FERMA roept op tot stroomlijning van de cyberrapportageprocessen

FERMA roept op tot stroomlijning van de cyberrapportageprocessen van de EU na publicatie van het rapport 'Cyber Reporting Stack'. Deze eerste studie in zijn soort is geproduceerd in samenwerking met WTW en biedt cyberadvies aan risicomanagers, roept de EU op om rapportagevereisten te vereenvoudigen en wijst op verzekeringsoverwegingen.

FERMA dringt er bij de EU-instellingen op aan om de eisen voor cyberrapportage te stroomlijnen en ook de verzekeringsimplicaties van cybergerelateerde wetgeving in overweging te nemen, naar aanleiding van de publicatie van een nieuw rapport dat richtlijnen biedt over recente en aankomende regelgeving.

Het rapport – Cyber Reporting Stack: Navigating EU incident reporting requirements for risk managers – is in samenwerking met het toonaangevende wereldwijde advies-, bemiddeling- en oplossingenbedrijf WTW geproduceerd en biedt risicomanagers uitgebreide adviezen over het beheer van rapportagevereisten binnen een steeds breder wordende cyberbeleidsomgeving.

Het document bevat een reeks casestudy's die verschillende kritieke inbreuksituaties beslaan en levert richtlijnen over de rapportagevereisten volgens regelgeving zoals de Algemene Verordening Gegevensbescherming (AVG); Netwerk- en Informatiebeveiliging (NIS); Netwerk- en Informatiebeveiliging (NIS 2); de Digitale Operationele Veerkrachtwet (DORA); en de Cyber Resilience Act (CRA).

Bij commentaar op de toenemende rapportageverplichtingen in de cyberwereld, zei Charlotte Hedemark, voorzitter van FERMA: “FERMA is van mening dat bedrijven behoefte hebben aan een meer gestroomlijnde en consistente set eisen als het gaat om het rapporteren van cyberincidenten. Deze rapportage zou EU-autoriteiten, bedrijven en burgers moeten helpen om de cyberdreiging beter te begrijpen — maar dit kan alleen werken als het eenvoudig, veilig en beveiligd is voor bedrijven om informatie te verstrekken.”

Als onderdeel van de inspanningen om deze last te verlichten, beveelt het rapport aan om de mogelijkheden te onderzoeken voor een 'enkele toegangspunt' voor de melding van cyberincidenten, en biedt het EU-lidstaten richtlijnen over hoe processen en het aantal betrokken entiteiten te stroomlijnen.

Philippe Cotelle, voorzitter van de Digitale Commissie van FERMA: “We zijn ons er terdege van bewust dat, hoewel risicobeheer een cruciale rol speelt in het opbouwen van veerkracht tegen en herstel van cyberaanvallen, er geen regelgeving bestaat die technische specificaties geeft voor welke risicobeheersmaatregelen organisaties zouden moeten nemen, noch zijn er die rekening houden met de verzekerings implicaties.”

Het rapport roept de Europese Commissie op om de verzekerings- en ris overdragsimplicaties van toekomstige EU-cyberwetgeving in overweging te nemen bij het uitvoeren van een impactbeoordeling.

Laure Zicry, hoofd van FINEX Cyber, West-Europa bij WTW, zei: “WTW is verheugd om met FERMA samen te werken aan een dergelijk belangrijk rapport. Het beheren van cyberrisico's is van essentieel belang voor elk bedrijf dat de vertrouwelijkheid van de gegevens van zijn klanten en de netwerkbeveiliging zeer serieus neemt. De regels en vereisten voor het rapporteren van cyberincidenten die in deze whitepaper worden behandeld, hebben betrekking op cross-functionele kwesties en moeten daarom door organisaties dienovereenkomstig worden aangepakt. De rol van de risicomanager is cruciaal om ervoor te zorgen dat alle risico's goed zijn geïdentificeerd en dat de beste mitigatiestrategieën zijn aangenomen.”

Hedemark concludeerde: “We hopen dat het bedrijven meer duidelijkheid zal geven over de vereisten voor het rapporteren van cyberincidenten en hoe deze verband houden met het grotere geheel van het begrijpen van deze wereldwijde dreiging. We hopen ook dat de opgedane kennis Europese beleidsmakers zal helpen om hun benadering van cyberincidentrapportage te stroomlijnen en zal leiden tot enige vereenvoudiging van rapportage, waardoor bedrijven een groter deel van hun middelen en kennis kunnen besteden aan het inschatten, beheren en reageren op dit risico.”

Het rapport Cyber Reporting Stack: Navigating EU incident reporting requirements for risk managers is hier beschikbaar. FERMA zal ook de bevindingen van het rapport presenteren op het FERMA Forum in Madrid om 13.30 uur op 22 oktober bij de stand van de Federatie.