NIS2: In 10 stappen naar een nieuwe cyberveilige organisatiecultuur

Cyberveiligheid verankeren in de organisatie

Om er als bestuur voor te zorgen dat het cyberbeleid in de haarvaten van de organisatie doordringt, zal het een cultuurverandering in gang moeten zetten. Dat betekent luisteren naar de organisatie, kennis opdoen, trainen, het beleid actief in de organisatie communiceren en zelf het goede voorbeeld geven. Door deze veranderingen mee te nemen in de organisatie zal de cultuur langzaam verbeteren in de houding naar cybersecurity. Dit kost tijd, dus gebruik de tijd die u heeft en begin vandaag.

In 10 stappen naar een nieuwe cyberveilige organisatiecultuur

1. Bepaal eerst of uw organisatie onder de NIS2 richtlijn valt. Is NIS2 van
   toepassing? Neem dan niet een afwachtende houding aan, maar wijs een NIS2-contactpersoon aan (bijvoorbeeld de CISO) die deze richtlijn samen met het bestuur implementeert. Ook als de organisatie niet onder de richtlijn valt, is het verstandig na te gaan of de vereisten wel van toepassing zijn op andere partijen die zich in dezelfde toeleveringsketen bevinden. Wanneer bijvoorbeeld een leverancier wil leveren aan een organisatie die NIS2-plichten heeft, dan worden aan hun dienstverlening NIS2-vereisten gesteld. Want wat als een leverancier gehackt wordt en drie weken platligt? Kan deze
   leverancier alle verwachtingen dan nog steeds waarmaken?
   
   
2. Laat u als bestuurder goed informeren, zodat u weet welke specifieke cyberdreigingen er spelen, deze goed begrijpt en weet welke maatregelen u kunt nemen. De CIO zit vaak aan de bestuurstafel, maar de CISO lang niet altijd. Daardoor dringen risicobeoordelingen
   en analyses vaak niet door tot de bestuurders, of zonder de juiste toelichting of urgentie. Hierdoor worden beslissingen over maatregelen en budgetten genomen zonder de juiste informatie.
   
   
3. Zorg dat u op de hoogte blijft van significante incidenten binnen de organisatie. Als er iets gebeurt, wilt u snel kunnen reageren. Dit vereist een goed begrip van cyberdreigingen en het bestaande incident-responseplan. Dat vergt oefening en training voor het bestuur.
   
   
4. Bespreek de rapportage van cybersecurity-inspanningen regelmatig aan de bestuurstafel. Dit kan door KPI’s te bespreken of door cyberincidenten inhoudelijk te bespreken en welke lessen er geleerd om eenzelfde incident in de toekomst te voorkomen.
   
   
5. Laat een incident response-plan samenstellen. Investeer daarnaast in businesscontinuïteitsmanagement (BCM) en test scenario’s regelmatig. Het bestuur dient een rapportage te krijgen over de vorderingen en de behaalde resultaten uit het testen van scenario’s.
   
   
6. De samenwerking met externe partijen is belangrijk. Werk samen met leveranciers en klanten om de effecten van een cyberaanval te bespreken op bijvoorbeeld leveringen. Het is belangrijk voor leveranciers te begrijpen dat zij ook essentieel of belangrijk zijn als zij leveren aan de organisatie die dezelfde status heeft. Zorg voor heldere afspraken, maar ook voor fallbackplannen als een leverancier getroffen wordt door een cyberaanval.
   
   
7. Ontwikkel een informatiebeveiligingsbeleid (of pas het bestaande aan) om te voldoen aan de eisen die NIS2 stelt. Audits helpen het bestuur te bepalen of het gevoerde beleid effectief is en zo nodig om bijsturing te vragen.
   
   
8. Ga een intensievere samenwerking met nationale autoriteiten aan, zoals met de verantwoordelijke toezichthouder. Voldoe aan de vereisten die deze autoriteiten van het bestuur vragen. Zorg dat tenminste twee medewerkers een ‘significant’ incident kunnen melden. Zorg ervoor dat informatie over cyberdreigingen die zijn gemeld via de autoriteiten worden verspreid in de organisatie.
   
   
9. Werk bij een internationale samenwerking aan due dilligence en stem tenminste het cyberbeleid met elkaar af om te zorgen dat cybermaatregelen van toepassing zijn en beide partijen hun cyberbeleid kunnen versterken.
   
   
10. Organiseer cybertrainingen voor het bestuur die zijn afgestemd op de specifieke behoeften en risico's van de organisatie. Trainingssessies kunnen worden georganiseerd door interne experts, externe consultants of door deel te nemen aan externe trainingsevenementen en conferenties gericht op cybersecurity en NIS2-naleving. Het bestuur is proactief betrokken bij het trainingsproces en zij zorgen ervoor dat zij de benodigde kennis en vaardigheden ontwikkelen om effectief bij te dragen aan de cybersecurity van de organisatie.