Het implementeren van regelgevende kaders zoals NIS2 is cruciaal voor organisaties om hun digitale activa te beschermen. Laten we eens kijken naar de praktische uitdagingen en strategische verschuivingen die nodig zijn voor effectief cyberbeveiligingsbeheer, waarbij het belang van verantwoordelijkheid van bovenaf wordt benadrukt.
Christo Butcher, executive consultant bij Fox Crypto, biedt een verhelderend perspectief op de complexiteit van de NIS2-richtlijn. Hij benadrukt dat de kracht van de richtlijn ligt in het stimuleren van verantwoordelijkheid van bovenaf, om ervoor te zorgen dat cyberbeveiliging op de hoogste organisatieniveaus wordt erkend als een strategisch aandachtspunt. Christo legt uit: "Veel bedrijven weten niet zeker hoe ze NIS2 moeten implementeren vanwege de abstracte aard ervan. De brede reikwijdte van de richtlijn betekent dat deze weliswaar de juiste toon zet voor verantwoordelijkheid, maar geen direct uitvoerbare stappen biedt die bedrijven kunnen volgen."
De dynamiek van CEO en CISO
NIS2 introduceert een belangrijke verschuiving in de toewijzing van cyberbeveiligingsverantwoordelijkheden binnen organisaties. Van oudsher konden CEO's en andere topmanagers cyberbeveiligingskwesties delegeren aan de CISO of IT-afdeling, vaak zonder zich diepgaand bezig te houden met de complexiteit van cyberbeveiligingskwesties. Christo benadrukt: "Vóór NIS2 was het voor CEO's te gemakkelijk om cyberbeveiliging volledig over te laten aan de CISO of IT-afdeling. NIS2 is hier heel duidelijk over: de eindverantwoordelijkheid ligt nu bij de top."
De verantwoordelijkheid verschuift, maar de implementatie wordt nog steeds voornamelijk gedaan door de CISO en hun teams. Dat introduceert een kritieke spanning: hoe kunnen CEO's ervoor zorgen dat die teams cyberbeveiligingsrisico's effectief beheren? "Deze spanning is gunstig omdat het de uiteindelijke besluitvormers sterk aanmoedigt om het cyberbeveiligingslandschap te begrijpen en zich ermee bezig te houden. Ik voorzie een productieve ontwikkeling waarbij beide lagen van de organisatie - het strategisch leiderschap en de operationele cyberbeveiligingsteams - moeten toewerken naar een gemeenschappelijk begrip. Deze gezamenlijke inspanning is cruciaal voor organisaties om de kloof tussen besluitvorming op hoog niveau en technisch risicobeheer te overbruggen."
Een cultuuromslag
Het bereiken van dit wederzijds begrip vereist meer dan alleen structurele veranderingen; het vereist een cultuuromslag binnen organisaties. "Vaak begrijpt de CEO de status van cyberbeveiliging niet volledig en zijn de lagere lagen niet in staat om dit effectief over te brengen. We moeten oplossingen vinden om beide partijen te helpen elkaar te begrijpen. Deze cultuuromslag omvat het ontwikkelen van een gedeelde taal en een raamwerk dat zowel leidinggevenden als technische teams kunnen gebruiken om cyberbeveiligingsrisico's te bespreken en strategieën op elkaar af te stemmen.
Het gaat er niet om in één keer een perfecte risicoanalyse te maken. Begin met het identificeren van belangrijke risico's die van betekenis zijn op directieniveau, zoals ransomware of spionage, en ontwikkel vervolgens een wederzijds begrip tussen de CEO en de CISO over deze risico's. Deze gezamenlijke aanpak helpt om de perspectieven van beide partijen na verloop van tijd op elkaar af te stemmen, zodat zowel de strategische als de operationele aspecten van cyberbeveiliging adequaat worden aangepakt.
Begin met risicodiscussies op hoog niveau en werk geleidelijk toe naar meer gedetailleerde analyses. De CEO wordt zelden een expert op het gebied van cyberbeveiliging, dus haar rol is om de CISO uit te dagen en in staat te stellen om het risicolandschap voor cyberbeveiliging te bepalen en over te brengen in een formaat dat geschikt is voor strategische besluitvorming. Een deel van de rol van de CISO is top-down: het vertalen van risico's op hoog niveau, zoals ransomware, naar de bedreigingen die ze daadwerkelijk vormen voor de organisatie. Ransomware is bijvoorbeeld niet één ding, maar een hele verzameling hackertools en -technieken die zich blijft ontwikkelen. Dit is veel te gedetailleerd voor de CEO, maar dat is het niveau waarop de CISO en hun teams opereren. Het andere deel van de rol van de CISO is bottom-up: al die details samenvatten in een duidelijke boodschap aan de CEO, die de uiteindelijke verantwoordelijkheid draagt.
Dit heen-en-weer proces helpt bij het opbouwen van een goed begrip, stemt de strategische prioriteiten van de organisatie af op de operationele capaciteiten en, het allerbelangrijkste, bouwt vertrouwen op tussen de organisatorische lagen," legt Christo uit.
Absolute regeling met datadiodes
De huidige beveiligingsmaatregelen kennen veel beperkingen. Christo benadrukt: "E-mailbeschermingstools kunnen sommige phishingmails uitfilteren en MFA kan de meeste vormen van accountovername voorkomen - maar cybercriminelen blijven nieuwe manieren vinden om deze maatregelen te omzeilen. Bewustwordingscampagnes helpen, maar phishingmails worden steeds geavanceerder. Dit is de wapenwedloop waarin we ons allemaal bevinden en die constante waakzaamheid en middelen vereist, waardoor het voor elke organisatie een uitdagende taak is. Topmanagers, nu eindverantwoordelijk voor cyberbeveiliging, zien dit vaak als een ongemakkelijk grijs gebied: cyberbeveiliging blijft veranderen, het is nooit af en elke dag kunnen ze worden getroffen door een verwoestende verrassing.
Daarom is er een groeiende interesse in eenvoudige, zwart-wit beveiligingsoplossingen die wel hoge veiligheidsgaranties bieden. Datadiodes zijn een duidelijk voorbeeld en bieden een veel sterkere beveiligingsgarantie vanwege hun fundamentele benadering van beveiliging. Ze laten gegevens slechts in één richting stromen en garanderen absolute veiligheid in dat kanaal. Deze technologie kan met name waardevol zijn in gebieden met een hoog risico van het netwerk van een organisatie en zorgt voor gemoedsrust bij leidinggevenden die zich zorgen maken over de kwaliteit van hun cyberbeveiligingsmaatregelen. De controle die een datadiode biedt, is zo absoluut dat hij niet zo breed kan worden ingezet als een firewall. Het is niet geschikt voor elk deel van een netwerk, maar kan zeer effectief zijn in specifieke gebieden met een hoog risico."
Datadiodes en segmentatie
NIS2 benadrukt het belang van het beschermen van je kroonjuwelen en het gebruik van segmentatie om dat te doen. Christo voegt hieraan toe: "Segmentatie is cruciaal bij het creëren van beveiligingszones binnen een organisatie. Deze aanpak zorgt voor meer gedetailleerde controle en beter risicobeheer. Een datadiode kan bijvoorbeeld absolute beveiliging bieden in één richting, zodat kritieke systemen geïsoleerd blijven van potentiële bedreigingen."Kortom, dit betekent dat organisaties steeds vaker een scheiding willen tussen de gegevensverzameling en eventuele gecentraliseerde bewakings- of beheersplatforms voor beveiligingsincidenten, vanwege de complexiteit van de software in deze sensoren of de variaties in fysieke beveiliging. We hebben dit probleem opgelost door de datadiode te integreren, zoals u kunt lezen in dit succesverhaal van een klant.
Meer weten? Volg ons op 7 november om 15:00 voor een inzichtelijk webinar over de nieuwe NIS2-richtlijn en de cruciale rol van netwerksegmentatie. Samen met Europees Parlementslid Bart Groothuis bespreken we:
- Wat betekent de NIS2-richtlijn voor jouw organisatie en waarom is deze belangrijk?
- Hoe verbetert netwerksegmentatie uw beveiliging in lijn met de NIS2-vereisten?
- Wat zijn de risico's als uw organisatie niet voldoet aan de NIS2-richtlijn?
- Welke voordelen biedt de implementatie van de NIS2-richtlijn voor uw organisatie?
- Welke eerste stappen moet je organisatie nemen om te voldoen aan NIS2 en segmentatie effectief te implementeren?
Klik hier om je in te schrijven.