NIS2: uitgesteld, maar niet minder urgent!
Toen bekend werd dat de invoering van de Europese NIS2-richtlijn werd uitgesteld, haalden een aantal organisaties wellicht opgelucht adem. De druk van het ‘ineens’ moeten nemen van security maatregelen en dit ook nog aantoonbaar te maken, leek tijdelijk wat te verminderen. Dit besluit van de overheid is natuurlijk niet een al te best signaal. Door het uitstel van NIS2 kunnen organisaties namelijk bevestigd worden in de gedachte dat het nemen van de verplichte maatregelen minder urgent is.
Hoewel wij deze gedachte ergens kunnen volgen, is het zeker niet de juiste. Cyberrisico's blijven bestaan, en cybercriminelen pauzeren hun activiteiten immers ook niet. Cyberaanvallen zijn nog steeds aan de orde van de dag, of het nu aanvallen vanuit een financieel motief zijn of (heel actueel) aanvallen door statelijke actoren om inlichtingen te verzamelen over ons land, organisaties of individuen.
Wanneer je als organisatie nog nooit getroffen bent, dan kunnen deze aanvallen en de impact daarvan ver weg lijken. Toch weet je dat ook jouw organisatie getroffen kan worden. En voorkomen is altijd beter dan genezen. Waarom stellen sommige organisaties het op orde brengen van hun beveiliging nu dan toch uit? Wat zijn de oorzaken hiervan? En welke maatregelen zou je nu eigenlijk moeten nemen?
Laag gevoel van urgentie: hoe komt dat?
Bij veel organisaties waar nog geen cyberincident heeft plaatsgevonden, kan er een gevoel van veiligheid ontstaan. Alles lijkt immers onder controle. Daarnaast vertrouwen sommige bedrijven op hun cyberverzekeringen, in de veronderstelling dat ze bij een incident goed zijn afgedekt. Wat daarbij echter niet altijd wordt meegenomen, is dat verzekeraars alleen uitkeren als de organisatie aan specifieke beveiligingseisen voldoet. Bovendien is het belangrijk om te beseffen dat digitale veiligheid niet alleen draait om kosten; de bescherming van cruciale data en systemen is essentieel voor de continuïteit van de organisatie en de vertrouwelijkheid van informatie van medewerkers, patiënten, burgers en cliënten. Het risico van dataverlies of -diefstal kan verstrekkende gevolgen hebben die zich niet alleen in financiële termen laten uitdrukken.
In bestuurskamers krijgen cyberrisico’s vaak toch (nog) niet dezelfde aandacht als andere strategische onderwerpen. Bestuurders zonder technische kennis vinden het soms lastig om de risico's goed te beoordelen en vertrouwen op de expertise van hun CISO’s en IT-managers voor hun digitale veiligheid. Een gedeeld inzicht in de risico’s is echter cruciaal voor een effectieve aanpak.
Daarnaast ligt de focus binnen organisaties vaak op kortetermijndoelen, zoals operationele efficiëntie en winstgevendheid. Of dit verstandig is, is een heel ander onderwerp en zou een interessante blogpost kunnen zijn. Deze kortetermijnfocus zorgt er helaas voor dat investeringen in digitale veiligheid als minder urgent worden beschouwd, vooral wanneer ze geen direct meetbare opbrengsten lijken op te leveren.
Samengevat: Is er geen directe dreiging? En stelt de overheid de inwerkingtreding NIS2-regelgeving nu óók nog eens uit? Dan blijft het gevoel van urgentie om de genoemde redenen dus helaas uit. Dit is precies waar we gezamenlijk voor moeten waken.
Voorbereid op een cyberaanval?
Cybersecurity prioriteren? Neem deze 4 maatregelen
Als organisatie wil je het paard niet achter de wagen spannen. Ondanks het besluit van de overheid is het verstandig om jouw digitale veiligheid toch echt op orde te brengen. Welke maatregelen kun je nemen om de bestuurskamers werkelijk mee te nemen in de noodzaak hiervan?
1. Organiseer gerichte workshops en trainingen voor bestuurders
Zijn bestuurders niet bekend met de complexiteit van cyberrisico’s? Organiseer dan workshops en trainingen die zijn afgestemd op hun verantwoordelijkheden. Focus bijvoorbeeld op risicomanagement in plaats van technische details.
2. Tabletop-oefeningen en simulaties
Niets maakt de impact van een cyberaanval duidelijker dan een simulatie. Organiseer tabletop-oefeningen waarin je realistische scenario’s (zoals een ransomware-aanval) nabootst. Zo begrijpen én ervaren alle relevante actoren de risico’s.
3. Vergroot bewustwording op strategisch niveau
Zorg dat digitale veiligheid een vast onderwerp op de strategische agenda wordt. Laat bestuurders zien wat een cyberaanval kan veroorzaken, zoals ongewenste financiële schade, reputatie-schade en zelfde persoonlijke aansprakelijkheid. Zo krijgt digitale veiligheid meer prioriteit.
4. Schakel externe experts in
Laat een externe IT-partner meekijken en adviezen geven. Bedreven consultants kunnen helpen om digitale veiligheid een strategisch agendapunt te maken en gerichte actiepunten te bepalen. Een goede IT-partner ondersteunt je tevens bij het implementeren van de juiste maatregelen.