De NIS2 cyberbeveiligingswet zorgt voor een nieuwe realiteit. Wanneer organisaties over cybersecurity praten, kijken ze vaak naar hun eigen systemen. Volgens Roy Sandbergen, CISO van ICT-dienstverlener Hallo, is dat niet meer voldoende.
NIS2 verschuift de aandacht naar de gehele digitale keten.
De meeste organisaties hebben veel meer leveranciers dan ze denken
Veel bedrijven noemen direct hun IT-leverancier.
Maar in werkelijkheid bestaat de digitale keten uit veel meer partijen: Cloudleveranciers, softwareleveranciers, HR-systemen, boekhoudpakketten, websitepartijen, hostingproviders en MSP’s. Ook zijn er bedrijven met machines waar software in zit.
Elke partij vormt een potentiële afhankelijkheid.
Aantoonbaarheid wordt de nieuwe norm
Onder NIS2 moeten organisaties niet alleen maatregelen nemen. Ze moeten ook kunnen aantonen dat zij hun leveranciersrisico’s beheersen.
Dat betekent:
- Leveranciers beoordelen
- Afspraken vastleggen
- Bewijs verzamelen
- Periodiek evalueren
Volgens Sandbergen wordt documentatie daarom steeds belangrijker: “Als iets niet vastligt, wordt het ook lastig om elkaar erop aan te spreken.”
Waarom certificering steeds belangrijker wordt
Steeds meer NIS2-organisaties vragen hun leveranciers om aantoonbaar bewijs van cybersecurity. Een vragenlijst alleen is daarbij niet meer voldoende.
NIS2 Supply Chain certificering biedt een onafhankelijke audit en maakt zichtbaar welk niveau van cybersecurity een leverancier heeft bereikt.
Certificering is geen eindpunt
Tegelijkertijd waarschuwt Sandbergen voor een belangrijke valkuil. Een certificaat is waardevol, maar vervangt nooit het gesprek tussen klant en belangrijke leveranciers.
“Je kunt een uitstekend gecertificeerde leverancier hebben, maar als de dienstverlening niet aansluit op jouw behoeften, ontstaat er alsnog een risico.”
Certificering moet daarom worden gezien als een sterke basis voor vertrouwen en risicobeheersing.
De komende jaren
Volgens Sandbergen zal de druk vanuit NIS2-organisaties richting leveranciers alleen maar toenemen.
Klanten gaan steeds vaker vragen:
- Welke maatregelen heb je genomen?
- Kun je die aantonen?
- Ben je gecertificeerd?
Voor leveranciers wordt aantoonbare cybersecurity daarmee steeds meer een voorwaarde om zaken te blijven doen.
Je kunt cybersecurity niet volledig uitbesteden
Volgens Sandbergen blijft de verantwoordelijkheid uiteindelijk altijd bij de organisatie zelf.
“Natuurlijk heeft een leverancier een verantwoordelijkheid, maar uiteindelijk gaat het om jouw bedrijfsvoering.”
Daarom moeten organisaties regelmatig beoordelen: Welke leveranciers kritisch zijn, welke risico’s zij veroorzaken, welke afspraken zijn gemaakt en hoe zorg je voor een goed bewijs dat jet het echt hebt gedaan.
Wacht niet op een incident
De bewustwording groeit, maar veel organisaties hebben de basis nog niet volledig op orde. Tegelijkertijd benadrukt Sandbergen dat cybersecurity nooit af is.
“Een paar jaar geleden maakte MFA het hackers direct een stuk moeilijker. Tegenwoordig zien we dat aanvallers ook mét MFA sessies kunnen overnemen nadat iemand succesvol heeft ingelogd. En dat aanvullende maatregelen dus nodig zijn. Dat laat zien hoe snel het speelveld verandert.”
Daarom is zijn advies eenvoudig:
“Begin vandaag. Zorg dat de basis op orde is. Maar denk vervolgens niet dat je klaar bent.”
