actie


manier gemeld wordt. Vooral de multinatio- nals hebben hun IT en cybersecurity vaak centraal geregeld, veelal delen daarvan uitbesteed, soms ook in het buitenland. Dan moet je echt wel de nodige veranderingen doorvoeren om te kunnen voldoen aan de eisen die de wetgevers stellen.”


Audits Huistra en zijn collega’s bij Applied Risk zijn op dit moment bij diverse internationale partijen aan het werk om de processen op orde te krijgen. “Dat betekent concreet dat we bedrijven helpen om klaar te zijn voor assessments en audits die ze straks krijgen in het kader van de nieuwe NIS richtlijn en bijbehorende nationale wetgeving. Door pre-audits uit te voeren, kijken we welke delen van de processen wel of niet voldoen aan de nieuwe regelgeving en als ze daar niet aan voldoen, adviseren we wat er moet gebeuren om er wel aan te kunnen voldoen. Daarnaast helpen we partijen om de notifi- catieprocedures op orde te krijgen. Zoals ik al zei, is dat proces vaak complexer dan je zou verwachten.” Huistra heeft, samen met zijn collega’s, in- middels hands-on ervaring opgedaan met onder andere de notificatieprocedures die de nieuwe wet vereisen. “In Duitsland lopen ze wat voor op de nieuwe Europese wet. Daar zijn aanbieders van essentiële diensten al deels onderworpen aan externe audits. We hebben daar met een aantal partijen dus al hands-on ervaring kunnen opdoen.”


Kans


Bij sommige bedrijven zal er niet halsreikend naar de nieuwe wet worden uitgekeken, maar volgens Huistra is dat niet nodig. “Je kunt die wet zien als een belasting, maar ook als een nieuwe kans. Ik denk dat deze wet datgene wat je als bedrijf toch al goed moet regelen, namelijk het op peil brengen van je beveiligingsniveau, hooguit iets naar voren haalt. Deze wetgeving zorgt voor extra aan- dacht vanuit het management en benadrukt nog eens dat cybersecurity een must is om als bedrijf een stabiele bedrijfsvoering te kunnen garanderen. Dat is namelijk waar het uiteindelijk om gaat: robuust uitgevoerde vitale processen, die tegen een digitaal stootje kunnen. En dat levert je als bedrijf uiteindelijk alleen maar voordelen op.”


Wat te doen Organisaties die te maken krijgen met deze wetgeving moeten aan kunnen tonen dat ze


cybersecurity goed op orde hebben, ook in hun operationele omgevingen. “En daar valt nog wel een wereld te winnen”, vertelt Huis- tra. “Bedrijven moeten eigenlijk twee dingen laten zien: het hebben van een volwassen Information Security Management System dat voldoet aan internationale standaarden en een goed incident response proces. Voor de kantoorautomatiseringsomgevingen zijn vaak al wel de nodige zaken ingericht qua proces, organisatie en techniek, maar voor Procesautomatiseringsomgevingen is dat een ander verhaal. Daar wordt momenteel een inhaalslag gemaakt. Wij raden organisa- ties aan vooral te kijken naar industriestan- daarden zoals IEC 62443. Deze zijn namelijk specifiek ontwikkeld voor dit soort omge- vingen. Erg belangrijk daarbij is om maat- regelen te treffen die voortkomen uit een gedegen risico management methodiek. En natuurlijk moet je de implementatie natuurlijk laten testen. Wij zien regelmatig prachtige verhalen op papier, maar tekort- komingen in de wijze waarop het in de praktijk werkt.”


15


Page 1  |  Page 2  |  Page 3  |  Page 4  |  Page 5  |  Page 6  |  Page 7  |  Page 8  |  Page 9  |  Page 10  |  Page 11  |  Page 12  |  Page 13  |  Page 14  |  Page 15  |  Page 16  |  Page 17  |  Page 18  |  Page 19  |  Page 20  |  Page 21  |  Page 22  |  Page 23  |  Page 24  |  Page 25  |  Page 26  |  Page 27  |  Page 28  |  Page 29  |  Page 30  |  Page 31  |  Page 32  |  Page 33  |  Page 34  |  Page 35  |  Page 36  |  Page 37  |  Page 38  |  Page 39  |  Page 40  |  Page 41  |  Page 42  |  Page 43  |  Page 44  |  Page 45  |  Page 46  |  Page 47  |  Page 48