Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

Cyber norms

Concepten

Internationale afspraken op het terrein van gedrag van landen in cyberspace. Bijvoorbeeld over het gebruik van cyber defense, cyber offense of capacity building.

In de fysieke wereld zijn er verdragen en internationale afspraken die bepalen hoe landen zich dienen te gedragen, ook in tijden van conflict. Maar hoe zit dat in cyberspace? Cyber norms, oftewel cybernormen, zijn internationale gedragsregels die bepalen wat verantwoordelijk gedrag is voor staten in de digitale ruimte. Deze normen zijn ontwikkeld onder auspicien van de Verenigde Naties en vormen het raamwerk waarbinnen landen afspraken maken over wat acceptabel is en wat niet in cyberspace. Hoewel ze juridisch niet bindend zijn, hebben ze een belangrijke politieke en diplomatieke waarde als richtinggevend kader voor internationaal cyberbeleid en vormen ze de basis voor toekomstige internationale cyberverdragen.

De ontwikkeling van cyber norms begon in 2004 toen de VN de eerste Group of Governmental Experts (UN GGE) oprichtte om te onderzoeken hoe bestaand internationaal recht van toepassing is op cyberspace. Na meerdere rondes van intensieve onderhandeling resulteerde dit in 2015 in een set van elf normen voor verantwoordelijk staatsgedrag in cyberspace, die in 2021 opnieuw werden bevestigd door de internationale gemeenschap. Van deze elf normen moedigen er acht specifiek gedrag aan, terwijl drie normen bepaalde acties verbieden. De normen adresseren onderwerpen zoals het beschermen van kritieke infrastructuur, het niet toestaan van cyberaanvallen op andere landen, en het bevorderen van internationale samenwerking bij cyberdreigingen.

Waarom zijn cyber norms belangrijk?

Cyber norms zijn essentieel omdat cyberspace geen natuurlijke grenzen kent en een fundamenteel ander domein is dan land, zee of lucht. Een cyberaanval kan vanuit elk land ter wereld worden gelanceerd en binnen milliseconden systemen aan de andere kant van de wereld treffen, zonder dat er fysieke grenzen worden overschreden. Zonder internationale afspraken over wat acceptabel gedrag is, dreigt een digitale anarchie waarin staten ongecontroleerd cyberoperaties uitvoeren tegen elkaar, met potentieel verwoestende gevolgen voor de mondiale stabiliteit.

De normen beschermen specifiek vitale processen en kritieke infrastructuur wereldwijd. Een van de kernprincipes is dat staten geen cyberoperaties mogen uitvoeren die de kritieke infrastructuur van andere landen beschadigen, zoals energienetwerken, watervoorziening, financiele systemen of gezondheidszorginfrastructuur. Dit is bijzonder relevant voor Nederland, waar een groot deel van de vitale infrastructuur digitaal is aangestuurd en daarmee kwetsbaar is voor cyberaanvallen vanuit het buitenland.

Cyber norms bieden ook een diplomatiek instrument voor het aanspreken van staten op kwaadaardig cybergedrag. Wanneer een land de normen schendt door bijvoorbeeld een cyberaanval uit te voeren op de kritieke infrastructuur van een ander land, kunnen andere landen dit publiekelijk veroordelen en diplomatieke consequenties verbinden aan het gedrag. Dit mechanisme van naming and shaming draagt bij aan het creeren van verantwoordelijkheidsgevoel in cyberspace en verhoogt de politieke kosten van kwaadaardig cybergedrag.

Voor organisaties en bedrijven hebben cyber norms een indirect maar significant effect op hun dagelijkse cybersecurity-praktijk. De normen beinvloeden nationale cybersecurity-strategieen en wet- en regelgeving. De NIS2-richtlijn en de Nederlandse Cyberbeveiligingswet zijn deels geinspireerd door internationale afspraken over het beschermen van digitale infrastructuur en het bevorderen van samenwerking bij cyberincidenten. Door te begrijpen hoe cyber norms werken, krijg je beter inzicht in de richting van toekomstig cyberbeleid dat ook jouw organisatie raakt.

Hoe worden cyber norms toegepast?

De toepassing van cyber norms vindt plaats op meerdere niveaus, van de vergaderzalen van de Verenigde Naties tot de cybersecurity-strategieen van individuele landen. Op internationaal niveau worden de normen besproken en verfijnd binnen VN-werkgroepen, waarbij alle lidstaten een stem hebben. De Open-Ended Working Group (OEWG) is het huidige forum waar landen werken aan de verdere ontwikkeling, implementatie en operationalisering van de normen.

Op nationaal niveau vertalen landen de cyber norms naar hun eigen cybersecurity-strategieen, wetgeving en institutionele kaders. Nederland heeft dit gedaan via de Nederlandse Cybersecurity Strategie, waarin de principes van verantwoordelijk staatsgedrag in cyberspace zijn verankerd. Dit omvat het beschermen van vitale infrastructuur, het bevorderen van internationale samenwerking, het opbouwen van nationale cyberweerbaarheid en het investeren in capaciteitsopbouw bij partnerlanden.

Capaciteitsopbouw is een belangrijk onderdeel van de implementatie van cyber norms. Niet alle landen hebben dezelfde mogelijkheden om hun cyberruimte te beveiligen en de normen na te leven. Ontwikkelde landen ondersteunen minder ontwikkelde landen bij het opbouwen van cybersecurity-capaciteiten, zodat de normen wereldwijd effectief kunnen worden nageleefd. Nederland is een van de meest actieve landen in capaciteitsopbouwprogramma's, onder andere via het in Den Haag gevestigde Global Forum on Cyber Expertise (GFCE).

Vertrouwenwekkende maatregelen (Confidence Building Measures) helpen bij het voorkomen van misverstanden en escalatie in cyberspace. Deze omvatten het uitwisselen van informatie over nationale cybersecurity-organisaties en contactpunten, het opzetten van communicatiekanalen voor het snel bespreken van cyberincidenten en het delen van best practices voor het beschermen van kritieke infrastructuur. Deze maatregelen verkleinen het risico dat een cyberincident escaleert tot een diplomatiek conflict door miscommunicatie.

In de praktijk

De toepassing van cyber norms is zichtbaar in concrete internationale ontwikkelingen van de afgelopen jaren. Na grote cyberaanvallen zoals NotPetya en WannaCry, die wereldwijd miljarden euro's aan schade veroorzaakten, hebben meerdere landen de aanvallende staten publiekelijk aangewezen en veroordeeld op basis van de schending van cyber norms. Nederland speelde een bijzonder belangrijke rol bij de publieke attributie van de aanval op de Organisatie voor het Verbod op Chemische Wapens (OPCW) in Den Haag door de Russische militaire inlichtingendienst GRU in 2018.

De Global Commission on the Stability of Cyberspace (GCSC), mede opgericht door het Nederlandse HCSS, heeft aanvullende normen ontwikkeld die de VN-normen versterken en concretiseren. Deze omvatten specifieke richtlijnen voor het beschermen van de publieke kern van het internet, het tegengaan van botnets, het beschermen van electorale processen tegen cyberdreigingen en het verbod op het misbruiken van de ICT-toeleveringsketen voor kwaadaardige doeleinden.

In de praktijk blijkt dat het afdwingen van cyber norms de grootste uitdaging blijft. Er bestaat geen internationaal cyberrechtshof dat schendingen kan berechten en er zijn geen automatische sanctiemechanismen. De effectiviteit van de normen hangt af van diplomatieke druk, collectieve veroordelingen en het vermogen van staten om cyberaanvallen te attribueren aan specifieke actoren. Dit maakt het proces van normhandhaving complex, maar het groeiende aantal publieke attributies toont aan dat landen steeds bereidwilliger zijn om schenders aan te spreken.

Voor de Nederlandse cybersecurity-sector betekenen cyber norms dat er een internationaal kader bestaat waarbinnen dreigingsinformatie wordt gedeeld en internationale samenwerking wordt bevorderd. Organisaties die actief zijn in de vitale infrastructuur merken de invloed van cyber norms via strengere regelgeving en hogere beveiligingseisen die voortvloeien uit deze internationale afspraken. Het begrijpen van cyber norms helpt je om te anticiperen op toekomstige regelgeving en je cybersecurity-strategie hierop af te stemmen.

Veelgestelde vragen

Zijn cyber norms juridisch bindend voor landen?

Nee, het zijn politiek bindende afspraken zonder juridische afdwingbaarheid via een rechtbank.

Hoeveel cyber norms zijn er vastgesteld door de VN?

De VN heeft elf normen voor verantwoordelijk staatsgedrag in cyberspace vastgesteld.

Wat gebeurt er als een land cyber norms schendt?

Andere landen kunnen de schending publiekelijk veroordelen en diplomatieke maatregelen nemen.

Gelden cyber norms ook voor bedrijven en individuen?

Nee, de normen richten zich primair op staten maar beinvloeden indirect nationale wetgeving.

Werkt Nederland actief mee aan de ontwikkeling van cyber norms?

Ja, Nederland is actief via de VN-werkgroepen, het GFCE en eigen diplomatieke initiatieven.

Wil je meer weten over hoe internationale afspraken jouw cybersecurity-strategie beinvloeden? Ontdek alle relevante begrippen in het cyberwoordenboek op IBgidsNL.