De Cyberbeveiligingswet komt eraan. Dat betekent voor veel organisaties dat ze moeten voldoen aan een zorgplicht bestaande uit tien maatregelen. Maar hoe pak je dat aan? En wat wordt er precies van bestuurders verwacht? Het Nationaal Cyber Security Centrum en de Nationaal Coördinator Terrorismebestrijding en Veiligheid beantwoordden deze vragen in het tweede webinar uit hun voorlichtingsserie.
“De zorgplicht omvat een set van tien maatregelen. En aan al deze tien maatregelen moet jij als organisatie voldoen”, legt Melissa Taal, senior juridisch beleidsmedewerker bij de NCTV, in het webinar uit. Belangrijk daarbij is dat de risicoanalyse centraal staat. Hoe een organisatie die maatregelen neemt, is afhankelijk van de gedane risicoanalyses. Dat betekent dat per organisatie de invulling kan verschillen.
Een veelgestelde vraag is of een ISO-certificering niet volstaat. Taal erkent dat er al compliance frameworks bestaan: “Als we kijken naar de ISO-standaarden, de NEN 7510 voor de zorg, BIO 2.0 voor de overheid. Die zijn er allemaal. Super handige handvatten.” Maar die certificeringen zijn geen garantie. “Het betekent niet dat als je die certificeringen hebt, je ook aan de zorgplicht voldoet. Het is echt belangrijk dat je naar die tien maatregelen kijkt en die al de tien in acht neemt.”
Begin klein
Ronald van der Zon, coördinerend adviseur bij het NCSC, benadrukt dat risicomanagement de basis vormt. “Als je het een klein beetje versimpelt dan staat het uit een drietal hoofdstappen. De eerste is dat je een beeld moet hebben bij wat er zoal mis kan gaan in je organisatie. Vervolgens zou je moeten inschatten wat de kans is dat die dingen ook daadwerkelijk gaan gebeuren en als ze gebeuren wat daar dan de impact van zou zijn.” Zo ontstaat een geprioriteerde lijst met scenario’s waarop een organisatie kan besluiten wat ze eraan wil doen.
Van der Zon waarschuwt voor de grootste valkuil: “Veel organisaties, zeker op het moment dat je hier nog een beetje aan het begin staat van je risicomanagementreis, overzien het niet en willen alles in één keer aanpakken. Daardoor komen ze uiteindelijk niet uit de startblokken.” Zijn advies is helder: begin met de zaken die het grootste risico vormen.
Een ander veelvoorkomend probleem is te veel focus op de IT-laag zonder goed na te denken over het informatie- en procesniveau erboven. “Je kunt heel moeilijk goed onderbouwde weerbaarheidskeuzes maken als je niet de koppeling tussen IT en je organisatiedoelstelling maakt”, aldus Van der Zon. Hij illustreert dat met het voorbeeld van een logistiek bedrijf waar het planningsproces essentieel is. Daar kun je pas bepalen welke IT-systemen cruciaal zijn als je begrijpt welk proces niet mag uitvallen.
Bestuurlijke verantwoordelijkheid
De Cbw schrijft voor dat het bestuur de zorgplichtmaatregelen moet goedkeuren. Niet alleen goedkeuren, maar er ook op toezien. Taal is duidelijk: die verantwoordelijkheid kan niet worden gedelegeerd naar een CISO. “Er is juist voor gekozen om die verantwoordelijkheid bij die kleine groep ICT-mensen weg te halen. Je hebt ook als bestuurder een voorbeeldfunctie.”
De rol van de CISO blijft wel cruciaal, maar dan als adviseur. Van der Zon: “De rol van de CISO hierin is om ervoor te zorgen dat die bestuurder een weloverwogen keuze kan maken. Dus die CISO is verantwoordelijk voor het inzichtelijk maken van wat er fout kan gaan, het maken van die inschatting en uiteindelijk ook het palet te schetsen van potentiële maatregelen.”
Elk bestuurslid moet bovendien een training volgen. Daarvoor geldt een overgangsregeling van twee jaar vanaf het moment dat de wet in werking treedt. Ook nieuwe bestuurders krijgen twee jaar de tijd. De training is persoonsgebonden: een certificaat gaat mee naar een volgende functie. Die training moet onder meer inzicht in verschillende soorten risico’s zoals DDoS-aanvallen, insider threats en malware bevatten. Ook moet een bestuurder begrijpen wat de gevolgen zijn voor netwerk- en informatiesystemen. Daarnaast is basiskennis over het risicomanagementproces nodig, om een bestuurder in staat te stellen op strategisch niveau die maatregelen te kunnen goedkeuren.
Lees ook: Uitgeputte CISO is groot cybersecurityrisico
Supply chain-uitdagingen
Opvallend veel vragen van webinar-deelnemers gingen over de toeleveringsketen. Dat is niet vreemd: supply chain-risico’s zijn een van de lastigste onderdelen van de zorgplicht. Organisaties moeten niet alleen hun eigen systemen op orde hebben, maar ook grip krijgen op de beveiliging bij leveranciers. Tegelijkertijd is onduidelijk hoe ver die verantwoordelijkheid reikt. Taal verduidelijkt de scope: “Als je kijkt naar de beveiliging, moet je de beveiliging van je toeleveringsketen op orde hebben. Dat gaat dus om je directe leveranciers en dienstverleners, maar wel die impact kunnen hebben op jouw netwerk en informatiesystemen.” De persoon die de potloden levert hoeft niet in de analyse, maar een cloud-leverancier waar het planningssysteem op draait wel.
Het Cyberbeveiligingsbesluit, dat onder de wet hangt, legt per maatregel uit wat er wordt verwacht. Organisaties moeten beveiligingseisen opstellen en die terugverwachten van leveranciers. Het gaat niet om formele contracten, benadrukt Taal, maar wel om aantoonbaarheid. “Als de toezichthouder komt controleren, moet hij wel kunnen zien: ik heb deze afspraken gemaakt met mijn toeleverancier, zodat hij aan mijn beveiligingseisen voldoet.”
Risicomanagement is volgens Van der Zon geen eenmalige oefening. “Het dreigingslandschap en het risicolandschap is gewoon in beweging. Jouw organisatie is in beweging. Dus je moet daar continu aanvullende analyses op doen.” Hoe vaak precies is afhankelijk van de organisatie, maar jaarlijks of vaker klinkt logisch.
Meer praktische handvatten staan op de NCSC-website over de Cyberbeveiligingswet. Ook het eerste webinar in deze serie – een algemene introductie op de Cyberbeveiligingswet – is terug te kijken.