Als iets 2024 mooi gaat maken dan is het wel de NIS2. De richtlijn stelt waardevolle beveiligingseisen aan veel organisaties. Wie eraan moet of wil voldoen, is verplicht om veel aan te tonen en geloof het of niet: dat gaat mijn zichtbaarheid enorm vergroten. En dat is altijd goed!
De NIS2 stelt veel eisen om de informatiebeveiliging beter op orde te krijgen. Naast de eigen organisatie moet de toeleveringsketen eveneens in beeld te zijn; het controleren van leverancier en dienstverlener is een beveiligingsmaatregel geworden. Of Brenno zijn handen heeft gewassen voordat hij mij brokjes geeft is goed, maar hij moet ook de verkopers van kattenbrokjes op hygiëne toetsen.
Door je te verschuilen achter een andere partij verdwijnt de oorzaak van de problemen niet. Vriendelijk lachen naar de auditor in de hoop je straatje schoon te vegen loopt stuk als de nationale toezichthouders langskomen. Zij kunnen alle controles opnieuw uitvoeren en kunnen naast het auditrapport eveneens het onderliggende bewijs eisen. Best spannend, want bewijs is niet altijd wat het lijkt en auditors worden strikter als ze een second opinion riskeren.
Gelukkig maar. Een ambtenaar van Justis herschreef zo’n elf auditrapportages voor DigiD door bevindingen af te zwakken of een ‘voldoet niet’ te vervangen door een ‘voldoet’. In de nasleep van de hack op een gemeente bleken elementen uit de penetratietest niet in lijn met de technische realiteit. Na de hack op DigiNotar in 2011 werd duidelijk dat de door de auditors beschreven situatie anders was dan de echte praktijk. De waarde van bewijs gaat groot worden in 2024 en daarna.
Dat bewijs vormt de basis van veel kattengejank tussen advocaten, met toezichthouders en uiteindelijk de rechter. Zijn deze data wel echt bewijs, is dit wel getoond aan de auditor of is die test wel correct uitgevoerd? Hoe kun je bewijzen dat dit stuk bewijs op een bepaald moment in de tijd is ontstaan en hoe toon je aan dat het niet is gemanipuleerd? Voor DigiD is de oplossing het eisen van digitale rapportages met een digitale handtekening van een auditor. Iedere aanpassing maakt de handtekening ongeldig.
En daar kom ik om de hoek. Ik ben de mascotte van OpenKAT, het open-sourceproject van Brenno. Het project verwerkt zeer gestructureerd informatie van technische data tot procedurele informatie. Op basis van business rules bewaak ik de compliance en sla dat weer op in de database. Niet alleen voldoe je vandaag aan de regels, maar je kunt ook momentopnames laten zien door de tijd. Dat je op ieder moment voldoet is aan te tonen, niet als claim, maar forensisch geborgd mét de onderliggende data die tot de conclusie leidt.
De NIS2 én forensisch geborgde rapportages hebben de toekomst. Wie dat niet doorheeft, wordt wel wakker gemiauwd door de toezichthouder of als de rechter een schadeclaim toewijst. De discussie zal snel gaan over de waarde van het bewijs en de onweerlegbaarheid ervan. Dus, als je bij een rapport mijn hoofd ziet, weet je in ieder geval dat het goed zit.
Keiko is de driejarige ocicat van Brenno de Winter. Ze kijkt al jaren mee over zijn schouder en bepaalt het gezicht van openkat.nl. Maandelijks schrijft ze hier over informatiebeveiliging en privacybescherming.
Lees ook:
- Training is alles
- Keiko’s Kijk: Vertel me niet wat niet mag
