De afgelopen jaren heeft de EU zich geconcentreerd op cyberbeveiliging door nieuwe verordeningen en richtlijnen op te stellen en te coördineren. Het doel is de cyberbeveiligingscapaciteiten en de samenwerking tussen organisaties en landen te vergroten en een reeks normen in te voeren die elke EU-lidstaat zal moeten toepassen om veilig handel te drijven binnen de digitale interne markt, via grensoverschrijdende vertrouwde authenticatie.
In deze blog wordt het hele regelgevingskader onder de loep genomen en worden enkele van de belangrijkste cyberbeveiligingsvoorschriften samengevat die van invloed zijn op instellingen en organisaties, met name in de financiële sector van de EU. Wie moet precies op de hoogte zijn van deze voorschriften? Elke speler in de sectoren beleggingen, boekhouding, verzekeringen, bankwezen, online betalingen, FinTech of elke entiteit die creditcardgegevens van burgers in de EU moet verwerken.
De door de Europese Commissie opgelegde strengere eisen inzake gegevensbescherming en -integriteit hebben tot doel de uitwisseling van gegevens en de digitale communicatie over de grenzen heen in de EU te verbeteren, zodat minder bedrijven het slachtoffer worden van gegevensinbreuken en cyberaanvallen. In ruil daarvoor blijven de gegevens van de kaarthouder veilig. In feite profiteren zowel bedrijven als consumenten van deze regelgeving.
Voor de huidige cyberbeveiligings- en IT-afdelingen is naleving van deze voorschriften van cruciaal belang. De beste manier om van start te gaan is een duidelijke analyse van het huidige regelgevingslandschap en inzicht in welke normen op uw bedrijf van toepassing zijn, alsook de tijdschema's voor de invoering.
Laten we eens snel kijken naar enkele van de belangrijkste richtlijnen die u in het oog moet houden.
Elektronische identificatie, authenticatie en vertrouwensdiensten (eIDAS)
eIDAS is gericht op alle organisaties die openbare digitale diensten in een EU-lidstaat leveren en is in juli van 2014 vastgesteld in EU-verordening 910/2014. Het stelt een norm vast voor elektronische identificatie en vertrouwensdiensten in de Europese interne markt. eIDAS is in juli 2016 in werking getreden.
Belangrijke thema's zijn:
- Interoperabiliteit – De lidstaten moeten een gemeenschappelijk kader creëren voor de erkenning van eID's van andere lidstaten. Dit garandeert authenticiteit en veiligheid, vooral bij grensoverschrijdend zakendoen.
- Transparantie – eIDAS biedt een duidelijke en toegankelijke lijst van vertrouwensdiensten die binnen het gecentraliseerde ondertekeningskader kunnen worden gebruikt. Hierdoor kunnen belanghebbenden op het gebied van beveiliging een dialoog aangaan over de beste technologieën en instrumenten voor cyberbeveiliging.
Er zijn in totaal negen vertrouwensdiensten die onder het eIDAS-certificatiesysteem vallen:
1. Het verstrekken van een gekwalificeerd certificaat voor elektronische handtekening;
2. Het verstrekken van een gekwalificeerd certificaat voor elektronisch zegel;
3. Het verstrekken van een gekwalificeerd certificaat voor website-authenticatie;
4. Gekwalificeerde validatieservice voor gekwalificeerde elektronische handtekeningen;
5. Gekwalificeerde validatieservice voor gekwalificeerde elektronische zegels;
6. Gekwalificeerde bewaarservice voor gekwalificeerde elektronische handtekeningen;
7. Gekwalificeerde bewaarservice voor gekwalificeerde elektronische zegels;
8. Gekwalificeerde elektronische tijdstempelservice en
9. Gekwalificeerde elektronische aangetekende bezorgdienst.
Om een gekwalificeerde verlener van vertrouwensdiensten (QTSP) onder eIDAS te worden (zoals GlobalSign is!) moet een organisatie specifieke audits ondergaan en aan een reeks criteria voldoen. Alle gekwalificeerde certificaten die in het kader van eIDAS worden verkocht, moeten ook worden geleverd op een apparaat voor het aanmaken van gekwalificeerde handtekeningen (QSCD), dat zelf aan een audit zou worden onderworpen om te garanderen dat het aan de volgende eisen voldoet:
- De gegenereerde gegevens voor het aanmaken van handtekeningen worden beheerd door een gekwalificeerde verlener van vertrouwensdiensten (QTSP).
- Alleen de ondertekenaar heeft controle over zijn private key.
- De gegevens die worden gebruikt voor het aanmaken van handtekeningen zijn uniek, vertrouwelijk en beschermd tegen vervalsing.
U kunt onze gratis eIDAS-gids downloaden voor een meer gedetailleerde uitleg over de eIDAS-verordening.
Payment Services II Directive (PSD2) en Regulatory Technical Standards for Secure Customer Authentication (RTS SCA)
Deze verordening is gericht op krediet-, betalings- en e-money-instellingen.
Op 23 december 2015 werd Richtlijn 2015/2366 inzake betalingsdiensten (PSD2) gepubliceerd in het Publicatieblad van de EU. PSD2 vervangt PSD, dat sinds 2007 van kracht was. Het doel van PSD2 is innovatie en concurrentie in de financiële dienstverlening te bevorderen en strengere veiligheidsnormen voor onlinebetalingen in te voeren.
Belangrijke thema's zijn:
- Het creëren van een veilige interface om externe providers toegang te geven tot betaalrekeninggegevens van klanten van de bank
- Naleving van de nieuwe regels inzake klantenauthenticatie garanderen
- Ondersteuning van externe providers om de nieuwe access-to-accounts API (XS2A) Interface te gebruiken vóór Q2-Q3 2019
Binnen de Regulatory Technical Standards (RTS) ligt de nadruk op gemeenschappelijke en veilige communicatie (CSC) tussen alle betrokken partijen. Alle transacties tussen aanbieders van betaaldiensten en financiële instellingen moeten via beveiligde kanalen verlopen en de authenticiteit en integriteit van de gegevens waarborgen.
In de verordening wordt ook besproken wat sterke klantenauthenticatie (SCA) inhoudt, met inbegrip van de vereisten waaraan de beveiligingsmaatregelen moeten voldoen om de vertrouwelijkheid en de integriteit van de gepersonaliseerde veiligheidsreferenties van de betalingsdienstgebruikers te beschermen.
In maart 2019 werd PSD2 geactualiseerd om informatie op te nemen voor Account Servicing Payment Service Providers (ASPSP's), die de technische specificaties van hun toegangsinterfaces (zowel dedicated als gebruikersgericht) ter beschikking moeten stellen van derde partijen en hen ook een testfaciliteit moeten bieden om veilige tests van software en andere gebruikersgerichte toepassingen uit te voeren.
Om dit mogelijk te maken, heeft de EU-Commissie voorgesteld een Application Programming Interface Evaluation Group (API EG) op te richten om gestandaardiseerde API-specificaties op te stellen en te evalueren.
Op zoek naar een afdrukbare en deelbare PSD2-referentie? Download onze gratis e-gids.
U kunt ook onze blogs PSD2: Alles wat u moet weten en PSD2-termen en acroniemen bekijken (omdat er hier veel te lezen is!).
De richtlijn inzake de beveiliging van netwerk- en informatiesystemen (NIS-richtlijn)
Deze richtlijn is van toepassing op bedrijven in de volgende sectoren:
- energie
- transport
- banken (kredietinstellingen)
- financiële marktinfrastructuren
- gezondheid
- water
- digitale infrastructure
In juli 2016 werd Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad gepubliceerd, waarin vereisten werden voorgesteld voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de hele Europese Unie.
De EU-richtlijn inzake de beveiliging van netwerk- en informatiesystemen (NIS-richtlijn) bevat de beveiligingseisen en regels voor het melden van incidenten voor aanbieders van digitale diensten en exploitanten van essentiële diensten in de EU-lidstaten. De lidstaten hadden tot mei 2018 de tijd om deze richtlijn in nationaal recht om te zetten. De Britse regering heeft in augustus 2017 een publieke raadpleging gepubliceerd, waarin de door de regering voorgestelde aanpak van de implementatie van de richtlijn wordt uiteengezet, en waarin duidelijkheid wordt verschaft over wat er van exploitanten van essentiële diensten en aanbieders van digitale diensten wordt verwacht.
Belangrijke thema's zijn:
- goedkeuring van een nationale strategie voor de beveiliging van netwerk- en informatiesystemen
- aanwijzing van ‘een of meer nationale bevoegde autoriteiten’ om toe te zien op de uitvoering en naleving van de bepalingen van de richtlijn
- aanduiding van ‘één aanspreekpunt’ dat fungeert als contactpunt met de andere lidstaten
- oprichting van een of meer Computer Security Incident Response Teams (CSIRT's)
eInvoicing Directive
Deze richtlijn heeft gevolgen voor B2B-organisaties en crediteurenafdelingen in een groot aantal bedrijfstakken.
Ze is bedoeld om de complexiteit en rechtsonzekerheid rond e-facturering te verminderen en enige bescherming te bieden rond facturen die elektronisch worden afgeleverd, waardoor de deur wordt opengezet voor cyberfraude en andere ernstige cyberrisico's.
De noodzaak om voor elektronische facturen de ‘authenticiteit van de herkomst’ (d.w.z. de identiteit van de opsteller van de factuur) en de ‘integriteit van de inhoud’ (d.w.z. dat de inhoud van de factuur niet is gewijzigd sinds het moment van uitreiking) te waarborgen, werd vastgelegd in EU-richtlijn 2006/112/EG betreffende de belasting over de toegevoegde waarde (btw). Alle voor de btw geregistreerde entiteiten moeten aan deze vereiste voldoen om aan de voorschriften te beantwoorden.
De ‘btw-richtlijn’ specificeert geavanceerde elektronische handtekeningen als een methode om dit te realiseren. De meest recente actualiseringen van de richtlijn inzake elektronische facturering bouwt voort op de bepalingen van de btw-richtlijn, inclusief de mogelijkheid om geavanceerde elektronische handtekeningen te gebruiken om de authenticiteit en integriteit van facturen te garanderen, en bepaalt dat alle afzenders van elektronische facturen, niet enkel btw-entiteiten, dit moeten kunnen garanderen.
Geavanceerde elektronische handtekeningen garanderen de authenticiteit van de herkomst en de integriteit van de inhoud door:
- De unieke identificatie van de afzender van de factuur
- Het creëren van een fraudebestendig zegel op de inhoud van de factuur, zodat wijzigingen die aan het document worden aangebracht na de ondertekening detecteerbaar zijn
Download ons e-boek over elektronische facturering voor meer informatie over de belangrijkste voordelen van de richtlijn inzake elektronische facturering en hoe deze werkt.
Integriteit, vertrouwelijkheid, onweerlegbaarheid: de basisbeginselen van financiële diensten
Dit zijn drie modewoorden die de voorschriften omvatten die we in de bovenstaande blogpost hebben behandeld. Nu de EU aan een nieuwe infrastructuur werkt om financiële instellingen te ondersteunen door meer transparantie en sterkere cyberbeveiliging te creëren, zal het eindresultaat een betere gegevensbescherming en economische stabiliteit zijn.
Maar hoe bewijst u dat uw gegevens accuraat zijn, hoe houdt u ze buiten het bereik van ongewenste derden, of hoe voorkomt u dat ze worden gewijzigd?
Public Key Infrastructure (PKI) is het antwoord. Met behulp van digitale certificaten kunt u documenten, e-mails en gegevens versleutelen en ondertekenen.
We moeten kunnen zeggen dat zeer gevoelige financiële gegevens aan de volgende voorwaarden voldoen:
- Integriteit – deze kunnen niet worden gewijzigd door een ongewenste derde partij
- Vertrouwelijkheid – deze kunnen niet worden bekeken door een ongewenste derde partij
- Onweerlegbaarheid – deze kunnen niet worden vervalst door een derde partij
Digitale certificaten kunnen al het bovenstaande bieden. Of u nu een FinTech-bedrijf, betalingsprovider, vergelijkingsdienst of bank bent, cyberbeveiliging zal een topprioriteit zijn bij het delen en uitwisselen van gegevens. Het is geweldig om een dienst te verlenen die consumenten nodig hebben en willen, maar als u dit niet veilig kunt doen, schaadt u meer dan dat u helpt.
Om ons aan te passen aan het huidige regelgevingslandschap van de EU en het Open Banking-kader, beschikt GlobalSign over de oplossingen en accreditatie om u te helpen met bijna alle EU-veiligheidsvoorschriften. We worden beschouwd als een officiële verlener van vertrouwensdiensten onder eIDAS en ook onder PSD2, wat betekent dat we gekwalificeerde certificaten voor elektronische handtekeningen, gekwalificeerde certificaten voor elektronische zegels en QWAC's en QSealC's voor PSD2 kunnen leveren.
Dit gebeurt allemaal naast onze bestaande door PKI beheerde diensten die werden ontwikkeld om te voldoen aan een brede waaier van gebruiksscenario's, waaronder e-mailbeveiliging en mobiele verificatie, om er maar twee te noemen.
Als u meer wilt weten over hoe deze voorschriften op u van toepassing zijn en welke stappen u kunt nemen om aan de voorschriften te voldoen, helpen onze experts bij GlobalSign u graag verder.