FERMA dringt aan op stroomlijnen verzekeringsimplicaties cybergerelateerde  wetgeving

FERMA dringt er bij de EU-instellingen op aan om de cyberrapportagevereisten te stroomlijnen en de verzekeringsimplicaties van cybergerelateerde wetgeving in overweging te nemen, na de publicatie van een nieuw rapport dat richtlijnen geeft over recente en toekomstige regelgeving. Het eerste rapport in zijn soort – ‘Cyber Reporting Stack: Navigating EU incident reporting requirements for risk managers –– werd geproduceerd in samenwerking met  WTW en biedt riskmanagers uitgebreid advies over het managen van rapportagevereisten in een steeds groter wordende cyberbeleidsomgeving.

Het document bevat een reeks casestudy’s die verschillende kritieke inbreukscenario’s bestrijken en biedt richtlijnen voor rapportagevereisten in verschillende regelgevingen, waaronder de Algemene Verordening Gegevensbescherming (AVG); Netwerk- en informatiebeveiliging (NIS); Netwerk- en informatiebeveiliging (NIS 2); Wet Digitale Operationele Weerbaarheid (DORA); en de Cyber ​​Resilience Act (CRA).

In een reactie op deze toenemende lasten op het gebied van cyberrapportage zegt Charlotte Hedemark, president van FERMA: “FERMA is van mening dat bedrijven behoefte hebben aan een meer gestroomlijnde en consistente reeks vereisten als het gaat om de rapportage over cyberincidenten. Deze rapportage zou EU-autoriteiten, bedrijven en burgers moeten helpen de cyberdreiging beter te begrijpen, maar dit zal alleen werken als het voor bedrijven gemakkelijk en veilig is om informatie te verstrekken.”Als onderdeel van de inspanningen om deze last te verminderen, beveelt het rapport aan om de mogelijkheden te onderzoeken voor een ‘single point of entry’ voor het melden van cyberincidenten, en tegelijkertijd de EU-lidstaten te voorzien van richtlijnen over hoe ze processen kunnen stroomlijnen en het aantal betrokken entiteiten.

Philippe Cotelle, voorzitter van de Digitale Commissie van FERMA,vult aan: “We zijn ons er terdege van bewust dat hoewel riskmanagement een cruciale rol speelt bij het opbouwen van veerkracht tegen en het herstel na cyberaanvallen, er geen regelgeving bestaat die technische specificaties geeft van welke rikmanagementmaatregelen organisaties zouden moeten nemen, en er zijn er ook geen die rekening houden met de gevolgen voor de verzekering.” Het rapport roept de Europese Commissie op om bij het uitvoeren van een effectbeoordeling rekening te houden met de gevolgen voor verzekeringen en risico-overdracht van toekomstige EU-cyberwetgeving.

Laure Zicry, hoofd van FINEX Cyber, West-Europa, WTW, zegt: “Het beheren van cyberrisico’s is van het allergrootste belang voor elk bedrijf dat de vertrouwelijkheid van de gegevens van zijn klanten en de netwerkbeveiliging ervan zeer serieus neemt. De regels en vereisten voor het melden van cyberincidenten die in dit whitepaper aan de orde komen, hebben betrekking op multifunctionele kwesties en moeten daarom door organisaties dienovereenkomstig worden aangepakt. De rol van de riskmanager is cruciaal om te garanderen dat alle risico’s goed zijn geïdentificeerd en dat de beste mitigatiestrategieën zijn toegepast.”

 

Hedemark concludeert: “We hopen dat het bedrijven meer duidelijkheid zal geven over de rapportagevereisten voor cyberincidenten en hoe deze zich verhouden tot het grotere geheel van het begrijpen van deze mondiale dreiging. We hopen ook dat de verkregen kennis de Europese beleidsmakers zal helpen hun aanpak van de rapportage van cyberincidenten te stroomlijnen en tot enige vereenvoudiging van de rapportage zal leiden, waardoor bedrijven een groter deel van hun middelen en kennis kunnen besteden aan het beoordelen, beheren en reageren op dit risico. ”

 

Het Cyber Reporting Stack: Navigating the EU Requirements rapport is  here beschikbaar