Op 17 oktober trad het nieuwe cyber security regelgevende kader NIS2 in werking. Bedrijven die onder NIS2 vallen, moeten dus compliant zijn en aan de regels voldoen. In principe zou dat geen probleem mogen zijn, want NIS2 is in wezen niet meer dan een soort basis datahygiëne die elke organisatie moet nastreven. Het betekent echter niet dat je door het NIS2 compliant zijn helemaal veilig bent.
Letterlijk betekent compliance dat je aan de regels voldoet. Als je compliant ben, zou dat dus ook de veiligheid in je organisatie wel ten goede moeten komen. Maar goede security gaat natuurlijk nog verder. Het hoeft daarom niet te verwonderen dat 42% van de respondenten in een rondvraag in opdracht van Veeam (bij 105 Belgische IT-leiders in bedrijven van verschillende omvang) van oordeel is dat compliant zijn met NIS2 eigenlijk niet volstaat.
Niet compliant met NIS2 = sleutel op de deur laten
Wie enkel op compliance focust, blijft met een ‘technische schuld’ zitten. Het is alsof je een huis bouwt met zwakke materialen, simpelweg omdat het tijd bespaart. Je kunt het huis uiteraard later nog versterken, maar vaak gebeurt dat niet en zal het gebouw na een tijdje instorten. Ook IT kiest soms voor snelle oplossingen die de weerbaarheid verzwakken en ervoor zorgen dat de kost van herstellingen hoger oploopt dan de kost om het van de eerste keer goed te doen. Compliance past perfect in dat verhaal: zodra bedrijven aan de regels voldoen, kijken ze er vaak niet meer naar om.
Die houding is precies wat NIS2 wil voorkomen. Het beschouwt security als een continu proces en stimuleert bedrijven om niet alleen te blijven controleren of ze compliant zijn, maar ook of ze nog veilig zijn. Om die reden is de nieuwe richtlijn uitgebreid met een rapportagemechanisme. De regels die NIS2 voorschrijft zijn weliswaar slechts een stukje op de lange route naar een veilige organisatie. Het is een fundament waar je de rest van je security op moet bouwen, afhankelijk van de noden van je gebruikers. Wie zelfs niet aan NIS2 voldoet, laat eigenlijk gewoon de sleutel op de deur hangen, waardoor je dus niet verwonderd moet zijn als inbrekers je data komen stelen.
NIS2 is in grote mate een digitale vertaling van de manier waarop we in de fysieke wereld werken. Als we een verzekering willen inschakelen, moeten we ook garanderen dat we er alles aan gedaan hebben om schade te voorkomen. De verzekering komt enkel tussenbeide wanneer er iets gebeurt dat je niet had kunnen voorzien. NIS2 legt diezelfde grondslag voor cyberaanvallen.
De 3 regels van een veilige organisatie
Wat NIS2 doet, bestond eigenlijk al in de vorm van de eerste NIS-wetgeving. Alleen was deze op minder bedrijven van toepassing en was snel duidelijk dat de boodschap niet aankwam. Met NIS2 willen wetgevers daarom de verantwoordelijkheid bij de bedrijven zelf leggen, en meer bepaald bij het C-level in de organisatie. Zij moeten ervoor zorgen dat hun huis goed georganiseerd is. Maar hoe doe je dat dan? De volgende drie regels zijn cruciaal:
- Kweek bij je mensen een cultuur van veiligheid. Tot hiertoe wezen we veel te snel met de vinger naar de gebruiker als boosdoener. Als iemand op een gevaarlijke link klikt, dan is dat een teken dat de cultuur geen veiligheid uitstraalt. In de echte wereld laten we de deuren van het bedrijf toch ook niet zomaar achter ons openstaan?
- Pas ook de processen voor die gebruikers aan. Zijn je processen al in overeenstemming met NIS2, ga dan een stukje verder en breid je security uit in functie van je organisatie.
- Na de mensen en processen zorg je voor de technologie die nodig is om een veilige omgeving voor de gebruiker te creëren. Maar hou er rekening mee dat alles wat je nu beslist regelmatig moet worden herbekeken. Wat nu werkt, zal in de toekomst wellicht niet meer voldoende zijn.
Het ontzorgen van de gebruiker
Moet NIS2, zoals ruim vier op tien respondenten in de survey aangeven, strenger? Op termijn zal er wellicht een NIS3 komen die de veel striktere regels van wetgeving zoals DORA in de financiële wereld naar andere sectoren doortrekt – DORA is wat dat betreft een soort NIS2 op steroïden. Tot dan moet NIS2 een goede basisrichtlijn zijn. Het moet bedrijven aanzetten om na te denken over hun security, zodat ze het juiste evenwicht vinden tussen operationele efficiëntie en veiligheid.
Bekijk NIS2 dus niet enkel in de context van compliance. Beschouw het niet als een aantal regels die je moet volgen om de business te laten draaien. Als je dat doet, haal je niet het maximum uit de wetgeving. Uiteindelijk draait het om de gebruiker en die wil maar één ding: dat het werkt en dat hij/zij veilig toegang krijgt tot de data en systemen die nodig zijn voor het uitvoeren van een job. En hier is data resilience een kritische factor. Dit zorgt er voor dat data zowel veilig, beschikbaar en functioneel inzetbaar is wanneer nodig. Zo blijven continuïteit en productiviteit gewaarborgd.
Wat er de komende maanden gaat gebeuren? Sinds de recente IT problematieken die wereldwijd impact hadden op bedrijven, nam het bewustzijn toe. Toch is er nog veel werk aan de winkel. Het valt daarom te verwachten dat verschillende landen een voorbeeld gaan stellen en een bedrijf een fikse boete zullen geven wanneer het tegen de lamp loopt. Dat schokeffect zal andere organisaties aanzetten om na te denken over hun security. Zodat ze NIS2 niet zien als een framework met wat regeltjes, maar als een basis om sterke security uit te bouwen en data resilience te optimaliseren.
Dit is een ingezonden bijdrage van Veeam. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.