Goede cybersecuritystrategie geeft veiligheid, maar ook zakelijke doelstellingen een boost

Orange Cyberdefense adviseert bedrijven bij het ontwikkelen van zo’n strategie en ondersteunt ook de implementatie en uitvoering. Aan de start van het transitieproces is van belang dat een organisatie openstaat om cybersecurity door een totaal andere bril te bekijken. Als De Geus directies van klanten spreekt, stelt hij ze altijd twee vragen: “De eerste is: Wat zijn je écht grote strategische cybersecurityrisico’s? Daarmee doel ik op een risico dat zo groot is, dat als het misgaat je zaak niet meer kan doordraaien. En dan als tweede: Wat zijn de belangrijkste uitdagingen van jullie business-strategie en wat is de beste manier om ze aan te gaan? De antwoorden vertellen veel en zo kunnen wij in kaart brengen waar binnen die organisatie de grootste winst te behalen is en op welke vlakken het cyberbeleid een boost kan geven aan de zakelijke doelstellingen.”

De komende jaren staan Nederlandse organisaties voor een flinke uitdaging op het gebied van cyberveiligheid door nieuwe, strengere wet- en regelgeving die er aan komt vanuit Brussel. “Veel organisaties zijn daar nog niet klaar voor, maar het biedt ook kansen. Als het toch nodig is om de cyberstrategie grondig aan te passen, benut dat moment dan gelijk om het breder te trekken,” aldus De Geus en Van Heijst.

De strengere wet- en regelgeving gaat specifiek over de EU-richtlijn Network and Information Security 2 (NIS2), met als doel het verhogen van het gemeenschappelijk niveau van cybersecurity. De richtlijn die nu nog geldt, NIS1, werd in 2016 aangenomen en is inmiddels verouderd. NIS1 kenmerkte zich door een voornamelijk operationele uitvoering en verantwoordelijkheid. De vernieuwde richtlijn legt de verantwoordelijkheid voor de uitvoer op het hoogste niveau binnen organisaties.

De EU-Lidstaten hebben tot september 2024 de tijd om NIS2 te implementeren. Dat zorgt voor een groot aantal veranderingen waar de overheid en organisaties in de EU-landen mee aan de slag moeten. Zo moeten nationale overheden de regels veel strenger gaan handhaven en staan er sancties op overtredingen. NIS2 geldt voor veel meer organisaties dan NIS1, dus is er op heel veel plekken werk aan de winkel. Wie eronder valt, moet maatregelen nemen op gebieden als cyberrisicobeheer, incident response en herstel.

Bij Orange Cyberdefense zien ze dat er een hoop werk ligt voor organisaties om op tijd aan de regels te kunnen voldoen. “Er moet over de hele breedte nog heel veel werk worden verzet om klaar te zijn voor NIS2, maar dat is geen onmogelijke opgave. Met een goede strategie legt een organisatie een solide basis, waarop men kan blijven voortbouwen. En als een organisatie erin slaagt om met een strategie te komen waarmee op meerdere gebieden waarde kan worden toegevoegd, kan een bedrijf zomaar flink de vaart erachter krijgen”, aldus De Geus. Van Heijst vult aan: “Dat lukt overigens niet als ze het ‘voldoen aan richtlijnen’ blijven benaderen als een ‘check in the box’. In plaats daarvan moet er een strategie komen die ervoor zorgt dat compliance een integraal onderdeel van de bedrijfsvoering wordt.”

De NIS2-richtlijn fungeert volgens Van Heijst dan ook als effectieve stok achter de deur om iedereen wakker te schudden. Bij de invoering van NIS2 verdwijnt het vrijblijvende karakter en zal er strenger worden gecontroleerd op naleving van de eisen. Sterker nog: als er in de toekomst dingen ernstig misgaan, zijn bestuurders hoofdelijk aansprakelijk. Van Heijst is stellig: “Het is helaas noodzakelijk gebleken dat er streng wordt opgetreden. Het verleden laat zien dat dit toch vaak de meest effectieve wijze is om bewustwording en verbetering te stimuleren.”

Last krijgen met de autoriteiten wil niemand, maar voor een bedrijf is een vertrouwensbreuk met klanten en ketenpartners bijna net zo onwenselijk. Daar kan een ondeugdelijk cybersecuritybeleid wel toe leiden. Het verleden leert ons namelijk dat ondeugdelijke cybersecurity bij één organisatie, desastreuze gevolgen kan hebben voor heel veel anderen in de keten. Zo zorgde een hack bij Solarwinds wereldwijd bij minstens 200 organisaties voor problemen, tot aan de NAVO aan toe. En werden o.a. VodafoneZiggo en de NS eind maart nog getroffen door een groot datalek met persoonlijke gegevens van klanten. Het lek ontstond niet bij VodafoneZiggo of NS zelf, maar in de keten van een van hun leveranciers, die in opdracht van de bedrijven marktonderzoek deed.

Het maakt pijnlijk duidelijk waarom het cyberbeleid van een organisatie in toenemende mate een bepalende factor is bij de keuze met wie zaken wordt gedaan en met wie niet. Volgens De Geus zullen sectoren door deze ontwikkeling ook steeds meer aan zelfregulering doen. “Bedrijven gaan elkaar hierdoor scherp houden, want vrijwel niemand wil nog zaken doen met een partij die de IT-huishouding niet op orde heeft. Een goed functionerend cyberbeleid is dus steeds belangrijker voor de economische levensvatbaarheid van een organisatie.

Dat deze tijd voor organisaties uitdagingen op cybergebied met zich meebrengt is duidelijk. Het is spannend, maar biedt ook de kans om met het gehele bedrijf grote stappen vooruit te zetten, geholpen door een veelomvattende cybersecuritystrategie. Orange Cyberdefense helpt reeds veel bedrijven die hier serieus mee aan de slag willen gaan en de behoefte hebben aan een cyber-aanpak die de digitalisering van hun bedrijf helpt versnellen.

Bij het ontwikkelen en uitvoeren van een veelomvattende cybersecuritystrategie is het hebben van brede en actuele kennis over het snel veranderende cyberlandschap essentieel. “Wat Orange Cyberdefense uniek maakt, is de kennis en inzichten die wij verkrijgen vanuit onze ruim 250 onderzoekers die onze wereldwijde telco netwerken en het internet afzoeken naar nieuwe dreigingsactoren en ontwikkelingen. Dit zetten wij in om onze Nederlanse klanten de beste dienstverlening te bieden, vertelt De Geus. “Zo ontwikkelen wij met de klant een cybersecuritystrategie passend bij de bedrijfsstrategie en sector, ondersteunen wij in het opzetten van robuste processen en systemen en leveren wij managed security diensten die helpen de business uitdagingen op te lossen.”