Europa bevindt zich in overgangsfase van regels maken naar handhaven en harmoniseren

Dit blijkt uit het vierde Global Cyber Policy Radar-rapport van NCC Group, het bedrijf achter Fox-IT. Het rapport analyseert de belangrijkste ontwikkelingen in wereldwijde cyberwet- en regelgeving. Het rapport biedt organisaties inzicht in de veranderende beleidskaders die hun digitale strategie beïnvloeden. De analyse is gebaseerd op de ervaringen van NCC Group als adviseur van overheden en omvat onder meer:

• Een overzicht van aankomende wet- en regelgeving (Regulation Radar)
• Beleidsontwikkelingen per regio
• Een verdiepende analyse over post-quantumcryptografie, met bijdragen van experts van Microsoft en NCC Group
• Praktische vragen voor organisaties om zich op voor te bereiden

Van nieuwe regels naar strengere handhaving

Europese overheden richten zich steeds meer op de uitvoering en controle van bestaande wetgeving. Toezichthouders zullen hun capaciteit uitbreiden en de naleving strenger monitoren, aldus het rapport. EU-regelgeving die recent is ingevoerd of binnenkort van kracht wordt – zoals NIS2, DORA, de Cyber Resilience Act, de AI Act en de EU Space Act – vergroot het aantal organisaties dat onder toezicht valt aanzienlijk. Bedrijven moeten daardoor overstappen van incidentele compliance naar structurele governance-, risico- en complianceprogramma’s die wereldwijd toepasbaar zijn.

Europese landen leggen meer nadruk op digitale soevereiniteit en willen minder afhankelijk zijn van buitenlandse technologie. Dit uit zich in strengere eisen voor leveranciersbeheer en het managen van risico’s bij derde partijen. Daarnaast investeren EU-lidstaten in eigen cloud- en opensource-oplossingen, wat gevolgen heeft voor aanbestedingsprocedures, risicoanalyses en de selectie van zakelijke partners.

Post-quantumcryptografie vereist actie

Een centraal thema in het rapport is de overgang naar post-quantumcryptografie (PQC). Overheden dringen er bij organisaties op aan om nu al hun cryptografische systemen en afhankelijkheden in kaart te brengen. Met name instellingen die gevoelige data verwerken of langdurig opslaan – zoals financiële instellingen en overheidsorganisaties – lopen risico door ‘harvest now, decrypt later’-scenario’s, waarbij aanvallers nu data stelen om deze later met quantumcomputers te ontcijferen.

NCC Group en Microsoft benadrukken dat de migratie naar PQC complex is door afhankelijkheid van leveranciers en het ontbreken van uniforme standaarden. Toch adviseren beide partijen om nu te beginnen met voorbereidingen, omdat uitstel het risico op toekomstige datalekken vergroot.

Beperkingen op ransomwarebetalingen

Het rapport signaleert ook een groeiende trend waarbij landen betalingen aan ransomware-criminelen willen beperken of verbieden. Het Verenigd Koninkrijk en Australië lopen hierin voorop; andere landen overwegen soortgelijke maatregelen. Organisaties moeten hierdoor hun incidentresponseplannen, verzekeringsdekking en herstelstrategieën aanpassen aan strengere rapportageverplichtingen.

“Europa staat voor grote uitdagingen op het gebied van cybersecurity: toenemende aanvallen door schurkenstaten, hacks die kritieke organisaties wekenlang verlammen en afnemend vertrouwen in technologie van buiten Europa. Voor het versterken van onze digitale weerbaarheid en soevereiniteit is een aanzienlijke intensivering noodzakelijk van de samenwerking tussen overheid en cybersecuritybedrijven. De Nederlandse politiek realiseert zich dat en de meeste politieke partijen hebben hier dan ook aandacht voor in hun verkiezingsprogramma”, zegt Philipp Strasmann, marktleider Noord-Europa en algemeen directeur van Fox-IT, onderdeel van NCC Group.

Het volledige Global Cyber Policy Radar – Edition 4 rapport (oktober 2025) is hier te vinden.