Een nieuwe studie onder leiding van academici van het Cloud Legal Project aan de Queen Mary University of London heeft uitgewezen dat de huidige cyberbeveiligingsnormen van de Europese Unie, bekend als de NIS-richtlijn, niet ver genoeg gaan en mogelijk worden ondermijnd.

De NIS-verordeningen van 2018, die de NIS-richtlijn in het VK implementeren, erop gericht zijn ervoor te zorgen dat exploitanten van essentiële diensten worden beschermd tegen verstoring, door hen te verplichten "passende en evenredige" maatregelen te nemen als het gaat om cyberbeveiliging.

Naleving is subjectief

Het onderzoek, die zich richtte op luchthavens zoals Heathrow en luchtvaartmaatschappijen zoals British Airways, vond dat om te voldoen aan de verordening, dienstverleners moeten identificeren, schatten, en vervolgens de cyberrisico's waarmee ze worden geconfronteerd aan te pakken. Echter, dergelijk risicobeheer brengt onvermijdelijk een mate van subjectief oordeel en afwegingen met zich mee.

Volgens de onderzoekers is de vereisten van de richtlijn zijn te vaag en voor interpretatie vatbaar, wat betekent dat sommige luchthavens en luchtvaartmaatschappijen alleen die veiligheidsmaatregelen mogen nemen die zij in hun eigen commerciële belang achten. Dienstverleners zouden zelfs zo ver kunnen gaan dat ze hun discretie misbruiken door zich bezig te houden met 'papieren naleving' - het creëren van veel beveiligingsdocumentatie om regelgevers te laten zien, zonder hun aanpak betekenisvol te veranderen, effectief winst boven cyberbeveiliging plaatsen.

Vage eisen zijn moeilijk te meten

Uit het onderzoek bleek ook dat de vage aard van de NIS-richtlijn het voor regelgevers moeilijk kan maken, zoals de Civil Aviation Authority, om effectief te controleren of aan de beveiligingsvereisten wordt voldaan of niet. Het onderzoek komt na verschillende spraakmakende IT-problemen in de luchtvaartindustrie.

Dave Michels, Onderzoeker bij Queen Mary's Centre for Commercial Law Studies, en co-auteur van het artikel zei:"Regelgevers zullen luchthavens en luchtvaartmaatschappijen nauwlettend in de gaten moeten houden en hun benaderingen waar nodig moeten uitdagen. Dit vereist dat ze cyberbeveiligingsexperts inhuren om dit effectief te doen."

Ian Walden, Hoogleraar Informatie- en Communicatierecht en co-auteur van de studie voegde toe:"Brexit kan de zaken verder compliceren door het vertrek van het VK uit het Europees Agentschap voor Cyberbeveiliging, die een belangrijke rol speelt door richtlijnen te geven voor naleving en het delen van best practices."