Veiligheid Dilan Yeşilgöz-Zegerius de Tweede Kamer echter laten weten dat het Nederland niet gaat lukken om de Europese NIS2-richtlijn en de CER-richtlijn voor de deadline van 17 oktober 2024 te implementeren.
DORA: Digital Operational Resilience Act
DORA is een aanvulling op de NIS2-richtlijn die specifiek van toepassing is op de financiële sector. De DORA is een lex specialis ten opzichte van de NIS-2-richlijn. Dit betekent dat als de DORA specifieker is, voorrang heeft op NIS2-richtlijn.
Artificial Intelligence Act
AI-systemen worden steeds populairder, waaronder ook ChatGPT. Het is daarbij van belang dat gegevens op een zo goed mogelijke manier beschermd worden en de veiligheid van gebruikers voorop staat. De kern van de Artificial Intelligence Act is om kunstmatige intelligentie te reguleren via een op risico gebaseerde aanpak.
Lees ook: De risico’s van ChatGPT voor informatiebeveiliging en privacy
EU Data Act
De EU Data Act is bedoeld om zowel consumenten als bedrijven meer zeggenschap te geven over gegevens die worden gegenereerd door slimme apparaten. Met deze regelgeving komen wordt vastgesteld wie er toegang heeft tot deze gegevens.
Data Privacy Framework
Het Data Privacy Framework houdt in dat er weer data kan worden gedeeld tussen partijen vanuit de EU naar de VS. De Europese Commissie heeft een zogeheten adequaatheidsbesluit genomen over de Verenigde Staten, waarmee het niveau van bescherming van persoonsgegevens gelijk is aan dat van de bescherming die we kennen binnen de EER, namelijk die van de GDPR (AVG). Dit Framework is de opvolger van het Privacy Shield dat in 2020 ongeldig werd verklaard.
Information Security Management System
LIAS ISMS
Met LIAS ISMS heb je als lokale overheid een professionele tool voor informatieveiligheid en privacy in handen. De tool ondersteunt bij het voldoen aan formele eisen zoals de documentatieplicht en audits.
Wat kunnen we verwachten voor 2024?
- Naleving Wpg: Uit resultaten van afgelopen jaren bleek dat een groot deel van de boa-werkgevers, waarvoor de Wpg van toepassing is, de naleving van deze wet nog niet op orde had. Daarom moesten er bij betreffende organisaties verbetermaatregelen worden opgesteld.
De datum van de hercontrole en verslag hiervan aanleveren bij de Autoriteit Persoonsgegevens stond op 31 december 2023. De AP heeft deze termijn verlengd tot 1 maart 2024. - Artificial Intelligence: Verwacht wordt dat cybercriminelen ook AI zullen inzetten bij digitale aanvallen. Hiermee zullen de aanvallen nog makkelijker, sneller en moeilijker herkenbaar worden. Dit houdt in dat we:
- nog beter moeten voorbereiden op hoe schade zoveel mogelijk kan worden beperkt.
- incident response en bedrijfscontinuïteitsprocessen moeten worden geoefend.
- Toetsen op werking: Dit jaar mag er door DigiD-aansluithouders voor het eerst getoetst worden op werking voor vijftal normen (U/TV.01; U/WA.02; C.07; C.08 en C.09) (vanaf de inleverperiode: januari tot mei, over het jaar 2023). Dit jaar kan eigenlijk worden gezien als een oefening. Vanaf volgend jaar is dit verplicht en moet er getoetst worden op werking.
- Doxing is strafbaar: Sinds 1 januari 2024 is doxing strafbaar gesteld in Nederland. Wat is doxing? Dit is het delen van persoonsgegevens om iemand te intimideren.
Wil je meer weten?
Wil je meer weten over onze oplossingen op gebied van informatiebeveiliging & privacy? Neem dan vrijblijvend contact met ons op. Eén van onze specialisten neemt binnen één werkdag contact met je op.