RDI: ‘Autonomie is fundament voor weerbaarheid’
Vanwege de toegenomen aandacht voor digitale autonomie brengt de Rijksinspectie Digitale Infrastructuur (RDI) een paper uit over het toezicht van de RDI op het gebruik van clouddiensten. De boodschap: cloudsoevereiniteit is geen wettelijke norm; digitale weerbaarheid is dat wél.
De RDI is toezichthouder op de aankomende Cyberbeveiligingswet (Cbw), de Nederlandse implementatie van de Europese NIS2-richtlijn. Met het paper schept de RDI meer duidelijkheid over de verwachtingen van organisaties die vallen onder de Cbw en die gebruikmaken van clouddiensten. Soevereiniteit is geen doel op zich, benadrukt de toezichthouder. Het gaat erom dat je controle hebt over data, processen en continuïteit, ongeacht welke cloudleverancier je gebruikt. Pas dan beschik je over digitale autonomie.
Jasper Nagtegaal, directeur digitale weerbaarheid RDI, stelt in het paper: ‘Organisaties die grip hebben op hun afhankelijkheden, zijn weerbaarder, ongeacht waar hun cloud draait. Organisaties die grip missen, blijven kwetsbaar, zelfs in een volledig ‘soevereine’ omgeving.’
Belangrijker dan het feit dat het Rijk een raamovereenkomst sluit met een Europese cloudleverancier zijn dus de voorwaarden die zijn bedongen. Die bepalen bijvoorbeeld of Rijksorganisaties straks nog makkelijk hun data kunnen weghalen bij de clouddienst als ze daar aanleiding toe zien.
‘Organisaties die grip missen, blijven kwetsbaar, zelfs in een volledig ‘soevereine’ omgeving.’
Jasper Nagtegaal, RDI
Welke mate van regie heeft een organisatie?
In tegenstelling tot cloudsoevereiniteit is digitale weerbaarheid een wettelijke norm. Op basis van de Cbw kijkt de RDI naar de mate van regie die een organisatie heeft over zijn clouddiensten. ‘Zo kan een niet-Europese leverancier acceptabel zijn voor de wet, mits de risico’s beheerst zijn. En kan een Nederlandse leverancier of oplossing in eigen beheer onacceptabel zijn, als die controle ontbreekt.’
Risicoanalyse en beveiliging van informatiesystemen
De Cbw verplicht organisaties passende maatregelen te nemen om risico’s voor de beveiliging van hun netwerk- en informatiesystemen te beheersen. De RDI bekijkt of organisaties die gebruikmaken van clouddiensten:
• Een duidelijk beveiligingsbeleid hebben vastgelegd met daarin in ieder geval: verantwoordelijkheden, taken, rollen, architectuur, beveiligingseisen en uitgangspunten, monitoring, logging en toegang.
• Begrijpen hoe cloudleveranciers de beschikbaarheid, integriteit en vertrouwelijkheid beïnvloeden van hun dienstverlening.
• Concrete maatregelen hebben genomen om afhankelijkheid van de cloudleverancier te minimaliseren (zoals multi-cloud of exit-strategieën).
• Doorlopend geïnformeerd blijven over risico’s en kwetsbaarheden.
• Maatregelen treffen ter voorkoming van verstoringen en in geval van verstoringen snel weer kunnen herstellen.
Beveiliging van de toeleveranciersketen
De Cbw gaat ook over de beveiliging van de toeleveranciersketen, waar cloudleveranciers een essentieel onderdeel van uitmaken. Organisaties moeten weten wie toegang hebben tot kritieke systemen die bij een clouddienst staan. Ze moeten contractueel vastleggen wie wat gaat doen bij incidenten. Welke onderleveranciers hebben toegang tot de cloudienst? Welke datalocaties gebruiken zij? En er moet een exit-strategie liggen.
De RDI beoordeelt in haar toezicht:
• Of een organisatie daadwerkelijk regie uitoefent op zijn afhankelijkheden in zijn cloudketen.
• Of deze regie aantoonbaar is via contracten, audits, certificeringen en technische maatregelen.
Effectiviteit van beleid en procedures
Dit soort rijtjes leiden makkelijk tot een veelheid aan beleidsdocumenten, maar daarmee ben je er niet. De nieuwe wet vereist dat het ook werkt in de praktijk. Dat krijg je voor elkaar door concrete criteria voor de selectie van cloudleveranciers op te stellen en je leveranciers daar ook regelmatig op te evalueren. Hetzelfde geldt voor risico’s: maak ze meetbaar en evalueer regelmatig hoe het ervoor staat.
De RDI kijkt of een organisatie kan aantonen dat het beleid in de praktijk wordt getest. Is er sprake van:
• Werkende exit-strategieën?
• Werkelijke spreiding van risico’s en afhankelijkheden door gebruik te maken van verschillende leveranciers?
Plaats een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.