Europese regelgeving interpreteren is een taaie klus. Dat geldt ook voor de regels van Dora en NIS2. Deze nieuwe regelingen moeten worden vertaald naar concrete maatregelen die it- en securityteams moeten nemen. Net zoals elk bedrijf zijn eigen invulling geeft aan GDPR, dreigen ook NIS2 en Dora vele varianten te kennen in hun toepassing. Toch zijn er een aantal zaken die zeker moeten gebeuren.
Dora, NIS2, GDPR… De Europese regelgevers zijn al even verslingerd aan vierletterwoorden als de it-sector zelf. Dora staat voor Digital Operational Resilience Act en wil de cybersecurity en digitale weerbaarheid van financiële dienstverleners verhogen. NIS2 is een uitbreiding van de Network and Information Systems directive die sinds 2016 van kracht is. Deze maatregel kijkt naar alle kritieke infrastructuur. Naast de financiële sector zijn dat straks ook sectoren als transport, energievoorziening, gezondheidszorg en publieke dienstverlening. Bij NIS2 gaat het dus om meer sectoren en meer bedrijven.
Ook boetes
Uiteraard heeft geen enkele organisatie gewacht op Dora en NIS2 om een aantal beschermingsmaatregelen te nemen. De nieuwe regelgeving komt echter met nieuwe verplichtingen, verantwoordelijkheden en ook boetes. Vergeet ook niet dat de Corporate Goverance Code bestuurders van bedrijven kan bestraffen voor het niet naleven van security-regels. Het komt er dus op aan de regels goed toe te passen, al is de vertaalslag van juridische teksten naar it- en securitytaken niet altijd makkelijk. Toch zijn er vijf belangrijke stappen die je kan nemen.
- Leg rollen, verantwoordelijkheden en prioriteiten vast
NIS2 en Dora zijn, net als GDPR, niet alleen een it- of security-aangelegenheid; alle afdelingen binnen een organisatie zijn erbij betrokken. Een team samenstellen is dus een eerste stap, de taken en verantwoordelijkheden binnen dat team vastleggen een tweede. Vervolgens moet de organisatie inzicht krijgen in de huidige stand van zaken. Pas dan wordt duidelijk wat er als gevolg van de komst van Dora en NIS2 moet verbeteren. Op die manier zijn ook de prioriteiten te bepalen die leiden naar compliance. Het draaiboek dat hier het gevolg van is, moet een holistisch beeld geven van alle onderdelen die onder de nieuwe wetgeving vallen.
- Zorg voor zicht op hele infrastructuur
Veel bedrijven voerden de investeringen in cybersecurity de laatste jaren al op. Dat gebeurde niet alleen omwille van de regelgeving, maar simpelweg omdat het aantal aanvallen toeneemt. Toch zijn er maar weinig organisaties die een totaaloverzicht hebben over alle apparatuur die toegang heeft tot hun netwerken. De tools die ze gebruiken, zitten vaak verspreid over it- en securityteams. Veel van deze tools kunnen bovendien geen informatie met elkaar uitwisselen, waardoor het lastig is een uniform zicht te hebben over het hele it-landschap. Bovendien zijn de tools niet altijd geschikt om te verifiëren of alle geplande software-updates en -upgrades ook daadwerkelijk uitgevoerd en geslaagd zijn. Daar ligt een belangrijke taak bij het naleven van NIS2 en Dora.
- Verbeter en automatiseer het risicobeheer
Het is natuurlijk niet genoeg om te weten welke endpoints eventueel een ‘patch-dinsdag’ gemist hebben, of helemaal niet beheerd worden. Je moet er ook voor waken dat het voortaan wél gebeurt, en dan nog liefst geautomatiseerd ook. Rol patches dus centraal uit, controleer of dat gebeurd is, en remedieer meteen indien een update of upgrade niet is geslaagd.
- Denk aan hele supply chain
Organisaties maken tegenwoordig deel uit van een ecosysteem waarbinnen data uitgewisseld worden en toepassingen via api’s met elkaar verbonden zijn. Dat zorgt voor een acceleratie van de samenwerking tussen bedrijven, maar ook voor een exponentiële groei van mogelijke kwetsbaarheden. Je kan dan wel zelf alles goed geregeld hebben, als een belangrijke partner zijn zaakjes niet op orde heeft, ben je zelf ook kwetsbaar. Een keten is zo sterk als de zwakste schakel. Ga dus na of je toeleveranciers, dus ook eventuele it-outsourcingpartners, ook de nodige voorzorgen nemen. Bedenk dat het hier niet alleen gaat over technische kwetsbaarheden en alle schade die hierdoor kan ontstaan. In veel gevallen is onze eigen organisatie én ons eigen management ook nog eens juridisch aansprakelijk voor eventuele kwetsbaarheden bij supply chain-partners.
- Stroomlijn incident response
Hoe goed je ook beschermd bent, er kan nog steeds een incident plaatsvinden. Daarom is het belangrijk te weten hoe te reageren op een incident: welke maatregelen moeten we meteen nemen? Welke instanties moeten gewaarschuwd worden bij een datalek? Maak ook hier een draaiboek voor dat aangeeft wie voor wat verantwoordelijk is in elk denkbaar scenario. Een incident is slecht nieuws, maar meteen ook een kans om mogelijke pijnpunten weg te werken.
Geen last maar kans
NIS2, Dora en andere regelgevingen worden te vaak gezien als een extra last. Niemand zit te wachten op nog meer regels, nog meer rapportageverplichtingen, nog meer controle. Daar staat tegenover dat deze nieuwe regels ook een prima gelegenheid zijn om een stap terug te doen en een holistische blik te werpen op onze volledige it-omgeving.
Als alle organisaties hun veiligheidsbeleid op orde hebben, kunnen we ook veel incidenten voorkomen. En daar wordt iedereen beter van. Maak dus van de nood een deugd. NIS2 en Dora zijn in dat opzicht juist een kans.
Grappig , ik heb ook mijn stuk voor NIS2 ingestuurd met als boodschap dat het iets positiefs is. Ja, je moet als bedrijf gewoon zorgen dat je risico’s beheerd, dat zou je ook zonder regelgeving moeten willen want incidenten zijn erg kostbaar.
Maar een extra toevoeging daarin is dat als je onder de regelgeving valt, je ook toegang krijgt tot hulplijnen zoals DTC, NCSC en CSIRT om maar wat afkortingen erin te gooien.
Dora stond nog niet op mijn netvlies… dat gaat me weer een paar avonden kosten.. bedankt! 🙂