Actuele ontwikkelingen in wet- en regelgeving betekenen dat organisaties te maken krijgen met steeds meer vereisten rond cybersecurity. Europese richtlijnen zoals de Cybersecurity Act en de Cyber Resilience Act krijgen een doorvertaling naar regels en verplichtingen voor Nederlandse organisaties. Verordeningen zoals de Network and Information Systems Directive (NIS2) hebben, net als de Algemene verordening gegevensbescherming (AVG), een rechtstreekse werking.
De wetsvoorstellen zijn illustratief voor een bredere beweging, zegt Brenno de Winter, eigenaar en oprichter van De Winter Information Solutions en hoofddocent van de Outvie-opleiding Informatiebeveiliging . “De Europese Unie is echt wakker geworden als het gaat om het digitale dossier. Informatiebeveiliging en security zijn geen vrijblijvende issues meer, maar worden onderdeel van bestuurlijke aansprakelijkheid.” Bijvoorbeeld: onder NIS2 worden bestuurders verantwoordelijk en aansprakelijk voor cybersecurity, en zijn er boetes mogelijk voor organisaties die onvoldoende maatregelen voor informatie- en systeembeveiliging nemen. De verordening geldt bovendien voor een groter aantal organisaties dan de voorganger, de NIS uit 2016.
Verantwoordelijkheid en aansprakelijkheid voor security
“De bestuurlijke aansprakelijkheid voor cybersecurity gaat een groot topic worden”, voorspelt De Winter. “Je ziet nu al dat de Nederlandse rechter meer in die richting opschuift. Zo zijn er uitspraken waarin een dienstverlener medeverantwoordelijk wordt gesteld voor de schade die een ransomware-aanval veroorzaakt. Ook de nieuwe Europese wet- en regelgeving legt steeds meer nadruk op aansprakelijkheid. Zo geeft de Cyber Resillience Act, die dit jaar wordt behandeld in het Europees Parlement en de Europese ministerraad, leveranciers van Internet of Things-producten de verantwoordelijkheid om securityrisico’s te verminderen.” De richtlijn geldt voor de software én hardware van digitale producten.
“Een groot deel van de nieuwe wet- en regelgeving in Europa gaat uit van een risicogestuurde aanpak”, voegt De Winter toe. “Er is geen sprake van zwart-wit voorschriften, zoals in de benadering van de Verenigde Staten vaak het geval is. Een organisatie moet goed kijken naar specifieke risico’s en de daarbij passende maatregelen. De introductie van bestuurlijke aansprakelijkheid betekent dat het huidige risicomodel verschuift. Je kunt nu misschien nog zeggen dat je bepaalde risico’s accepteert. Maar daar hangt straks een prijskaartje aan.”
Positieve en negatieve routes naar compliance
De komst van nieuwe wettelijke kaders – en de handhaving ervan met forse boetes – is een stimulans voor organisaties om een kwaliteitsslag te maken met security. “Wettelijke verplichtingen en boeterisico’s schudden organisaties wakker. Het wordt dan duidelijk dat informatiebeveiliging een vraagstuk is dat grote prioriteit verdient. Beheerspartijen, software-ontwikkelaars en digitale dienstverleners beseffen langzaam maar zeker dat ze met security aan de slag moeten.”
De dreiging van juridische repercussies is geen positieve aanvliegroute voor compliance, geeft De Winter toe. “Maar we weten uit de luchtvaartsector dat aansprakelijkheid bijdraagt aan een betere veiligheidscultuur. Als je organisaties juridisch dwingt om fatsoenlijke software te ontwikkelen dan is dat wat mij betreft pure winst.”
Security als service-afdeling
Wat staat CISO’s, IT-managers, security managers en andere professionals die zich bezighouden met informatiebeveiliging te doen in het licht van de veranderende wet- en regelgeving? De Winter noemt “een schouders naar achteren mentaliteit” en “de instelling van een service-afdeling” als succesfactoren. “Je moet continu meedenken met nieuwe initiatieven en plannen van de organisatie. Hoe zijn innovaties mogelijk op een manier die security waarborgt? Soms zal je misschien wat streng moeten zijn. Bijvoorbeeld: in de Baseline Informatiebeveiliging Overheid (BIO) is vastgelegd dat de CISO toestemming geeft voor de livegang van een systeem. Dat betekent dat de CISO aan de rem kan trekken als er zaken niet op orde zijn. Maar dat is een uiterste redmiddel.”
Het speelveld van security professionals is dynamisch, veelzijdig, kennisintensief en soms ook complex, aldus De Winter. “Security wordt in een organisatie nogal eens als lastig ervaren. Onder tijdsdruk is al snel de neiging om het securityteam te omzeilen. Je hebt als professional een stevige rol te spelen, en je moet ook als zodanig worden geaccepteerd. Het helpt als er chief in je functietitel staat, maar information officers en security managers worden vaak gezien als adviseurs zonder doorzettingsmacht. Als je dan ook nog eens onvoldoende budget krijgt, dan wordt het extra ingewikkeld.”
Alle professionals die zich bezighouden met security en risicomodellen moeten op de hoogte zijn van de wet- en regelgeving, en weten waar de verdiepende informatie daarover is te vinden. Maar de grootste uitdaging heeft volgens De Winter te maken met de interne positionering. “De verantwoordelijkheden voor compliance moeten op de juiste plek liggen. Interne stakeholders moeten inzien dat security uiteindelijk hún probleem is. Het securityteam is een service-afdeling, die kan adviseren, meedenken en helpen om problemen op te lossen. Maar de verantwoordelijkheid voor de oplossing ligt daar niet. Het management maakt uiteindelijk de keuzes. Als er iets fout gaat, is het niet de schuld van het securityteam.”
De Winter vervolgt: “Wet- en regelgeving is niet alleen maar ingewikkeld. De juridische kaders geven je ook tools om praktisch aan de slag te gaan”, zegt De Winter over de inzichten die hij deelnemers meegeeft. “Van een aantal onderdelen van NIS2 word ik echt blij. Je kunt er bijna letterlijk teksten uit kopiëren waarmee je managers en bestuurders stimuleert om een goede invulling te geven aan de regels van de verordening. Organisaties zien de wet- en regelgeving nu nog niet altijd als een onderdeel van security. Er wordt dan meestal gekeken naar Juridische Zaken, of naar het privacyteam. Maar voor NIS2 en de aanverwante Europese richtlijnen zijn security professionals aan zet.”
De zesdaagse opleiding Informatiebeveiliging is ontwikkeld voor CISO’s, IT-managers, IT-auditors, security managers, service level managers, IT-architecten en andere professionals die over de fundamentals van informatiebeveiliging willen leren. Kijk voor meer informatie over de opleiding op de website van Outvie.
Lees ook:
- Beveiligen met kattenogen – Corona inspireert VWS tot innovatieve cybersecurity
- Een cyberaanval hoort wereldwijd tot drie grootste bedrijfsrisico’s
