ICT TriOpSys is onderdeel van ICT Group

Naar een veiliger digitaal tijdperk: de belangrijkste inzichten over cyberweerbaarheid

In een wereld die steeds meer digitale dreigingen kent, is het versterken van de cyberweerbaarheid urgenter dan ooit. Tijdens de ronde tafel voor ZBO’s kwamen enkele essentiële vragen aan bod: Wat is er nodig om beter bestand te zijn tegen cyberaanvallen? Hoe draagt de NIS2-richtlijn hieraan bij? Hoe realiseren we de nodige verandering in technologie en bedrijfscultuur? En welke sleutelrol spelen onze CISO’s hierin?

Dit artikel deelt de belangrijkste inzichten die tijdens de ronde tafel naar voren kwamen, en biedt concrete handvatten voor ZBO’s om hun digitale veiligheid te waarborgen.


Belangrijkste inzichten:

  1. De rol van de CISO steeds belangrijker en invloedrijker.
    De Chief Information Security Officer (CISO) is essentieel in het navigeren van organisaties door het complexe landschap van cybersecurity. Hun verantwoordelijkheid omvat het ontwikkelen van een strategisch cybersecuritybeleid, het bevorderen van bewustwording en het waarborgen van compliance met relevante wet- en regelgeving, zoals de NIS 2-richtlijn. Dit vraagt technische competenties, en in toenemende mate leiderschapskwaliteiten om een cultuur van cyberbewustzijn te bevorderen.

    Daarnaast is de CISO dé belangrijkste persoon om het dagelijkse bestuur binnen de organisatie inzicht te geven en mee te krijgen in de prioritering van de bedrijfsrisico’s. Zeker met de komst van de NIS 2-richtlijn, wat cybersecurity meer dan ooit prioriteit voor het hoogste bestuursniveau maakt.


  2. Cyberweerbaarheid vereist meer dan compliance-denken.
    Het cultiveren van een cultuur van proactieve cyberweerbaarheid vereist dat organisaties voorbij compliance kunnen denken. Hierbij is een integrale benadering van cybersecurity essentieel, waarbij niet alleen technische maatregelen centraal staan, maar ook risicomanagement en de betrokkenheid van het bestuur.

    Organisaties moeten hun specifieke bedreigingslandschap analyseren, proactief handelen en samenwerken met andere organisaties en experts om kennis te delen en gezamenlijk sterker te staan tegen cyberdreigingen. Hierin is gesproken over verscheidende organisaties die kunnen faciliteren in kennis zoals het NCSC, de AIVD, de toezichthouder, het beleidsdepartement en commerciële bedrijven. Daarnaast is onderlinge samenwerking bij ZBO organisaties van extra meerwaarde, aangezien ze een speciale rol zijn binnen de overheid. Het is daarom nog maar de vraag of de NIS2 overal uniform zal worden geïmplementeerd.


  3. NIS2 richtlijn brengt nog onduidelijkheden met zich mee.
    De NIS2-richtlijn streeft naar het verbeteren van de digitale en economische weerbaarheid van Europese lidstaten. Veel aanwezigen waren op zoek naar helderheid over de eisen van de NIS2 en hoe zij alvast hun bestuur kunnen voorbereiden op compliance. De onzekerheid of bepaalde organisaties aan de richtlijn moeten voldoen, was een terugkerend thema, evenals de praktische uitdagingen bij het implementeren van de richtlijn.

    Voor een succesvolle implementatie is het van belang dat organisaties duidelijkheid hebben over de eisen en hoe deze toe te passen in hun specifieke context. Dit vereist een proactieve houding en aanpassingsvermogen aan de steeds veranderende aard van cyberdreigingen.

    Belangrijke kenmerken waarover reeds nagedacht kan worden zijn de holistische aanpak van cybersecurity in de gehele organisatie en leveranciersketen, een goede procesinrichting voor het doen van cyberincident meldingen naar onder andere het NCSC, de Autoriteit Persoonsgegevens of de toezichthouder. Daarnaast kan er reeds nagedacht worden hoe om te gaan met de vereiste cybersecurity kennis van bestuurders en hun aansprakelijkheid hierbij.



“Bewustwording begint in de bestuurskamer”

Merijn Carmiggelt van TriOpSys wees op het cruciale belang van het creëren van een cultuur van cybersecuritybewustzijn binnen organisaties, een aspect dat vaak over het hoofd wordt gezien maar essentieel is voor een effectieve verdediging tegen cyberdreigingen.

Carmiggelt benadrukte dat training en bewustwording niet alleen gericht moeten zijn op de IT-afdeling of cybersecurityteams, maar juist ook op bestuurders en leidinggevenden. Bestuurders beslissen over cybersecurity-investeringen en moeten daarom het belang ervan inzien, en hun voorbeeldgedrag beïnvloedt positief de organisatiecultuur rond cybersecurity.

Een andere factor die wordt onderschat, is het belang van continuïteit bij bewustwordingstrainingen. Cyberdreigingen evolueren constant, en wat vandaag een effectieve verdedigingsstrategie is, kan morgen verouderd zijn. Zeer behulpzaam hierin is het, minimaal jaarlijks, oefenen van cyberincidenten. Betrek hierbij het volwaardige crisisteam inclusief bestuursleden. Door met elkaar een casus te doorlopen en hierover de dialoog te voeren geven deelnemers een gevoel van urgentie en nieuwe inzichten.


“Basisbeveiliging staat onder druk door hackers en malware”

Goede beveiliging: het klinkt vaak eenvoudiger dan het is. René Valstar van FOX-IT gaf een kijkje in de wereld van ethical hacking en de complexiteit die gepaard gaat bij de aanval-verdediging dynamiek.

“Beschikbaarheid, integriteit en vertrouwelijkheid – de basis van goede beveiliging – staan onder druk staan door hackers en malware.” Valstar gaf inzicht in de strijd tussen de ‘blauwe’ (verdedigende) teams, die onze gegevens beschermen, en de ‘rode’ (aanvallende) teams, die aanvallen nabootsen om de beveiliging te testen. Deze oefeningen tussen ‘blauw’ en ‘rood’ helpen organisaties om hun zwakke plekken te vinden en te verbeteren voordat echte hackers dit doen.

Valstar onderstreept het belang van bewustzijn over cybersecurity binnen het hele bedrijf. Iedereen moet weten hoe ze aanvallen kunnen herkennen en melden. Organisaties moeten alert blijven op nieuwe dreigingen en bereid moeten zijn om te investeren in de nieuwste beveiligingstechnologieën. Zo blijven ze hackers altijd een stap voor en zorgen ze ervoor dat hun gegevens veilig zijn.


Conclusie

De ronde tafel over “Cyberweerbaarheid en NIS2-richtlijn voor ZBO’s” schijnt licht op de essentiële aspecten van cybersecurity in het huidige digitale tijdperk. Met de NIS 2-richtlijn als kader, is het duidelijk dat een geïntegreerde aanpak, die zowel compliance als proactieve strategieën omvat, cruciaal is voor de toekomstige cyberweerbaarheid. Het pad vooruit vereist niet alleen technologische aanpassingen, maar ook een culturele verschuiving binnen organisaties, waarbij de rol van CISO’s onmiskenbaar centraal staat.