BLOG: Ransomware pandemie
dinsdag 22 november 2022
Ransomware komt steeds meer voor en daardoor bevinden wij ons in een ‘’ransomwarepandemie’’. Zo is uit een bevolking enquête gebleken dat de cijfers van traditionele criminaliteit afneemt en dat online criminaliteit toeneemt.[1]
Een recent voorbeeld is de ‘’kaas hack’’ bij de Albert Heijn.[1]
Bij deze zogenoemde kaas hack werd de leverancier van Albert Heijn gehackt waardoor de leverancier de kaas niet in de winkel kon bezorgen. De gevolgen? Boze klanten én lege schappen. Dit is maar een voorbeeld van de vele incidenten die onderdeel uitmaken van de ransomwarepandemie. Volgens Bart Groothuis (lid van het Europees Parlement) moet de EU nu actie ondernemen om bedrijven, overheden en burgers weerbaarder te maken tegen cybercriminaliteit.[2]
Een nieuwe wet, de NIS2 richtlijn (afkorting van: Network and Information Security 2 Directive) moet Europa beter beschermen tegen cyberaanvallen.[3]
NIS2
Op 11 november 2022 heeft het Europese Parlement een nieuwe wet aangenomen om de veerkracht van de EU te versterken. Meer specifiek tracht deze wet capaciteiten op het gebied van cyberbeveiliging in heel de Europese Unie op te bouwen, de bedreigingen voor netwerk- en informatiesystemen die worden gebruikt om essentiële diensten in belangrijke sectoren aan te bieden te beperken en de continuïteit van deze diensten te waarborgen wanneer zij worden geconfronteerd met een cyberbeveiligingsincident. Dit zal moeten bijdragen aan een doeltreffende werking van de economie en de samenleving van de Europese Unie.[4] Grote verschillen ten opzichte van de huidige wetgeving (in Nederland geïmplementeerd als Wet beveiliging netwerk- en informatiesystemen) zijn onder ander de materiele toepassing van de wet: onder de nieuwe wet zullen ook belangrijke sectoren zoals aanbieders van ICT-diensten vallen. Tevens zullen ook meer essentiële sectoren zoals gezondheidszorg en openbaar bestuur onder de nieuw wet vallen. Daarnaast zal er ook een kader opgesteld worden voor een betere samenwerking en informatie-uitwisseling.[5] Nu essentiële sectoren ook vallen onder de materiele toepassing van deze wetgeving, zullen deze essentiële sectoren te maken krijgen met meer wettelijke verplichtingen omtrent informatiebeveiliging dan voorheen.
Nieuw in deze wet is het uitwisselen van persoonsgegevens: een verwerking van persoonsgegevens is mogelijk indien het strikt noodzakelijk is en evenredig met het oog op de netwerk- en informatiebeveiliging. Zo een verwerking is legitiem indien het gaat om bijvoorbeeld maatregelen die betrekking hebben tot de preventie, opsporing en analyse van incidenten en de reactie hierop. Bij dergelijke persoonsgegevens kunnen persoonsgegevens verwerkt worden zoals IP adressen en e-mailadressen.[6]
De richtlijn is echter nog niet in werking getreden: de richtlijn moet eerst omgezet worden in nationaal recht. Desondanks geeft Bart Groothuis wel aan dat organisaties er nu al mee aan de slag moeten.[7
Conclusie
De nieuwe wet moeten zorgen voor een betere weerbaarheid tegen cybercriminaliteit in Europa. De twee grootste veranderingen zijn de materiele toepassing van de wet en de mogelijkheid tot het delen van persoonsgegevens. Heeft u vragen over de mogelijke consequenties van deze wet voor uw onderneming, vraagt u zich af welke maatregelen u moet nemen om u te beschermen tegen deze ransomwarepandemie of wilt u nu al de nodige maatregelen nemen om te voldoen aan deze aankomende wet? Schroom niet en neem contact met ons op!
Faye Horvest
Adviseur L2P