(door Davide Maniscalco, Aidr Regional Coordinator voor Sicilië, Privacy Officer en Head of Institutional Relations Swascan - Tinexta Group) Zoals voorzien in het werkprogramma van de Europese Commissie voor 2022, zijn technologie en duurzaamheid de prioriteiten van de Europese agenda, die inderdaad de overtuigde visie van een groen en digitaal Europa bevestigt.
Het is bekend dat het decennium om het digitale transformatiepad van de EU te bereiken een horizon van 2030 zal hebben en onder meer zal worden gekenmerkt door de ontwikkeling van:
- een innovatieve economie gebaseerd op mensgerichte, betrouwbare en veilige technologie;
- veilige en veerkrachtige internetverbinding;
- een wereldwijd veilig communicatiesysteem in de ruimte;
- een Europese digitale identiteit;
- betrouwbare kunstmatige-intelligentiesystemen, met steeds hogere computerstandaarden.
Maar zelfs nu, en helaas met een alarmerende frequentie, vormen fraude-, phishing- en ransomware-aanvallen een echte systemische bedreiging voor hele economieën en regeringen.
Geconfronteerd met dit fenomeen, dat in de loop van de tijd ook geopolitieke connotaties heeft gekregen, soms met het oog op destabilisatie en sabotage of, vaker, industriële en wetenschappelijk-technologische spionage, blijven de bedrijfsmiddelen, waar ze bestaan uit concrete budgetten, nog steeds overwegend toegewezen aan defensieve IT-beveiliging, vooral gericht op de bescherming van vertrouwelijkheid en data-integriteit en minder vaak op de operationele continuïteit van primaire bedrijfsprocessen en IT- en informatiesystemen.
Het is duidelijk dat deze aanpak onvoldoende blijkt te zijn in het licht van aanvallen die elke dag alomtegenwoordiger worden en niet alleen een meer gestructureerde preventieve en ook voorspellende reactie vereisen, maar ook een meer gediversifieerd en inclusief menselijk kapitaal.
In dit scenario blijft meerlaagse samenwerking een steeds essentiëlere noodzaak.
En in feite heeft IT-beveiliging zowel de deskundige ontwikkelaar als de systeemingenieur en de eindgebruiker nodig, omdat ze allemaal essentiële spelers zijn met een gemeenschappelijke missie: IT-veerkracht.
Er zijn geen andere strategieën, iedereen moet betrokken zijn bij cybersecurity om de hele supply chain te versterken.
In deze richting zal de aangekondigde Europese Cyber Resilience Act, waarvan de lancering wordt verwacht voor het derde kwartaal van 2022, gedeeltelijk nieuwe regels voor verbonden apparaten voorstellen om mogelijke softwarekwetsbaarheden aan te pakken en gemeenschappelijke normen voor cyberbeveiliging voor apparaten vast te stellen. .
Bovendien, in overeenstemming met de prioriteiten van de Europese Commissie, is ook het voorstel voor een verordening inzake digitale operationele veerkracht ("DORA") voor financiële diensten van september 2020, dat een Europees kader van geharmoniseerde normen zal bieden om te voorzien in de behoeften van digitale operationele weerbaarheid van alle gereguleerde financiële entiteiten, waarbij ook een toezichtkader wordt vastgesteld voor kritieke externe ICT-aanbieders.
Maar het is duidelijk dat de regelgevende benadering, hoewel noodzakelijk, niet voldoende is.
In feite gaat het om het benaderen van IT-beveiliging met het besef dat we veerkracht moeten creëren in elk onderdeel van het bedrijf met voldoende uitvoerende middelen en focus, van het in kaart brengen van bedrijfsprocessen tot de beschikbaarheid van technische diensten tot de vaak kritische afhankelijkheid van leveranciers.
Dit alles vereist en omvat onvermijdelijk de constante correctie van kwetsbaarheden, de detectie en beperking van bedreigingen en de voortdurende training van menselijk kapitaal.
Bovendien moeten ontwikkelaars begrijpen in hoeverre de beveiliging van de code die ze schrijven en de distributie ervan, gedurende de levenscyclus van applicaties, functioneel is voor een toename van de waarde van software, die echter gevoelig moet blijven voor de snelheid van zaken.
Om deze reden richt de Europese regelgevende instantie zich op technologisch en digitaal leiderschap, omdat alleen door bepaalde en geharmoniseerde Europese regels een deugdzame interactie zal worden gecreëerd tussen degenen die de systemen ontwerpen, ontwikkelen en beheren, en zo de basis leggen voor een nieuw paradigma van cyberbeveiliging .
De doelstelling van Europese digitale soevereiniteit zal een logisch gevolg zijn en zal de totstandkoming van een op regels gebaseerde systeem inhouden dat meer eigenaarschap van essentiële technologische hulpbronnen op lokaal, nationaal en regionaal niveau mogelijk maakt en uiteindelijk concrete controle heeft over de eigen digitale bestemming - de gegevens, hardware en software die u maakt en waarop u vertrouwt.