De impact van DORA en NIS2 in het digitale domein
Bestuurders moeten digitale risico's én de volledige leveranciersketen aantoonbaar beheersen. Wat is hiervan de impact en wat is de kortste route naar compliance?
Achtergrond van de wetgeving
DORA richt zich specifiek op financiële instellingen. NIS2 stelt eisen aan een veel bredere groep van essentiële en belangrijke entiteiten. In de kern komen ze erop neer dat het bestuur van de organisatie waarop de wetten betrekking hebben zorg moet dragen voor een systeem waarbij risico's van de automatisering in kaart worden gebracht en de organisatie maatregelen neemt om de risico's te beheersen. Hierbij is het niet genoeg om te kijken naar de bedreigingen van de eigen IT, maar de gehele leveranciersketen valt onder deze plicht. Een opgave die bij de moderne SaaS/cloudarchitecturen nog geen sinecure is.
Veel bestuurders zijn inmiddels wel op de hoogte van het feit dat IT-beheer geen bijzaak, maar hoofdzaak in de boardroom moet zijn, al is het maar vanwege de bestuurlijke aansprakelijkheid die deze wetten met zich meebrengen.
DORA en NIS2 - de cyberbeveiligingswet - zijn initiatieven om onze IT betrouwbaar te houden. De wetten vinden hun oorsprong in Europa en stellen eisen aan IT-systemen en de organisaties die ze gebruiken. Ze verplichten bestuurders om digitale risico's en hun gehele leveranciersketen effectief te beheersen.
Minder bekend is dat Europa met de eIDAS-verordening een stelsel van gekwalificeerde vertrouwensdiensten biedt dat organisaties helpt om veiligheid, bewijswaarde en compliance veel eenvoudiger en goedkoper te organiseren.
Europa biedt een gereguleerd stelsel van gekwalificeerde vertrouwensdiensten
Minder bekend is dat Europa daarnaast een gereguleerd stelsel heeft dat organisaties helpt om eenvoudiger aan belangrijke beveiligings- en betrouwbaarheidseisen te voldoen. De onlangs herziene eIDAS-verordening reguleert de markt van gekwalificeerde vertrouwensdiensten.
Dit zijn diensten die essentiële functies voor het online zakelijke en publieke verkeer invullen via vergunde leveranciers. Deze gespecialiseerde partijen staan onder permanent toezicht van de RDI, krijgen het Q-label en staan in een Europese vertrouwenslijst.
Weten hoe vertrouwensdiensten in jouw organisatie geïmplementeerd kunnen worden?
Laat je gegevens achter en ons team zal contact met je opnemen.
Hoge zekerheid en lagere compliancekosten
Middels gekwalificeerde dienstverleners (QTSPs) kan een organisatie bijvoorbeeld stukken gekwalificeerd laten ondertekenen, verzegelen en archiveren. Een stuk met zo'n handtekening of zegel is achteraf niet meer ongemerkt te wijzigen.
Het spreekt voor zich dat, als een IT-oplossing een hoge mate van zekerheid biedt over integriteit, beschikbaarheid en vertrouwelijkheid van informatie en de bewijswaarde garandeert, dit voor de afnemer enorm veel compliancekosten scheelt.
Juridische aansprakelijkheid goed geregeld
De handtekening heeft in Europa direct dezelfde juridische waarde als een handgeschreven handtekening. Ook het zegel heeft een wettelijk bepaalde hoge bewijswaarde. Beide zijn altijd te herleiden tot de (rechts)personen achter de handtekening of het zegel. Het gekwalificeerde archief houdt stukken vertrouwelijk en beschikbaar, en beschermt ze ook juridisch tegen de gevolgen van steeds snellere computers.
Veel gemak tegen lage kosten
Oplossingen zijn gemakkelijk te implementeren en te gebruiken. Zo kunnen organisaties op korte termijn compliant worden.
Europa heeft daarom de afgelopen jaren veel initiatieven ontplooid om de markt van gekwalificeerde vertrouwensdiensten te moderniseren, en dat heeft zijn vruchten afgeworpen. De kosten voor gekwalificeerde vertrouwensdiensten zijn dan ook dramatisch gedaald. Waar je 10 jaar geleden nog honderden euro's betaalde voor een kaartje waarmee je in gespecialiseerde software gekwalificeerde handtekeningen kon fabriceren, teken je tegenwoordig voor een paar euro per jaar al je stukken gekwalificeerd gewoon met een app op je telefoon.
Een ander belangrijk punt dat wettelijk wordt afgedwongen, is interoperabiliteit. Zo is er geen sprake van vendor lock-in en kan een organisatie, afhankelijk van de gebruikersvoorkeur, meerdere gekwalificeerde vertrouwensdienstverleners tegelijkertijd ondersteunen. Net zoals een consument bij een webshop zijn bank kiest voor een betaling.
Met NIS2 zet Europa vol in op gekwalificeerde vertrouwensdiensten
De Unie verplicht lidstaten via NIS2 om het gebruik van gekwalificeerde vertrouwensdiensten onder essentiële en belangrijke entiteiten te stimuleren. Voorts gaat zij haar burgers voorzien van wallets waarvan de ondertekenfunctionaliteit onderdeel uitmaakt.
En naast dat hiermee invulling wordt gegeven aan een veilige online samenleving, heeft zij hier goede redenen voor: het beheersbaar houden van de toezichtskosten voor bedrijven en overheden. Een inspecteur die op zijn formulier bij een organisatie op alle cruciale punten alleen een Q hoeft in te vullen, weet meteen dat het systeem veilig is en dat de leveranciersketen op orde is.
Manieren om digitale identiteit veilig en makkelijk te maken
Wil je hierover verder praten?
Laat je gegevens achter en ons team zal contact met je opnemen.
