Cybersecurity

Het beschermen en veilig houden van jouw informatiesystemen (cybersecurity) is vaak een hele klus. Een kwaadwillende hacker of verongelijkte medewerker hoeft slechts één kwetsbaarheid in het systeem te misbruiken en de schade voor jouw organisatie kan ongelofelijk groot zijn.

Aan jou dus de taak om jouw organisatie weerbaar te maken tegen aanvallen, kwetsbaarheden of andere dreigingen. In de meeste gevallen laat de wetgever dat helemaal aan jou; jij mag jouw eigen risicoafweging maken en daaraan de volgens jou benodigde maatregelen koppen. Cybersecurity wordt echter steeds meer een wettelijke verplichting, waarbij de wetgever in ieder geval bepaalt welke systemen je moet beveiligen en welk niveau van beveiliging jij met cybersecurity maatregelen moet nastreven.

Cybersecurity wet- en regelgeving

Cybersecurity kan onderdeel zijn van algemene regelgeving die een beveiligingsverplichting oplegt aan vrijwel iedere organisatie die persoonsgegevens verwerkt (zoals de AVG).

Cybersecurity wordt echter steeds meer een onderwerp an sich: de Telecommunicatiewet, de EU Richtlijn inzake Netwerk- en Informatiebeveiliging (NIB-Richtlijn) en de EU Verordening rondom elektronische vertrouwensdiensten (eIDAS-Verordening) zijn voorbeelden van specifieke cybersecurity wetgeving voor aangewezen sectoren of organisaties.

Cyber security vanuit juridisch perspectief

Wanneer je bijvoorbeeld een aanbieder bent van vitale diensten, een vertrouwensdienst of een digitaledienstverlener (cloudcomputing, online marktplaats, zoekmachines) of online platform, dal zul je de komende jaren steeds meer met cybersecurity gerelateerde wetgeving worden geconfronteerd. Hoewel een deel van deze nieuwe wetgeving nog moet worden ingevuld, kun jij je daar nu al op voorbereiden.

Een onderdeel dat in de meeste cybersecurity wetgeving terug te vinden is, is de meldplicht bij cybersecurity incidenten. Deze meldplicht kan verschillen per sector en kan verschillende organisaties betreffen bij wie de melding moet worden gedaan.

Denk bijvoorbeeld aan de Autoriteit Persoonsgegevens of de sectorale toezichthouder. In sommige gevallen moet je iets wellicht dubbel of zelfs driedubbel melden. Niet melden kan leiden tot handhaving en hoge boetes. Wij helpen organisaties wegwijs te worden in deze meldplichten en jouw incident response zo in te richten dat je een incident tijdig en volledig meldt.

Responsible Disclosure

Wil je de uitdaging aangaan en Responsible Disclosure als beleid invoeren in jouw organisatie? Of heb je te maken met een (ethisch) hacker die een responsible disclosure melding wil doen, maar weet je niet hoe je hiermee om moet gaan? Neem dan geen onnodige risico’s. Responsible disclosure is een middel dat jou kan helpen bij het bevorderen van jouw cybersecurity.

Incident Response

Een incident response programma bevat de handvatten voor jouw medewerkers om bij ieder incident de juiste personen in de organisatie te betrekken; van legal tot communicatie, van klantenservicemedewerker tot bestuurder.

Contact

Leg jouw vraagstuk voor aan onze experts

Heb je juridische vragen over cybersecurity, privacy of een ander onderwerp? Neem gerust contact met ons op. Onze experts staan je graag te woord.