Aan de slag met groeigerichte raamwerken
Doelgroep:
Dit artikel is voor professionals die verantwoordelijk zijn voor de digitale weerbaarheid van hun organisatie en een eerste stap willen zetten om procesmatig en gestructureerd te werken aan digitale weerbaarheid door het toepassen van een groeigerichte raamwerk.
In samenwerking met:
Centrum voor Criminaliteitspreventie en Veiligheid (het CCV)
Definities:
Een risicomanagementraamwerk helpt organisaties om hun digitale weerbaarheid beter te begrijpen en verbeteren. Het bestaat uit principes, uitgangspunten, denkwijzen, processen en afspraken die een organisatie kan gebruiken voor het omgaan met veiligheidsrisico’s.
Groeigerichte raamwerken vallen onder de risicomanagementraamwerken en richten zich op het stapsgewijs behalen van een (eind)doel. Het raamwerk kenmerkt zich door het bieden van verschillende niveaus. Hierdoor hebben organisaties de mogelijkheid om vanuit hun huidige situatie, afhankelijk van de verwachte toekomstperspectieven, markteisen, of organisatiedoelstellingen, een passend digitaal niveau voor zichzelf te selecteren.
Achtergrond
“Waar moet ik beginnen?!” is een vraag die vaak gesteld wordt bij organisaties die aan het begin staan van hun reis naar digitale weerbaarheid. Doordat IT vaak niet de core business is en IT-omgevingen steeds complexer worden, is het voor veel organisaties een uitdaging om te bepalen welke stappen zij moeten nemen om tot een passend niveau van digitale weerbaarheid te komen. Een raamwerk helpt bij het structureren van deze reis. Maar door de grote hoeveelheid raamwerken is het, met name voor beginnende organisaties, lastig om het juiste raamwerk te selecteren dat past bij de behoefte.
Dit is een gemiste kans, want een raamwerk biedt juist de structuur die je nodig hebt om een begin te maken met een passend niveau van digitale weerbaarheid. Zonder zo’n houvast ontbreekt overzicht en samenhang in maatregelen, ontstaan blinde vlekken en neemt de kans op en impact van incidenten toe. In het uiterste geval kan dit zelfs de continuïteit van de organisatie in gevaar brengen.
Een groeigericht raamwerk is een middel dat beginnende organisatie helpt om stapsgewijs en gestructureerd de digitale weerbaarheid te verbeteren. Aan de hand van een groeigericht raamwerk, bouwt een organisaties eerst aan het fundament van digitale weerbaarheid. Daarmee ga je de meest gangbare risico’s tegen. Vervolgens werkt de organisatie verder naar een niveau van digitale weerbaarheid dat bij die organisatie past.
Dit artikel biedt handvatten om twee groeigerichte raamwerken te vergelijken en te bepalen welk raamwerk het beste past bij jouw organisatie. Aan de hand van twee fictieve organisaties laten we zien hoe het keuzeproces in de praktijk werkt en hoe raamwerken bijdragen aan het gestructureerd verbeteren van jouw digitale weerbaarheid.
Een groeigericht raamwerk selecteren
Met een groeigericht raamwerk kiezen organisaties zelf een start- en eindpunt. We beschrijven hoe een groeigericht raamwerk helpt om stapsgewijs te groeien in digitale weerbaarheid.
Kenmerken van een groeigericht raamwerk zijn:
- Relatief lage instapkosten
- Specifieke maatregelen en instructies
- Groeipad naar een complexer/volledig raamwerk
- Onderdeel van wettelijke en/of contractuele eisen.
Voorbeelden die genoemd worden zijn CyberFundamentals (CyFun) van het Centrum voor Cybersecurity België (CCB) en CYberRAting (CYRA) van het Centrum voor Criminaliteitspreventie en Veiligheid (het CCV).
Twee raamwerken en twee fictieve organisaties
Voor dit artikel hebben we ervoor gekozen om twee groeigerichte raamwerken (die in Nederland worden gebruikt) te beschrijven die gezamenlijk en aansluitend alle groeiniveaus dekken vanaf een eerste stap in informatiebeveiliging tot aan het toepassen van een volledig raamwerk zoals de ISO-27001.
Dit zijn:
1. De Risicoklassenindeling Digitale Veiligheid (RKIDV)
2. De CyberRAting (CYRA)
Ook introduceren we twee fictieve organisaties die effectiever willen werken aan hun digitale weerbaarheid. Hoe de organisaties dit gaan doen, welke mogelijkheden ze hebben, en welke afwegingen en keuzes ze maken, maken we beeldend aan de hand van twee uitgewerkte verhaallijnen in de volgende hoofdstukken.
In hoofdstuk 3 gaat Optimaal bv aan de slag met de RKIDV, wat goed past bij een organisatie die laagdrempelig wil beginnen met procesmatiger werken aan digitale weerbaarheid.
Optimaal bv ontwikkelt gespecialiseerde software voor sorteercentra binnen de logistieke sector.
Het bedrijf levert uitsluitend de software en voorziet klanten van updates via e-mail. De klant is zelf verantwoordelijk voor installatie, beheer en dagelijks gebruik. Optimaal bv verwerkt persoonsgegevens van klanten of partners, maar slaat geen bijzondere persoonsgegevens op. Wel slaat Optimaal bv bedrijfsgevoelige informatie op, zoals intellectueel eigendom en bedrijfsvoeringgegevens van klanten.
De systemen van Optimaal bv zijn toegankelijk voor medewerkers met beveiligde externe inlogmogelijkheden.
Optimaal bv heeft data dat uitsluitend binnen Nederland wordt verwerkt. De IT-infrastructuur van het bedrijf is niet verbonden met productieapparatuur.
In het geval van een cyberincident komen kritieke processen na twee dagen in het geding, voor de klant belangrijke updates worden namelijk regelmatig (ad hoc) verstrekt. Optimaal bv verkoopt geen producten via apps of websites en heeft geen activiteiten buiten de EU.
In hoofdstuk 4 gaat GeldWijs bv met CYRA aan de slag omdat het wellicht op termijn wilt doorgroeien naar een ISO-27001 certificering.
GeldWijs bv is een IT-dienstverlener voor de financiële sector, gespecialiseerd in het maken van softwareapplicaties. Het bedrijf levert daarnaast beheerpakketten waarmee medewerkers ondersteuning krijgen bij het gebruik van de software. Via remote support kan GeldWijs bv meekijken om problemen snel op te lossen.
GeldWijs bv ziet bijzondere persoonsgegevens tijdens de ondersteuningsprocessen met medewerkers en verwerkt ook persoonsgegevens in haar activiteiten. Bedrijfskritieke processen zijn gekoppeld aan het internet en bij een cyberincident moet het systeem na twee dagen wel weer online zijn.
GeldWijs bv heeft data dat uitsluitend binnen Nederland wordt verwerkt. GeldWijs bv verkoopt geen producten via apps of websites en heeft geen internationale vestigingen. Een aantal belangrijke klanten van GeldWijs bv valt onder de NIS2-richtlijn.
Optimaal bv: Groeigericht raamwerk RKIDV
Optimaal bv neemt de eerste stappen.
Optimaal bv vraagt zich af met bijna dagelijks nieuws over (toenemende) digitale dreigingen of het genoeg doet op het gebied van informatiebeveiliging. Optimaal bv is tegenwoordig vaak in gesprek met haar stakeholders over het onderwerp en spreekt de ambitie uit om effectiever te werken aan digitale weerbaarheid.
Een probleem waar Optimaal bv mee worstelt is om passende maatregelen te vinden en erachter te komen wat voldoende is voor haar specifieke situatie.
Optimaal bv is lid van de Community, een online platform waar kennis gedeeld wordt over cybersecurityvraagstukken, en deelt het probleem met anderen. De leden van de Community stellen voor dat Optimaal bv kijkt naar de Risicoklasse-indeling Digitale Veiligheid (RKIDV).
De Risicoklassenindeling Digitale Veiligheid (RKIDV) gebruikt een risicoclassificatiemodel dat geschikt is voor kleine(re) organisaties. Het helpt ondernemers, verzekeraars en leveranciers de kans op een cyberincident in te schatten en de juiste beveiligingsmaatregelen te nemen.
Een organisatie vult om te beginnen een vragenlijst in, met negen concrete vragen waarmee een inschatting wordt gemaakt hoe groot het risico is op een cyberincident. Deze inschatting bepaalt in welke risicoklasse (1 t/m 4) je onderneming valt en welke maatregelen er genomen moeten worden om je digitale weerbaarheid op orde te hebben.
De RKIDV zien we als een groeigericht raamwerk. Het raamwerk is ook geschikt voor kleine organisaties. Als de organisatie of de omstandigheden veranderen kan het zijn dat een organisatie door de RKIDV in een hogere risicoklasse terechtkomt met andere of meer maatregelen. Het kan ook zijn dat een organisatie de RKIDV ontstijgt en dat andere raamwerken passender zijn.
Optimaal bv begint met de RKIDV
Optimaal bv bezoekt de website en begint aan de vragenlijst. Om de volledige bedrijfsprofielen in te zien en de antwoorden van Optimaal bv verwijzen we naar Bijlage A.
Optimaal bv heeft minder dan 100 klanten/partijen en gebruikt de website van de Autoriteit Persoonsgegevens om te helpen met vraag 2. Optimaal bv vindt dat het in bezit is van waardevolle gegevens, want de organisatie heeft al haar bedrijfsdata op het bedrijfsnetwerk staan.
Optimaal bv weet niet zeker of het vraag 3 volledig begrijpt. Medewerkers hebben een Office 365-account waar ze op kunnen inloggen met hun gegevens maar dat is het enige onlineaccount dat ze hebben met persoonsgegevens en dat is alleen voor e-mailen en Microsoft Office. Medewerkers kunnen op afstand inloggen op de systemen en applicaties en Optimaal bv antwoordt dat alle data in Nederland wordt verwerkt.
Het belangrijkste bedrijfsproces is de softwareontwikkeling. Programmeurs ontwikkelen softwareproducten op hun laptops en Optimaal bv of haar klanten ondervinden daarom niet direct problemen als het bedrijfsnetwerk tijdelijk uitgaat.
Optimaal bv schat wel in dat het in de problemen komt als het bedrijfsnetwerk langdurig uitvalt omdat er data op staat die nodig is voor de bedrijfsvoering. Optimaal bv denkt dat het dan niet meer kan garanderen dat het haar klanten goed kan helpen als er problemen zijn.
De betreffende organisaties krijgen na het invullen van de vragenlijst een risicoklasse score met een bijbehorend pakket aan maatregelen. Het kan zijn dat bij een hogere risicoklasse andere of meer maatregelen horen.
Per maatregel wordt aangegeven of de maatregel door je onderneming zelf zou kunnen (of moeten) worden uitgevoerd, of dat wordt geadviseerd dit samen met of door een IT-leverancier te (laten) doen Een aantal voorbeelden van de maatregelen zijn toegevoegd voor risicoklasse 2/3.
Optimaal bv gaat aan de slag met de uitslag!
Optimaal bv krijgt een risicoklasse score van 2 en besluit om de expertise in te schakelen van een volwassen IT-dienstverlener. De IT-dienstverlener vraagt Optimaal bv naar de organisatiedoelstellingen en ambities. Daaruit blijkt dat het bedrijfsprofiel (zie Bijlage A) voorlopig niet zal wijzigen en dat Optimaal bv waarschijnlijk in de toekomst nog steeds in dezelfde risicoklasse zal vallen. De maatregelen uit de RKIDV bieden voldoende digitale weerbaarheid voor de risicoklasse waar Optimaal bv in valt.
De IT-dienstverlener gaat aan de slag om te helpen met het implementeren van sommige maatregelen (Optimaal bv besluit om zelf ook maatregelen te implementeren). De IT-dienstverlener maakt afspraken met Optimaal bv om cyclisch de situatie te evalueren.
Verklaring van implementatie
De IT-dienstverlener is gerechtigd om een verklaring af te geven als bewijs dat Optimaal bv het maatregelenpakket van de RKIDV correct heeft geïmplementeerd en dat er afspraken gemaakt zijn over de geldigheid van de verklaring.
De verklaring volstaat voor de klanten van Optimaal bv en die vinden dat de organisatie voldoende doet aan haar informatiebeveiliging.
Next steps voor Optimaal bv
Optimaal bv is tevreden met de huidige situatie en verwacht geen veranderingen in haar bedrijfsvoering of klantenbestand. Optimaal bv zal cyclisch een nieuwe risicoanalyse uitvoeren met een IT-dienstverlener om haar situatie te evalueren en te bepalen of haar cybersecuritymaatregelen nog voldoende doeltreffend zijn. Optimaal bv heeft intern besloten dat het klanten die hoge eisen stellen aan digitale weerbaarheid in de vorm van bijvoorbeeld een ISO-27001-certificatie voor nu niet tegemoet kan komen omdat het niet past bij de organisatiedoelstellingen.
GeldWijs bv: Groeigericht raamwerk CYRA
GeldWijs bv neemt de eerste stappen
GeldWijs bv heeft drie jaar geleden de RKIDV ingevuld en kwam terecht in risicoklasse 3 (zie afbeelding 1). GeldWijs bv heeft hiervoor een verklaring van implementatie gekregen en dat was vaak voldoende om klanten te kunnen tonen dat de informatiebeveiliging op orde is.
Tegenwoordig komt GeldWijs bv in aanbestedingstrajecten steeds vaker tegen dat de ISO-27001 wordt genoemd als voorbeeld om aantoonbaar te maken dat informatiebeveiliging goed wordt gewaarborgd. Bestaande klanten, wetende dat GeldWijs bv digitale weerbaarheid erg serieus neemt, vragen alsnog regelmatig of GeldWijs bv de mogelijkheid ziet om zichzelf te laten certificeren.
GeldWijs bv start met een onderzoek naar een ISO-27001-certificering maar komt tot de conclusie dat dit raamwerk voor hen te uitgebreid (niet passend) en duur is; ook weet het bedrijf niet of ze hier wel aan kunnen voldoen (op korte- en middellange termijn).
GeldWijs bv heeft onlangs een NCSC-artikel gelezen over raamwerken en las in het artikel over CYRA (CYberRAting) als groeigericht raamwerk richting de ISO-27001. Een groeiraamwerk richting de ISO-27001 klinkt voor GeldWijs bv als een goede stap. GeldWijs bv begint uit te zoeken wat er nodig is, inclusief certificering.
GeldWijs bv bezoekt de website van de CCV om zich te verdiepen in de mogelijkheden van de methode CYRA.
CYRA (CYberRAting) is een hulpmiddel dat organisaties helpt om hun informatiebeveiliging in kaart te brengen en te verbeteren. De methode biedt een instap- en groeimodel dat aansluit op de behoeften van elke organisatie. Je kunt kiezen voor een niveau dat past bij de risico’s van jouw onderneming en de positie van jouw bedrijf in de leveranciersketen.
De methode is geschikt voor organisaties in alle sectoren en kan worden gebruikt als groeimodel richting een ISO 27001-certificering of als voorbereiding op de NIS2-richtlijn.
CYRA kent vier stappen met een toenemende aantal beheersmaatregelen: entry, basic, intermediate en advanced met daarbinnen telkens drie procesvolwassenheidslevels. Door deze drie procesvolwassenheidslevels is dit raamwerk ook geschikt als vertrekpunt om je digitale weerbaarheid stap voor stap te verhogen (eventueel tot aan de ISO-27001).
In de figuur hieronder zie je dat CYRA-IT bestaat uit 12 niveaus. Het laagste niveau is Entry level 1 (E1) en het hoogste niveau is Advanced level 3 (A3).
CYRA kun je gebruiken op een aantal manieren:
- Als zelfbeoordelingstool
- Voor het aanvragen van een onafhankelijke audit (CYRA-certificaat)
- Om aan te tonen aan de markt of je klant op welk CYRA-niveau je zit
Met CYRA heb je de mogelijkheid om een zelfbeoordeling (self-assessment) te doen. Dit kan door gebruik te maken van de zelfbeoordelingstool van het CCV. Hierna volgt het niveau en kun je een zelfverklaring over het bereikte niveau downloaden.
Een andere mogelijkheid is om je te laten certificeren door een bevoegd extern en onafhankelijk bedrijf, zodat je met een certificaat kunt aantonen dat je op een bepaald niveau zit.
Het kan ook zijn dat de markt of klanten graag willen dat je een bepaald niveau haalt. Dan is Cyra een methode om daar naartoe te werken.
In alle gevallen is het verstandig om aanvullend een risicoanalyse uit te voeren om de keuze die je hebt gemaakt te valideren, en om de risico’s van je eigen processen beter te begrijpen, met een blik op de toekomst. Wij adviseren om hiervoor een expert in te schakelen.
In alle beschreven situaties gebruik je het CYRA-raamwerk om je digitale weerbaarheid passend te maken aan je bedrijfsdoelstellingen en toekomstige ambities, en om de overstap te maken naar een complexer/volledig raamwerk zoals de ISO-27001.
GeldWijs bv begint met CYRA
GeldWijs bv organiseert een meeting met een volwassen IT-dienstverlener, waarmee ze vaker werken, die uitlegt wat de mogelijke voordelen zijn van certificeringen. De IT-dienstverlener heeft veel ervaring met ISO-27001 en geeft aan dat ze GeldWijs bv kunnen helpen mocht dat nodig zijn
GeldWijs bv begint met CYRA. Ze registreren zich voor de online CYRA-tool. Daarna vullen ze de self-assessment in voor Intermediate level 1.
Volgens de uitslag van de self-assessment blijkt dat GeldWijs bv ook daadwerkelijk voldoet aan Intermediate level 1.
GeldWijs bv downloadt een zelfverklaring over het bereikte niveau.
De methode-CYRA bestaat uit 4 stappen met elk 3 procesvolwassenheidslevels gebaseerd op de annex uit ISO-27001 en ISO-27701. Deze zijn ingegeven door de Capability Maturity Model Integration (CMMI) en voor CYRA vertaald naar de niveaus zoals aangegeven in het figuur boven.
Zoals in onderstaand figuur te zien is, en waar ook de assessments op gebaseerd zijn, is er voor elk niveau een toetsingskader dat te relateren is aan de respectievelijke ISO-normen. Zo is het voor organisaties duidelijk welk percentage (bron: documentatie CCV) van de totale set aan beheersmaatregelen wordt gehaald met het beoogde groeipad.
- Entry = 25%
- Basic = 55%
- Intermediate = 80%
Advanced = 100%
GeldWijs bv heeft een Intermediate level gehaald, bleek uit de self-assessment. Dat betekent dat de organisatie 80% van de ISO-27001 (in combinatie met de ISO-27701) controls kan halen. Een organisatie die op een Entry level binnenkomt hoeft maar 25% van het totaal aantal controls te halen.
Organisaties kunnen dus kijken waar ze staan en waar ze naar toe willen (start- en eindpunt). Het is van extra toegevoegde waarde om vervolgens met een interne risicoanalyse, eventueel met behulp van een externe expert, te kijken in hoeverre de behaalde of geambieerde beheersmaatregelen voldoen aan de bedrijfsspecifieke risico’s.
Zie bijvoorbeeld in de figuur hierboven dat voor CYRA-niveau Entry slechts enkele beheersmaatregelen van de ISO 27001-norm worden meegenomen.
De volwassenheidslevels hebben te maken met de ontwikkeling van een ad hoc benadering van de maatregelen tot een gedefinieerde benadering van de maatregelen. De beveiligingsmaatregelen van CYRA (en overige documenten voor meer informatie) zijn te vinden op de website van het CCV.
GeldWijs bv gaat aan de slag met de uitslag!
GeldWijs bv kan met de uitslag van de assessment goed zien waar het nog moet verbeteren en gebruikt de informatie voor een verdiepende interne risicoanalyse, waarbij een aantal zaken naar boven komt dat extra aandacht verdient om de informatiebeveiliging in de nabije toekomst te borgen. Eén van de aandachtspunten was bijvoorbeeld dat de organisatie extra investeert in het organisatiedoel om de cyberkennis, -kunde en -samenwerking van haar medewerkers te verbeteren. De organisatie ziet dit als een essentiële hoeksteen om zich verder te ontwikkelen op het gebied van informatiebeveiliging.
GeldWijs bv neemt contact op met een bevoegd certificatie-instelling om zichzelf te laten certificeren op het huidige CYRA-niveau: Intermediate level 1. Na deze certificering is voor GeldWijs bv duidelijk wat het aan middelen, kosten en reorganisatie nodig heeft om door te groeien naar een Advanced niveau. De gemaakte risicoanalyse gecombineerd met de toekomstige organisatiedoelstellingen en dreigingslandschap, zorgt ervoor dat GeldWijs bv samen met de externe dienstverlener met een verbeter- en groeiplan komt dat hen naar Advanced level 1 brengt.
De organisatie neemt contact met haar belangrijkste klanten die erg tevreden zijn met een certificering op Intermediate level 1 en het gemaakte verbeter- en groeiplan. Het is hun duidelijk dat GeldWijs bv digitale weerbaarheid belangrijk vindt.
Het is aan de organisatie zelf om te beslissen of het zich wil laten certificeren binnen het CYRA-raamwerk. Certificering kan voordelig zijn bijvoorbeeld voor leveranciers aan NIS-2-partijen, omdat daar sneller wordt gevraagd om een bewijs te leveren in de vorm van een certificaat. Certificeren gebeurt door externe, onafhankelijke en bevoegde partijen. Het certificaat is geldig voor een periode van 2 jaar.
Next steps voor GeldWijs bv
GeldWijs bv realiseert zich dat het in de toekomst wellicht moet certificeren met ISO-27001 om actief te blijven in de huidige markt. GeldWijs bv hoopt dat het met dit traject goed onderweg is om haar ambities te realiseren en de digitale risico’s beheersbaar te houden.
GeldWijs bv is tevreden met het gekozen groeipad binnen het CYRA-raamwerk. Het geeft de organisatie concrete mogelijkheden om door te groeien naar het ISO-27001-raamwerk. GeldWijs bv rekent erop dat het een ISO-27001-certificaat nodig heeft om verder te groeien volgens haar organisatiedoelstellingen.
Afsluitende opmerkingen en de Next Steps
We adviseren elke organisatie om de eigen risico’s helder in kaart te brengen (zie ook Basisprincipe 1) en om te werken aan passende digitale weerbaarheid. In dit artikel is beschreven hoe:
- Een organisatie procesmatig aan de slag kan gaan met digitale weerbaarheid door het toepassen van groeigerichte raamwerken
- Een organisatie informatie kan vinden over deze groeigerichte raamwerken en hoe ze werken
- Een organisatie, aan de hand van de praktische voorbeelden, keuzes kan maken en hulp kan krijgen met het doorlopen van groeigerichte raamwerken
- Een organisatie een groeigericht raamwerk moeten selecteren dat voldoet aan de organisatiedoelstellingen en toekomstperspectieven
- Een organisatie die interesse heeft in het toepassen van bestaande groeigerichte raamwerken zoals Risicoklasseindeling Digital Veiligheid (RKIVD) en CYRA-IT kunnen implementeren. En tevens willen weten hoe deze stapsgewijs gebruikt kunnen worden om te groeien in de ISO-27001.
We benadrukken dat dit een manier is om aan de digitale weerbaarheid te werken, maar dat er vele raamwerken en instrumenten bestaan om dit te doen. Uiteindelijk zijn organisaties zelf verantwoordelijk om te bepalen wat het beste aansluit op haar organisatiedoelstellingen.
Organisaties zijn vrij om een raamwerk (sommige raamwerken worden ook wel eens normen genoemd, zoals de ISO-27001, omdat het vastgestelde standaarden zijn die beschrijven wat je moet doen) te selecteren dat past bij hun situatie, en het kan zijn dat verschillende typen raamwerken geselecteerd moeten worden om de organisatiedoelstellingen te halen. Zo zijn er raamwerken voor onder meer digitale weerbaarheid, kwaliteit, HSE, constructie, en zorg.
Wil je verder aan de slag met het verhogen van de digitale weerbaarheid? We adviseren de volgende publicaties:
- De basisprincipes van het NCSC/DTC
- Ontdek het risicomanagementraamwerk dat bij je past
- Veilig internettenof OWASP (voor het beveiligen van webpagina’s)
- Security check processautomatisering (een quickscan voor het beveiligen van Operationele Technologie)
- Risicoanalyse voor informatiebeveiliging (Ravib) (voor het uitvoeren van risicoanalyses)
Aanvullend kunnen meerdere raamwerken tegelijkertijd interessant zijn. Zo kunnen er extra eisen zijn uit de mark, of de sector (zoals de zorg), of er is sprake van bijvoorbeeld AI (Artificiële Intelligentie) of OT (Operationele Technologie). Het beleid dat gevolgd wordt, inclusief digitale beheersmaatregelen, moet goed aansluiten op de specifieke risico’s die de organisatie ondergaat.
CYRA: een vooruitblik naar de toekomst
Niet alleen de digitale beveiliging van IT (informatietechnologie) en privacy vragen om aandacht, OT (operationele technologie) wordt steeds belangrijker. De methode CYRA wordt uitgebreid met een nieuwe module: CYRA-OT. Alleen dan niet gebaseerd op IT-normen, maar op de internationale OT-norm IEC-62443. Vanaf het najaar 2025 zal CYRA-OT via dezelfde tool van het CCV beschikbaar zijn.
Ook wordt er eind 2025 een speciale module voor de zorgsector aan de CYRA-methode toegevoegd: CYRA-Zorg. De werkwijze is vergelijkbaar met die van IT en OT, alleen zijn hier de controls (beheersmaatregelen) gebaseerd op de norm NEN 7510. CYRA-Zorg is net als de andere CYRA-modules geschikt om door zowel organisaties als haar leveranciers toe te passen.
Alle modules werken op dezelfde manier: 4 stappen en 3 volwassenheidslevels, self-assessment, zelfverklaring en/of certificering.
Voor bepaalde speciale diensten kun je een leverancier met CCV-keurmerk inschakelen (zie ook het overzicht in Hoofdstuk 3). Dat kan op dit moment al voor: Pen Test, Awareness Training en Incident Response. Binnenkort komt daar Monitoring en Risicoanalyse nog bij.
Ook wordt in 2026 een nieuw certificatieschema gelanceerd onder de naam Digitale Basisveiligheid MKB (ten behoeve van ondersteuning bij RKIDV). Tegelijkertijd verschijnt er op de website van het CCV een lijst van erkende leveranciers. Dan kun je een gecertificeerde dienstverlener in schakelen die je kan helpen bij het uitvoeren van een passende risicoanalyse naar digitale weerbaarheid voor jouw organisatie.