Strategisch sturen op digitale weerbaarheid
In samenwerking met:
IACS coalitie, Secura, SEQRIT, IBM en Computest
De NIS2 en Operational Technology
De NIS2-richtlijn, in Nederland vertaald naar de Cyberbeveiligingswet (Cbw), is wetgeving van de Europese Unie (EU) die beoogt de beveiliging van netwerken en informatiesystemen verder aan te scherpen. Het is de opvolger van de NIS-directive uit 2016, in Nederland beter bekend als de ‘Wet Bescherming Netwerk- en Informatiesystemen’ (WBNI). De nieuwe EU-richtlijn is een directe reactie op het toenemende dreigingslandschap, waarin cyberaanvallen frequenter en complexer worden. De achtergrond hiervan staat onder andere beschreven in het Cybersecurity Beeld Nederland (CSBN). De NIS2 is specifiek ontworpen om organisaties weerbaarder te maken tegen deze dreigingen door strengere beveiligingseisen te stellen aan organisaties die onder de Cbw vallen.
Valt jouw organisatie onder de Cbw?
Dan moet je, als bestuurder, ervoor zorgen dat jouw organisatie zicht heeft op haar cyberrisico’s en passende en evenredige maatregelen (zorgplicht) treft om de beschikbaarheid, integriteit en vertrouwelijkheid van de informatie besloten in uw netwerken en informatiesystemen te beschermen. De Cbw schrijft daarbij een aantal maatregelen voor die jouw organisatie moet implementeren. Daarnaast moet jouw organisatie geregistreerd staan in het landelijk entiteitenregister (registratieplicht). Dit register is beschikbaar via het NCSC. Verder moet je significante incidenten melden bij de toezichthouder en het CSIRT (meldplicht). Onder significante incidenten vallen incidenten die een ernstige operationele verstoring van de diensten of aanzienlijke financiële verliezen voor de organisatie (kunnen) evenals incidenten waardoor derden aanzienlijke materiële of immateriële schade (kunnen) lijden.
Jouw rol als bestuurder: Sturen op digitale weerbaarheid
Als bestuurder moet je toezien op de naleving van alle verplichtingen onder de Cbw. Zo dien je ervoor te zorgen dat jouw organisatie geregistreerd staat en effectief kan communiceren met toezichthoudende instanties en CSIRT’s (Cyber Security Incident Response Teams - computercrisisteams) bij significante incidenten. Ook dien je op de hoogte te zijn van de cyberrisico’s die jouw organisatie loopt, de beheersmaatregelen die deze risico’s mitigeren goed te keuren en toe te zien op de uitvoering ervan.
Door cyberrisico’s tijdig en continu te monitoren is jouw organisatie in staat om passende en evenredige maatregelen te treffen. Cyberrisicomanagement voor IT en OT is niet anders dan het beheersen van andere bedrijfsrisico’s, hoewel de gevolgen van een cyberaanval vaak ernstiger kunnen zijn vanwege de directe impact op fysieke processen. Als bestuurder heb je de verantwoordelijkheid om ervoor te zorgen dat cyberbeveiliging een kernonderdeel is van de risicobeheerstrategie van jouw organisatie.
Zorg ervoor dat:
1. Je een effectief cyberrisicomanagementproces faciliteert. Richt een duidelijk proces in met een duidelijke set verantwoordelijkheden.
Als eindverantwoordelijke voor de organisatie ben je de eigenaar van dit proces en zal je hierbij nauw betrokken moeten zijn. De Cbw benadrukt dat het beheersen van cyberrisico’s een continu proces is dat blijvende aandacht vereist, net zoals andere operationele of financiële risico’s.
2. Jij en de relevante medewerkers uit jouw organisatie, een goed begrip hebben van jouw OT-systemen, de bedreigingen ten aanzien van jouw OT-systemen en hoe deze te beheersen. Voldoende kennis om risico’s in te schatten en om mitigerende maatregelen goed te keuren en te implementeren is ook een eis vanuit de NIS2. De verplichte opleiding kan jou hierbij helpen.
3. Jij de eindverantwoordelijkheid neemt voor het informatiebeveiligingsbeleid en dit beleid goedkeurt. Dit beleid moet een heldere uiteenzetting zijn van de beheersmaatregelen die jouw organisatie toepast om cyberrisico’s passend, evenredig en afdoende te mitigeren. Naast beleid omtrent risicobeheersing stelt de Cbw een aantal elementen verplicht als onderdeel van jouw informatiebeveiligingsbeleid, waaronder preventieve maatregelen, incidentrespons, opleiding van het management en supply-chain beveiliging. Ook ben je als bestuurder verantwoordelijk voor het controleren van de effectiviteit van jouw informatiebeveiligingsbeleid.
Het bestuur aan het stuur: Cyber als integraal onderdeel van risicomanagement voor OT
Als bestuur wordt van je verwacht dat je voldoende competenties en kennis hebt om te sturen op digitale weerbaarheid. Uiteraard kun je hierbij leunen op verschillende professionals binnen en buiten jouw organisatie. Denk bijvoorbeeld aan jouw CISO (Chief Information Security Officer), die gespecialiseerd is in het cyberrisicobeheersingsproces) of professionals die technische beveiligingsmaatregelen kunnen implementeren. Het is wel aan jou om grip te houden op de digitale weerbaarheid van jouw organisatie. Zoek je handvatten om jouw rol praktisch in te vullen?
Begin door de volgende vragen aan de relevante medewerkers te stellen:
- Zijn al onze OT- en IT-systemen en hun onderlinge afhankelijkheden in kaart gebracht?
- Welke systemen zijn cruciaal voor de bedrijfscontinuïteit?
- Heeft de organisatie een juist en volledig beeld van de mogelijke dreigingen waar onze organisatie mee te maken kan krijgen?
- Hebben we de noodzakelijke risicoanalyses uitgevoerd op onze netwerken en informatiesystemen en worden deze risicoanalyses periodiek herzien?
- Hebben we de uit de risicoanalyses resulterende maatregelen geïmplementeerd?
- Worden onze cyberrisico’s regelmatig geëvalueerd en geprioriteerd?
- Hebben we een strategie voor risicobeperking?
- Zijn er regelmatige kwetsbaarheidsscans en penetratietests uitgevoerd op onze OT-systemen?
- Worden deze resultaten geïmplementeerd in ons risicobeheerplan?
- Hebben we incidentresponsprocedures die specifiek gericht zijn op het beschermen van OT? Voldoet dit aan de tijdslijnen die in Cbw gesteld worden?
- Kunnen we de productie voldoende snel herstellen in geval van een cyberaanval?
Wordt er effectief gecommuniceerd en samengewerkt tussen de OT- en IT-teams?
- Hoe gaan we om met onze leveranciers en externe partijen?
- Hebben we duidelijke beveiligingsrichtlijnen voor derden die toegang hebben tot onze OT-systemen?
- Worden zij gecontroleerd op naleving van beveiligingsmaatregelen inclusief rapportage?
Meer weten?
Wil je meer weten over de Cbw en wat dit betekent voor jouw organisatie?
Wil je actief aan de slag met het sturen op risicomanagement? Op deze pagina vind je meer informatie over het risicomanagementproces en hoe je effectief kunt sturen op effectieve informatiebeveiliging.
Er zijn verschillende handvatten die jouw organisatie kan gebruiken voor het realiseren van passende weerbaarheid op jouw OT-systemen. Bekijk de Routekaart risicomanagement