Menig security partij probeert je ervan te overtuigen dat de urgentie voor het implementeren van de NIS2-regelgeving ontzettend hoog is. Als je alle verhalen moet geloven, moet je zo snel mogelijk mee met de hype en fors gaan inhuren om aankomend onheil het hoofd te bieden. Maar laten we eerlijk zijn. Niet iedereen is overtuigd. En misschien is dat wel terecht?
In Nederland wordt de Europese NIS2-richtlijn geïmplementeerd in de vorm van de Cyberbeveiligingswet (Cbw). We weten inmiddels allemaal wel dat die wet nog niet af is. Wanneer dan wel? De verwachting is ergens komend jaar, maar we hebben al eerder gezien dat uitstel (en ook daadwerkelijke handhaving) tot de mogelijkheden behoort. Logisch dus dat een aantal organisaties vraagtekens zet bij de urgentie van NIS2 en het implementeren van maatregelen.
NIS2 draait niet alleen om security. Het risico op een security incident is feitelijk natuurlijk niet groter zodra de wetgeving intreedt. Dus waarom dan die urgentie?
In dit stuk richt ik me tot de security professional die management moet overtuigen om toch echt aan de slag te gaan, en/of de manager die wil weten of en waarom hij overtuigd moet zijn. Om dat helder te krijgen kijken we naar de praktische kanten waarmee je te maken gaat krijgen bij een hack. En dat is de impact van compliancy op je business kansen en aansprakelijkheid. Want ja – spoiler alert – als je het mij vraagt is NIS2-compliancy zeer urgent. Niet door de komst van nieuwe wetgeving, maar gewoon omdat je jouw beveiliging op orde moet hebben voor een veilige en toekomstgerichte organisatie.
Security is vanzelfsprekend meer dan alleen beschermen tegen een hacker die een mail mee kan lezen. Het is ook beschermen tegen de reputatieschade die uit een incident voorkomt, het voorkomen van onderbreking van bedrijfsprocessen en het voorkomen van fraude.
Aan de buitenwereld laten zien dat jouw organisatie veilig is, is ook steeds belangrijker geworden. En in veel gevallen zelfs (min of meer) verplicht. In de vorm van ISO27001, NEN7510, DORA en tal van andere frameworks. In de verbonden wereld van nu willen partijen in de (productie)keten al vooraf de zekerheid dat hun partner veilig is en geen risico gaat vormen. Vaak is dit verplicht of een pré, en soms is het nog niet relevant omdat de sector er niet om vraagt. Maar, het is wel duidelijk dat deze vraag steeds vaker terugkomt in de aanbestedingen van zowel privaat als overheid.
We weten al wel dat met de nieuwe NIS2-regelgeving de hoeveelheid sectoren en bedrijven waarvoor compliancy een verplichting gaat worden enorm toeneemt. En omdat die bedrijven ook NIS2-compliancy in de hele keten moeten laten zien, gaat dit ook buiten de verplichte entiteiten gelden.
Stel je een aanbesteding voor met een checkvraag: “Zijn jullie NIS2 compliant?” Vink je deze vraag zelfverzekerd af? Ben je er “mee bezig” of kun je gedetailleerd laten zien dat je een realistisch plan aan het uitvoeren bent?
En wat gaan de andere partijen die meedingen hierop kunnen invullen? Als het een harde eis is, waarbij je bewijs moet overhandigen, wat is dan de impact op je concurrentiepositie?
In de markt zien we verschillende niveaus van voorbereiding op NIS2. Hierbij kijken we naar de drie bekende pijlers van: Mens, Proces en Techniek. We bekijken die pijlers over twee assen. Als eerste, hoe volwassen ben ik als organisatie? En als tweede, kan ik dat laten zien indien gevraagd?
Veel organisaties zijn goed bezig als het aankomt op security, maar vinden het lastig om dit ook daadwerkelijk aan te kunnen tonen. Of om hun volgende stappen richting een adequaat niveau concreet te maken.
Stel jezelf, of je manager, de volgende vragen:
Voel je ergens twijfel of onzekerheid na het lezen van bovenstaand stuk? Ik daag je uit om hier met security, legal en management een openhartig gesprek over te hebben. Uiteindelijk komt de juiste actie uit de afweging tussen business risico, security en de wettelijke verplichtingen die straks van toepassing zijn.
Bespreek hierin ook de praktische zaken die een grote rol spelen. Tenzij je al een goed geoliede ISO27001, DORA, etc. procedure hebt lopen is de kans klein dat je snel de vereiste stappen gaat zetten. De vereisten op de gebieden van mens, proces en techniek zijn naar alle maatstaven ambitieus en niet zomaar bereikt.
Is het verstandig om nu fors te budgetteren en met intensieve kennisoverdracht een sprint te trekken om er vroeg bij te zijn? Of spreid je liever het budget en bouw je rustiger intern aan een meer volwassen organisatie? Mijn advies: ga rustig, maar snel aan de slag. Dat wil zeggen; neem even de tijd om de situatie goed inzichtelijk te maken en de roadmap te bepalen, maar zet dit wel bovenaan je prioriteitenlijst en begin spoedig met de doorontwikkeling van jouw compliancy. Je hoeft niet als eerste over de finishlijn te komen, maar iedere dag dat je risico loopt is er één te veel.
Neem vooral ook de andere meerwaarde van een goed lopend systeem mee in je overweging. ‘In control’ zijn met security = in control zijn van je IT. Weten wat er speelt en dat kunnen laten zien heeft ook intern grote voordelen. Denk aan het meetbaar en zichtbaar maken van ROI’s, fors lagere auditkosten, fraude & diefstal voorkomen (intern als extern, en je veilige bedrijfsvoering inzetten als pré in sales, bij verzekeringen, leningen, etc.
Compliancy is een complex verhaal, zeker als er wetgeving bij komt kijken. Bij One Zero IT decompliceren we jouw compliancy-vraagstuk snel naar een operationele oplossing. Dat wil zeggen: we ontleden jouw security uitdaging, lossen die op en leveren de oplossing gebruiksklaar aan je team op. De ervaren Glorious Security Consultants weten hoe samen een roadmap opstellen het beste werkt én kunnen helpen met het uitvoeren ervan. Wil je vrijblijvend in gesprek over jouw voortgang met betrekking tot NIS2 en wat mijn advies is voor de volgende stap? Feel the glory, let’s connect.
Steijn
‘Mijn doel is dat de IT manager en CEO rustig kunnen slapen als het gaat om security in de breedste zin van het woord. Door overlap van de chapters cloud, connectivity en cybersecurity zorgt One Zero IT ervoor dat je van A tot Z wordt ontzorgt in het veilig maken en houden van je bedrijf.’
