Security & Overheid deel 4: de balans tussen weerbaarheid en werkbaarheid
Met de komst van NIS2 is het niet langer voldoende om het eigen huis op orde te hebben. De uitdaging voor de komende jaren wordt het veilig houden van niet alleen de eigen organisatie, maar ook de omgeving. Op Security & Overheid 2024 stond de vraag centraal hoe cybersecurity binnen het ecosysteem op een hoger plan kan komen. Deel vier: de balans tussen weerbaarheid en werkbaarheid.
Ga ervan uit dat het misgaat
Guill van den Boom van EY leidt een paneldiscussie tussen Roxane Kortland van I-Interim Rijk, Carlo Schreurs, CISO bij Friesland Campina en Hans de Vries van het European Union Agency for Cybersecurity (ENISA).
Weerbaarheid is voorkomen dat het misgaat door ervan uit te gaan dát het misgaat en te zorgen dat je goed terug kan komen als het misgaat. Wijze woorden van Roxane Kortland, die erop wijst dat elke overheidsorganisatie in zichzelf een ecosysteem is. “Praat met elkaar in plaats van naar elkaar te wijzen. Het is óns probleem.”
Roxane Kortland en Carlo Schreurs in gesprek met Guill van den Boom | Beeld: JTDproducties
Goede benaming zoeken
Carlo van der Boom zag met eigen ogen hoe IT en cyber van een ‘klein dingetje’ uitgroeiden naar een onderwerp dat op de kaart staat bij FrieslandCampina. Daar was een changemanagementtraject voor nodig, met veel aandacht voor de benaming van zaken. Zo zul je ze bij FrieslandCampina niet horen over ‘zero trust’ maar over ‘adaptive trust’, het vertrouwen uitstralen naar medewerkers dat ze op een gezonde manier met machines omgaan. “We merken dat het erg resoneert.”
Meer hulp nodig
Hans de Vries, de voormalig directeur van het Nationaal Cybersecurity Centrum (NCSC), werkt tegenwoordig bij ENISA, dat onder meer advies en steun geeft aan de lidstaten om activiteiten uit te voeren, zoals red teaming en cyberoefeningen. Het is aan nationale centra zoals het NCSC om die activiteiten vervolgens uit te rollen. Volgens De Vries geldt Nederland als een voorbeeldland in cyberweerbaarheid. Anderen landen maken veel meer gebruik van het aanbod van ENISA, omdat ze meer hulp nodig hebben.
Risico’s in kaart
NIS2 gaat uit van een risicogebaseerde aanpak, waarbij organisatie de juiste maatregelen nemen op het juiste niveau, met als doel om de beveiliging als geheel op een hoger peil te krijgen. Zijn we daartoe in staat, wil Van den Boom weten.
Kortland: “We zijn goed in het kaart brengen van risk, maar niet in het in kaart brengen van de risk appetite. Dat is verantwoordelijkheid nemen. En vervolgens oefenen binnen de eigen organisatie: hebben we een business continuity plan voor als het misgaat?”
Verknipte overheid
De Vries verwijst naar de “goede speech” van Inge Bryan. “De vraag is natuurlijk: wat gaan we ermee doen? Elke organisatie maakt kansen- en risicoanalyses op elk vlak, maar voor cyber moet je je ook realiseren dat het geld en middelen kost als je het wil verbeteren.”
De overheid is “verknipt”, stelt hij vast. Als het gaat om veiligheid kun je beter afhankelijk zijn van minder ICT-dienstverleners. “De supply chain is probleem nummer één, het ontbreken van skills en mensen die het kunnen aanpakken is probleem nummer twee, maar dat zou straks weleens nummer één kunnen worden.”
Complex voor bedrijven
NIS2 helpt, maar maakt het ook bijzonder complex voor bedrijven als FrieslandCampina. Carlo Schreurs vindt aan de ene kant dat het volwassenheidsniveau dat NIS2 vereist van een bedrijf mag worden verwacht (“eigenlijk zouden we niks extra’s moeten doen om eraan te voldoen”), maar ziet in de praktijk dat slechts 2 van de 27 lidstaten alles rond hebben. Als de Hongaarse overheid de fabriek daar vraagt om aan te tonen dat ze compliant zijn, kijken ze naar het centrale team in Nederland.
De Vries beaamt dat de impact voor organisaties door de overheid uit het oog wordt verloren. Hij had liever gezien dat NIS2 een verordening (act) was, net zoals de Cyber Resilience Act, de Data act, et cetera, zodat de vertaling naar nationale wetgeving niet zoveel voeten in de aarde zou hebben.
‘Take aways’ van het panel
Carlo Schreurs: Werkbaarheid en weerbaarheid staan niet tegenover elkaar. Beschouw weerbaarheid als een transformatietraject. Kies de juiste benaming en branding.
Hans de Vries: Ga niet te laat van huis. Bij het huidige nieuwe normaal horen beveiligingsmaatregelen. Leg de verantwoordelijkheid op een zo’n hoog mogelijk niveau. Grote partijen moeten de kleine helpen beschermen.
Roxane Kortland: Weerbaarheid moet overal in de organisatie zitten. Informatiebeveiliging is een grondrecht. Daar is een andere manier van denken nodig, wellicht ook een andere soort mensen: geef ruimte aan neurodiversiteit.
Lees ook: