Toenemende wereldwijde regelgeving op het gebied van cyberbeveiliging voor particuliere bedrijven in het verschiet | Allen & Overy LLP

In het afgelopen jaar zijn een aantal landen over de hele wereld, waaronder de Verenigde Staten, het Verenigd Koninkrijk, Frankrijk en Nederland, regelgevingsonderzoeken gestart en nieuwe strategieën ontwikkeld met het oog op strengere regelgeving voor de verwerking en beveiliging van gegevens door particuliere ondernemingen, met name bij het gebruik van clouddiensten.

De Europese Unie heeft onlangs ook nieuwe wetgeving aangenomen ter regulering van digitale markten, diensten en producten en cyberbeveiliging van essentiële diensten, financiële en verzekeringssectoren, en er staan nog meer wetgevingsvoorstellen op stapel. Aangezien de meeste bedrijven over gegevens beschikken die een wereldwijd karakter hebben, zal het ontwikkelen van een uniform beveiligingsbeleid steeds genuanceerder en complexer worden. De regelgevingseisen in verschillende landen zijn inconsistent en vereisen een gecoördineerde aanpak in alle internationale rechtsgebieden.

Verenigde Staten

Op 1 maart 2023 kondigde de Amerikaanse president Biden een nieuwe Nationale Cyberbeveiligingsstrategie aan, bedoeld om gedragsregels in cyberspace te ontwikkelen en te handhaven. Hoewel de National Cybersecurity Strategy geen bindende wet is, werpt het licht op de beleidszorgen van de regering en de aandachtsgebieden voor toekomstige regelgeving voor particuliere bedrijven, waaronder:

• Van grote bedrijven (in tegenstelling tot individuen, kleine bedrijven, overheden van staten en Logan en infrastructuurbeheerders) eisen dat zij verantwoordelijk zijn voor beveiligingssystemen en -gegevens, onder meer door adequate cyberbeveiligingsmaatregelen te nemen en in hun contracten met klanten niet volledig af te zien van aansprakelijkheid.
• Particuliere bedrijven verplichten zich te houden aan branchespecifieke beveiligingseisen die gebruik maken van bestaande kaders voor cyberbeveiliging, zoals het National Institute of Standards and Technology (NIST) Framework en de Cybersecurity and Infrastructure Security Agency (CISA)’s Cybersecurity Performance Goals.
• Met name van softwarebedrijven verlangen dat zij zich houden aan het op NIST gebaseerde Secure Software Development Framework.
• Nieuwe wetgeving vaststellen die het vermogen van particuliere bedrijven beperkt om persoonsgegevens te verzamelen, te gebruiken, door te geven en te bewaren, sterke bescherming bieden voor gevoelige gegevens en bedrijven bestraffen die kwetsbare producten en/of diensten (waaronder specifiek software) introduceren in het digitale ecosysteem.
• Nauwere coördinatie met overheidsinstanties met betrekking tot kwaadaardige cyberactiviteiten.
• Aanvullende contractuele beveiligingseisen invoeren voor particuliere bedrijven die contracten sluiten met de Amerikaanse federale overheid, en eisen dat deze bedrijven zich houden aan het zero-trust beveiligingsmodel om het huidige op grenzen gebaseerde beveiligingssysteem te verbeteren.

Niettegenstaande het voorgaande wordt in de nationale strategie inzake cyberbeveiliging gepleit voor het creëren van een veilige haven voor bedrijven die zich houden aan de beste praktijken voor de ontwikkeling van veilige software (zoals het NIST Secure Software Development Framework).

Na de publicatie van de Nationale Cyberbeveiligingsstrategie heeft de Amerikaanse Federal Trade Commission (FTC) op 22 maart 2023 een Request for Information (RFI) gepubliceerd over de zakelijke praktijken van Cloud Computing Providers. De FTC wil informatie verzamelen van gebruikers van clouddiensten om de FTC meer inzicht te geven in deze industrie, haar marktmacht, de bedrijfspraktijken die de concurrentie beïnvloeden en de potentiële veiligheidsrisico’s. De FTC richt zich met name op drie specifieke kwesties:

• Single Points of Failure – uitval van cloudproviders kan wijdverspreide gevolgen hebben door het wijdverbreide gebruik van aanbieders van cloudcomputingdiensten in verschillende sectoren.
• Security in Cloud Computing – verdeling van de verantwoordelijkheid voor de beveiliging van gegevens tussen klanten en aanbieders van clouddiensten. De FTC is bezorgd dat consumenten en kleine bedrijven, die zich het minst bewust zijn van beveiligingsrisico’s en het minst in staat zijn zichzelf te beschermen, onevenredig verantwoordelijk zijn voor de beveiliging van hun gegevens.
• Marktpraktijken en concurrentie bij cloud computing – De FTC is bezorgd over kwesties in verband met het aantal dienstverleners en hun marktmacht bij het vaststellen van contractvoorwaarden die minder gunstig zijn voor consumenten (met inbegrip van prijsvoorwaarden, voorwaarden inzake aansprakelijkheid in verband met beveiligingsgebreken en de overdracht van gegevens naar andere providers bij beëindiging van een overeenkomst).

De RFI van de FTC weerspiegelt soortgelijke regelgevende onderzoeken die onlangs in het Verenigd Koninkrijk, Frankrijk en Nederland over hetzelfde onderwerp zijn gestart.

Verenigd Koninkrijk

In 2022 publiceerde de Britse regering haar Nationale Cyber Strategie. Deze bevat de volgende pijlers:

• Pijler 1: Versterking van het Britse cyber-ecosysteem, investeringen in mensen en vaardigheden en verdieping van het partnerschap tussen overheid, academische wereld en bedrijfsleven.
• Pijler 2: Een veerkrachtig en welvarend digitaal VK opbouwen, de cyberrisico’s verminderen zodat bedrijven de economische voordelen van digitale technologie kunnen maximaliseren en burgers veiliger online zijn en erop kunnen vertrouwen dat hun gegevens worden beschermd.
• Pijler 3: Het voortouw nemen in de technologieën die essentieel zijn voor cybermacht, industriële capaciteit opbouwen en kaders ontwikkelen om toekomstige technologieën te beveiligen.
• Pijler 4: Het bevorderen van het wereldwijde leiderschap en de invloed van het VK voor een veiliger, welvarender en opener internationale orde, door samen te werken met partners uit de overheid en de industrie en door de expertise te delen die ten grondslag ligt aan de cybermacht van het VK.
• Pijler 5: Het opsporen, verstoren en afschrikken van tegenstanders om de veiligheid van het VK in en door cyberspace te vergroten, door meer geïntegreerd, creatief en routinematig gebruik te maken van het volledige spectrum van hefbomen van het VK.

Als onderdeel van deze strategie heeft de Britse regering eind 2022 aangekondigd dat zij de 2018 Network Information Systems (NIS) Regulations zal bijwerken, om de kritieke nationale diensten van het VK beter te beschermen tegen cyberaanvallen door aanbieders van uitbestede IT en managed service providers (MSP’s) onder het toepassingsgebied van die regelgeving te brengen. Dit als reactie op aanvallen zoals Operation CloudHopper, een Chinese cyberspionagecampagne die tussen 2016 en 2018 gericht was op cloud MSP’s.

De Britse toezichthouder voor gegevensbescherming, het Information Commissioner’s Office (ICO) blijft organisaties onderzoeken en bestraffen voor cyberinbreuken. Tot de boetes die in het afgelopen jaar zijn uitgedeeld, behoort een boete van 4,4 miljoen pond aan outsourcingprovider InterServe, wegens inbreuken op de cyberbeveiliging in het kader van de GDPR. Sinds begin 2023, onder de nieuwe Information Commissioner John Edwards, publiceert de ICO nu ook berispingen, die vaak worden gegeven voor inbreuken op de beveiliging die de drempel voor een boete niet halen.

In 2022 schreven het NCSC en de ICO gezamenlijk aan de Law Society om haar leden eraan te herinneren dat zij hun cliënten niet mogen adviseren om ransomware-eisen te betalen als zij het slachtoffer worden van een cyberaanval. De ICO maakte duidelijk dat het onjuist was om te denken dat het betalen van losgeld een verzachtende omstandigheid was met betrekking tot GDPR-boetes. De ICO heeft ook haar richtsnoeren over ransomware bijgewerkt, evenals het National Cyber Security Centre (NCSC). De richtsnoeren omvatten een reeks scenario’s en stappen die organisaties geacht worden te nemen om ransomware-aanvallen te voorkomen en erop te reageren. In 2022 gaf de ICO ook haar eerste boete voor een ransomware-aanval – Tuckers Solicitors LLP kreeg een boete van GBP98.000. Het NCSC blijft benadrukken dat ransomware de meest acute cyberdreiging is waarmee het Verenigd Koninkrijk wordt geconfronteerd.

Europese Unie

De Europese Unie is al een paar jaar bezig met het actualiseren van haar regelgevingskader voor digitale markten en het verbeteren van de cyberweerbaarheid van haar kritieke sectoren. Bedrijven die actief zijn in de EU zijn al bekend met de Algemene Verordening Gegevensbescherming (GDPR), die algemene beveiligings- en meldingsvereisten oplegt met betrekking tot de verwerking van persoonsgegevens. Daarnaast zijn kritieke exploitanten in bepaalde sectoren (zoals energie, vervoer, financiën, banken, water en gezondheidszorg) en aanbieders van digitale diensten (bijvoorbeeld zoekmachines, bepaalde cloudcomputingdiensten en online marktplaatsen) op grond van de richtlijn inzake netwerk- en informatiebeveiliging verplicht cyberbeveiligingsmaatregelen te nemen die overeenstemmen met de risico’s waaraan zij zijn blootgesteld, en de autoriteiten onverwijld in kennis te stellen van beveiligingsincidenten die de continuïteit van kritieke diensten ernstig verstoren.

De NIS-richtlijn is vorig jaar herzien en wordt binnenkort vervangen door de NIS 2-richtlijn, die de EU-lidstaten uiterlijk in 2024 moeten toepassen. De NIS 2-richtlijn legt een hogere basis voor risicobeheersmaatregelen inzake cyberbeveiliging en rapportageverplichtingen vast voor alle sectoren die binnen haar toepassingsgebied vallen (met inbegrip van uitdrukkelijke eisen inzake cybergovernance), voert nieuwe mechanismen voor samenwerking op regelgevingsgebied in en voorziet in geharmoniseerde handhaving, rechtsmiddelen en sancties in alle EU-lidstaten. De richtlijn is van toepassing op alle middelgrote en grote entiteiten die actief zijn in kritieke sectoren; de lijst van sectoren wordt uitgebreid met onder meer business-to-business beheerde ICT-diensten, digitale infrastructuur als datacenterdiensten, cloud computing-diensten, diverse productie- en onderzoeksorganisaties.

Voorbeelden van nieuwe verplichtingen zijn:

• De betrokken entiteiten moeten maatregelen voor risicobeheer op het gebied van cyberbeveiliging nemen die onder meer zorgen voor bedrijfscontinuïteit en beveiliging van de toeleveringsketen, omgaan met incidenten, beschikken over elementaire cyberhygiënepraktijken en cyberbeveiligingsopleidingen, en relevante beleidsmaatregelen en procedures vaststellen;
• De bestuursorganen van de betrokken entiteiten moeten deze maatregelen goedkeuren, toezien op de uitvoering ervan en kunnen aansprakelijk worden gesteld voor niet-naleving; er zijn ook verplichte opleidingsvereisten inzake cyberbeveiliging voor de leden van bestuursorganen; en
• Significante incidenten moeten worden gemeld aan het CSIRT of de bevoegde autoriteit binnen 24 uur nadat de entiteit zich bewust wordt van het incident, gevolgd door een incidentmelding binnen 72 uur, een tussentijds verslag indien gevraagd en een eindverslag binnen een maand na de incidentmelding of de afhandeling van het incident.

Bovendien zal vanaf januari 2025 een nieuwe regelgeving genaamd de Digital Operational Resilience Act (DORA) van toepassing zijn op de financiële sector (waaronder de verzekeringssector en fintechs). Deze zal strenge eisen op het gebied van beveiliging, governance en incidentenrapportage opleggen, niet alleen aan financiële entiteiten, maar ook aan kritische ICT-dienstverleners van derden (waaronder clouddienstverleners) die ICT-diensten aan hen aanbieden. Deze aanbieders zullen ook aan bepaalde verplichtingen moeten voldoen en onder specifiek toezicht van de toezichthouder komen te staan.

De Europese Unie werkt ook aan de goedkeuring van een nieuwe Cyber Resilience Act, die verplichte cyberbeveiligingsregels zal invoeren voor het op de EU-markt brengen van producten met digitale elementen. De voorgestelde wet zal rechtstreekse werking hebben in alle EU-lidstaten en zal naar verwachting eind 2023-begin 2024 worden afgerond. De belangrijkste bepalingen van de Cyber Resilience Act omvatten:

• Bepaalde kritieke producten met digitale elementen (bepaald op basis van bepaalde criteria, zoals het kritieke karakter van de software of het beoogde gebruik in gevoelige omgevingen, bijvoorbeeld een industriële omgeving, zullen worden onderworpen aan specifieke conformiteitsbeoordelingsprocedures;
• Er worden essentiële eisen inzake cyberbeveiliging ingevoerd voor het ontwerp, de ontwikkeling en de productie van producten met digitale elementen, alsook verplichtingen voor marktdeelnemers (gaande van fabrikanten tot distributeurs en importeurs) met betrekking tot deze producten. Fabrikanten zullen bij het ontwerp, de ontwikkeling en de productie van hun producten rekening moeten houden met cyberbeveiliging, tijdens dit proces de nodige zorgvuldigheid aan de dag moeten leggen op het gebied van cyberbeveiliging, moeten voldoen aan de transparantievereisten inzake cyberbeveiligingsaspecten van het product ten aanzien van klanten (met inbegrip van het verstrekken van technische documentatie die voldoet aan de minimumvereisten) en moeten zorgen voor beveiligingsupdates;
• Fabrikanten zullen een conformiteitsbeoordeling van het product en het kwetsbaarheidsproces moeten uitvoeren om aan te tonen dat zij aan de essentiële eisen voldoen (dit kan een zelfbeoordeling zijn, maar voor kritieke producten zullen strengere conformiteitsbeoordelingsprocedures gelden, waaronder in sommige gevallen een beoordeling door een derde partij);
• essentiële eisen voor fabrikanten om kwetsbaarheden te behandelen teneinde de cyberveiligheid van producten gedurende de gehele levenscyclus van het product te waarborgen, met inbegrip van een verplichting om het EU-Agentschap voor cyberveiligheid (ENISA) binnen 24 uur in kennis te stellen van elk actief misbruikt kwetsbaar punt in hun product en van elk incident dat gevolgen heeft voor de beveiliging van het product met digitale elementen.

Hoewel niet gericht op cyberbeveiliging, zal een ander cruciaal stuk van de komende EU-wetgeving, de voorgestelde gegevenswet, de toegang tot en het delen van gegevens gegenereerd door IoT-apparaten en aanverwante diensten reguleren, evenals de belangrijkste aspecten van interoperabiliteit en overschakeling tussen gegevensverwerkingsdiensten, waaronder specifiek clouddienstverleners. Aanbieders van gegevensverwerkingsdiensten zullen alle hulp en ondersteuning moeten bieden om de overstap naar een andere aanbieder of naar een lokaal systeem succesvol te laten verlopen, en zijn verplicht om gedurende het gehele overstapproces een hoog beveiligingsniveau te handhaven. De voorgestelde gegevens zullen naar verwachting vóór eind 2023 worden aangenomen. Een onlangs aangenomen wet inzake gegevensbeheer is van toepassing vanaf 24 september 2023 en regelt gegevensbemiddelingsdiensten, hergebruik van bepaalde categorieën van overheidsgegevens, gegevensaltruïsme en toegang tot niet-persoonsgebonden gegevens door overheidsinstanties van buiten de EU.

Allen & Overy heeft een overzicht opgesteld van andere ontwikkelingen op het gebied van regelgeving in de EU met betrekking tot gegevens, digitale markten en cyberbeveiliging, dat hier beschikbaar is. Het behandelt onder meer de EU-richtlijn inzake de veerkracht van kritieke entiteiten, de verordening inzake de digitale operationele veerkracht voor de financiële sector (DORA), de EU-wet inzake gegevensbeheer, de wet inzake digitale diensten (DSA), de wet inzake digitale markten (DMA), het voorstel inzake de Europese ruimte voor gezondheidsgegevens, de EU-wet inzake chips en het voorstel inzake de wet inzake kunstmatige intelligentie.

Frankrijk

In mei 2021 bracht de Franse regering haar nationale cloudstrategie uit om de uitdagingen van cloud computing (waaronder digitale soevereiniteit en gegevensbescherming) het hoofd te bieden, door zich te richten op drie belangrijke pijlers:

• Handhaving van het “SecNumCloud”-visum met internationale aanbieders van clouddiensten;
• Een “cloud in het centrum”-beleid vaststellen om de digitale transformatie van de administratie te versnellen; en
• een sterk industrieel beleid voeren om lokale projecten te ondersteunen en te ontwikkelen als een manier om de technologische soevereiniteit van Frankrijk en de EU te handhaven.

Na deze aankondiging is de Franse mededingingsautoriteit (de Autorité de la concurrence) in januari 2022 een onderzoek gestart naar de werking van de cloudmarkt in Frankrijk, met als doel een globale analyse te maken van de praktijken die in deze sector worden toegepast. De Autorité heeft zich met name beziggehouden met de kwestie van cloud/vendor lock-in en de uitdagingen waarmee bedrijven worden geconfronteerd bij de migratie van hun datamiddelen en/of de uitvoering van multi-cloudstrategieën. In een tussentijds verslag van de Franse toezichthouder wordt opgemerkt dat cloudgebruikers vaak zeer weinig onderhandelingsruimte hebben, wat kan leiden tot de aanvaarding van onevenredige clausules, zowel wat betreft financiële voorwaarden als technische beperkingen met betrekking tot gegevensmigratie.

In het kader van haar onderzoek is de Autorité ook een openbare raadpleging gestart om bij de betrokken partijen informatie in te winnen over hun praktijken op dit gebied. De conclusies van dit onderzoek zullen in de eerste helft van 2023 worden bekendgemaakt.

Nederland

Met betrekking tot clouddiensten heeft de Autoriteit Consument en Markt (ACM) op 5 september 2022 de uitkomsten van een marktonderzoek naar clouddiensten gepubliceerd. De studie identificeerde twee grote risico’s: de user lock-in en de sterke posities binnen verschillende lagen van de cloud. Deze risico’s maken het overstappen tot een complex en duur proces, versterkt door de praktijken van aanbieders van clouddiensten, het gebrek aan interoperabiliteit en de typische eisen om egress fees te betalen om de gegevens uit de cloud te verwijderen. De ACM heeft aanbevolen de voorgestelde EU-gegevenswet (die hierboven meer in detail is besproken) te verbeteren met betrekking tot interoperabiliteit en vereisten inzake gegevensportabiliteit, en uitte de bezorgdheid dat de voorgestelde wetgeving niet doeltreffend zou zijn om de overstapdrempels van aanbieders van clouddiensten weg te nemen. De ACM kondigde op 5 april 2023 aan haar verdere onderzoek te beëindigen, in de verwachting dat de voorgestelde Data Act en de EU Digital Markets Act (die grotendeels in mei 2023 van kracht wordt) nu een solide basis zouden bieden om deze risico’s aan te pakken.