De beste cybersecurity komt van boven
Met de NIS2-richtlijn heeft de EU als doel om de digitale weerbaarheid van bedrijven en organisaties te vergroten. Dat biedt mooie kansen voor bestuurders. ‘Maar als de mensen boven in de organisatie het belang van security niet goed aangeven, gaan de mensen eronder het nooit goed uitvoeren.’
Cybersecurity is niet alleen een technische kwestie, maar vooral ook een procesmatige en menselijke aangelegenheid. En daarmee dus een bestuurlijke. En dus kan cybersecurity nooit de verantwoordelijkheid zijn van enkel de ict’ers en Chief Information Security Officer (CISO) in een organisatie. De zorgplicht in de NIS2-richtlijn onderschrijft dit. Bedrijven en organisaties die onder NIS2 vallen (zie kader) moeten zelf een risicobeoordeling uitvoeren op de netwerk- en informatiesystemen die zij gebruiken. Vervolgens moeten zij zelf maatregelen nemen voor de beveiliging daarvan om incidenten te voorkomen, maar ook om de gevolgen van incidenten te beperken voor hun afnemers. De verantwoordelijkheid met betrekking tot de goedkeuring van de maatregelen en toezicht daarop liggen bij het bestuur van de organisatie. Een onafhankelijk toezichthouder beoordeelt de naleving ervan. Met als gevolg dat cyberbeveiliging ook juridisch een kwestie geworden is voor de bedrijfstop.
Concurrentievoordeel
‘Hier liggen mooie kansen voor bestuurders, want wie compliant is met de NIS2 heeft een voordeel op de concurrent’, zegt een opgewekte Matthijs van der Wel–ter Weel, strategisch adviseur bij cybersecuritydienstverlener Orange Cyberdefense. Hij ziet zelfs een tweede voordeel van de strengere eisen die NIS2 oplegt aan bedrijven en organisaties. ‘De NIS2 vormt een goede aanleiding om cybersecurity echt goed te verankeren in de organisatie. Ja, bestuurders kunnen nu hoofdelijk aansprakelijk gesteld worden, maar dat moet niet de drijfveer zijn om compliant te zijn. Gebruik de NIS2 als een impuls om het belang van cybersecurity voor de organisatie uit te dragen. Want security werkt alleen top-down. Als de mensen boven in de organisatie het belang van security niet goed aangeven, gaan de mensen eronder het nooit goed uitvoeren.’
Communicatie
Dat is niet zo gek, zegt Van der Wel-ter Weel, want de mensen in de organisatie zijn bezig met hun eigen taak of maatschappelijke opgave. ‘Cybersecurity is niet hun dagelijks werk en zij zien het als een technisch onderwerp. Maar cybersecurity is veel meer dan dat.’ Collega Mark Hupkens weet daar alles van. Hij is Consulting & Advisory Lead Secure Enterprise Management, en kent alle zaken die nodig zijn om security op een goede manier in te richten in een organisatie. Communicatie is het eerste om onderling op orde te krijgen, zegt hij. ‘De security-afdelingen hebben hun zaken technisch inmiddels wel goed op orde. Die kloppen nu aan bij hun managers en directeuren met de vraag om een governance-structuur, de manier waarop cybersecurity gaat landen en leven in een organisatie. Maar die twee spreken een heel eigen taal. De ict’ers weten niet precies hoe ze de managementlaag moeten bedienen en hoe zij die op de juiste manier van informatie moeten voorzien. Daar zit een mismatch. Management en CISO’s moeten elkaar verstaan en begrijpen. En dat vraagt van topmanagement dat zij de taal leren die daarbij hoort en de bedreigingen leren zien die cybersecurity probeert te mitigeren.’
Open dankzij NIS2
Bestuurders zijn verantwoordelijk voor de gezondheid van een organisatie en dus het is niet zo vreemd dat ze daarop worden gewezen. Van der Wel-Ter Weel zegt: ‘We praten over de primaire bedrijfsprocessen, die moeten blijven draaien en dat is wat cybersecurity moet beschermen. Het is aan bestuurders om te beseffen: waar verdienen wij ons geld mee en waar kan dat door verstoord worden? NIS2 wordt dan in feite een vergunning om te blijven draaien, een license to operate. Want ook al hoef je zelf niet aan de NIS2 te voldoen, jouw klanten die dat wel moeten, kunnen eisen dat je NIS2-compliant bent. Dus hoe eerder je daarmee begint, hoe sneller dat concurrentievoordeel binnen is.’ De vertaling van de Europese richtlijn naar Nederlandse wetgeving laat nog even op zich wachten, maar naar verwachting komt er medio 2025 een Cyberbeveiligingswet (Cbw) die toegesneden is op de nationale situatie.
Geen AVG
Een vergelijking met de AVG dringt zich op. Voortgekomen uit de Europese richtlijn GDPR, maakte de dreiging van sancties de onderwerpen gegevensbescherming en privacy opeens actueel voor bestuurders. Van der Wel-Ter Weel: ‘Als ik als bedrijf zakelijke gegevens ga uitwisselen met een ander bedrijf, dan zorgen we ervoor dat we beide AVG-compliant zijn. Dat staat tegenwoordig gewoon in de inkoopvoorwaarden.’ Een vermelding van ‘Cbw-compliant’ komt er ongetwijfeld, maar toch is de NIS2 een ander beestje dan de GDPR. De richtlijn kent bijvoorbeeld meerdere toezichthouders, terwijl de AVG alleen de Autoriteit Persoonsgegevens heeft.’
Meldplicht met hulp
Vanuit de overheid zijn er de CSIRT’s, de ‘computer security incident response teams’. Bedrijven en organisaties die onder de Cyberbeveiligingswet vallen hebben recht op advies en bijstand van een CSIRT. Hupkens licht toe: ‘Naast een zorgplicht is er ook een meldplicht. Wanneer een CSIRT een melding ontvangt, is het ook verplicht om de melder te helpen.’ Dat kan met informatie-uitwisseling, zoals het verstrekken van vroegtijdige waarschuwingen, meldingen en aankondigingen, maar ook met het verspreiden van informatie over cyberdreigingen, kwetsbaarheden en incidenten. En omdat de hele keten verantwoordelijk is voor het veilig houden van die keten, zijn er samenwerkingsverbanden en brancheorganisaties waar de losse schakels terecht kunnen voor hulp.
Doe het samen
Partijen die samenwerken met Schiphol kunnen lid worden van CYSSEC (Cybersecurity Synergie Schiphol Ecosysteem), de Rotterdamse Haven heeft FERM. De tuinbouw heeft het Cyber Weerbaarheidscentrum Greenport, de hightech- en maakindustrie het Cyber Weerbaarheidscentrum Brainport. Kortom, niemand hoeft het alleen te doen. De grote banken zijn wat dat betreft een mooi voorbeeld, zegt Hupkens. ‘Zij hebben met elkaar afgesproken dat ze op alles met elkaar concurreren, behalve op security. Dat besef zou op meer plekken moeten landen.’
De juiste vraag
Maar eerst koffie drinken met de CISO, zegt Van der Wel. ‘En vraag dan vooral niet of je als bedrijf veilig bent, want veilig zijn we nooit. Vraag liever waar je organisatie onverantwoord risico loopt en hoe je dat gaat aanpakken. Praat samen over de risico’s en de kansen. Als bestuurder heb je een andere blik en die is ook nodig.’ Ga als CISO dus niet zitten wachten tot er op de deur wordt geklopt, maar neem ook zelf actie. Stap naar de bestuurders, werk samen aan het dichten van de kloof tussen bestuurlijke en operationele zaken. Bespreek ook de rol van toeleveranciers, ga ook met hen aan tafel zitten. ‘Een cultuur van openheid is noodzakelijk voor cybersecurity’, zegt Hupkens. ‘Je wilt dat medewerkers durven rapporteren als er iets niet goed is gegaan. Of wanneer ze ergens een risico zien. Als iemand op een phishing mail heeft geklikt moet je niet straffen, maar die persoon bedanken voor de kans de security te verbeteren.’
Risicogedreven werken
Zicht op de risico’s is cruciaal voor gezonde cybersecurity. Ken de primaire processen, weet waardoor ze verstoord kunnen worden, neem maatregelen. Hupkens voegt toe: ‘De EU wil een veilige, gezonde infrastructuur die overeind blijft wanneer het een keer echt misgaat. Wet- en regelgeving is het middel dat zij daarvoor heeft. Daarmee leggen we samen een fundament dat stevig genoeg moet zijn onder de immer verdergaande digitalisering.’ Van der Wel knikt bevestigend. ‘We gaan niet minder digitaliseren. Daar kunnen we van alles van vinden, maar dat vliegwiel is in gang gezet en versnelt alleen maar. Pak dus nu de kansen.’
Van richtlijn naar wetgeving
Een belangrijk verschil met voorgangerrichtlijn Network and Information Security (NIS) is dat de NIS2 op meer economische sectoren van toepassing is. NIS2 geldt voor zo’n 150.000 Europese organisaties, tien keer zo veel als bij NIS1. NIS2 spreekt van essentiële (zeer kritieke) en belangrijke (kritieke) sectoren. Voor ieder bedrijf en organisatie zijn de eisen rondom cybersecurity strenger, maar de hoogte van de sancties bij niet-naleving verschilt. Onder zeer kritiek vallen ‘entiteiten’ in de sectoren energie, transport, bankwezen, infrastructuur financiële markt, gezondheidszorg, drinkwater, digitale infrastructuur, beheerders van ICT-diensten, afvalwater, overheidsdiensten, lokale overheden en ruimtevaart. Meer informatie hierover vind je op de site van de NCTV.