NIS2 is een van de frameworks voor cybersecurity die in de meeste organisaties op de radar zouden moeten staan. De vertaling naar de organisatie komt meestal in handen van de CISO terecht. Alleen is het opvolgen en implementeren van dergelijke wetgeving niet eenvoudig, en al zeker niet als je weinig middelen hebt of geen klankbord vindt in de directiekamer.
Reguleringen rond cybersecurity zijn heel belangrijk, maar ze maken het behoorlijk complex voor organisaties. In de eerste plaats omdat het doorgaans over meerdere wetgevende kaders gaat die in zekere zin overlappen. NIS2 is ongetwijfeld de bekendste, maar afhankelijk van de sector moet je ook rekening houden met bijvoorbeeld DORA (voor de financiële wereld), de Cyber Resilience Act (voor software-en hardware-producten), en de Critical Entities Resilience Directive.
Een tweede uitdaging is de toepassing van al die richtlijnen. Terwijl het ene kader onmiddellijk van kracht wordt, moet het andere eerst door EU-lidstaten in lokale wetgeving worden omgezet. In dat laatste geval is de kans groot dat landen verschillende accenten leggen. Voor multinationals kan dat natuurlijk erg uitdagend zijn. Als België het CyberFundamentals (CyFun) framework van het CCB als leidraad voor compliance verkiest, dan kan het zijn dat een ander land de voorkeur geeft aan NIST, de ISO-standaard of iets wat ze zelf in elkaar hebben gestoken.
Wirwar aan regels
Op die manier krijg je een wirwar aan beleidskaders met verschillende deadlines, verschillende manieren om te implementeren, en verschillende vereisten op het gebied van rapportering. Ook de invulling van de regulering laat veel aan de verbeelding over. Als NIS2 stelt dat we maatregelen moeten nemen om de businesscontinuïteit te garanderen, dan is die omschrijving erg vaag. Het is dus essentieel om erover na te denken, jezelf te informeren en de essentie uit de wetgeving te distilleren. En die verantwoordelijkheid valt doorgaans ook in de schoot van de CISO.
Ook voor de CISO is wetgeving vaak erg complex. Meestal heeft dit profiel een eerder technische achtergrond en dat gaat zelden samen met wetgeving. Grote organisaties kunnen terugvallen op een juridische dienst, maar zelfs voor juridische experts is regulering rond cybersecurity een apart vakgebied. En ook als je weet wat de potentiële sancties zijn en wat er moet gebeuren om compliant te zijn, dan is er nog altijd niets concreet geïmplementeerd.
CISO vindt geen klankbord
Daar komt nog eens bij dat de CISO weinig middelen heeft en amper gehoor krijgt op het niveau van de board. De ‘C’ in de afkorting staat officieel voor ‘Chief’, maar in de praktijk staat er altijd nog minstens één persoon boven de CISO. En dat maakt het moeilijker om een boodschap tot bij de directie te brengen. Bovendien zou de ‘C’ voor ‘Collaborator’ en ‘Communicator’ moeten staan. Maar dat is al helemaal een probleem. Zelfs als de CISO in de board geraakt, dan nog is het moeilijk om de problematiek op een begrijpbare manier uit te leggen.
Het gevolg is een hoge werkdruk en bijgevolg vaak ook een groot verloop. De gemiddelde CISO moet alle taken omtrent compliance bovenop z’n bestaande werk nemen. Er zijn ook bedrijven die geen CISO hebben en de puzzel onder meerdere mensen verdelen, wat de opvolging nog chaotischer maakt. Voor veel bedrijven is het bovendien letterlijk vanaf nul beginnen, waardoor ze niet vanaf dag 1 een fulltime job hebben voor een CISO, omdat er nog andere, eerder technische katten dienen gegeseld te worden. Om die reden wordt CISO-as-a-Service steeds populairder. Het helpt voornamelijk om al de eerste stappen te zetten, zodat organisaties uiteindelijk iemand voltijds in dienst kunnen nemen.
Naar een risico-gebaseerde aanpak
Gelukkig helpt NIS2 wel om cybersecurity op de agenda te zetten en voldoende bewustzijn te creëren. Dat komt omdat de board tot op zekere hoogte aansprakelijk is wanneer een cyberaanval schade aan de organisatie of de maatschappij aanricht. En in tegenstelling tot bijvoorbeeld de GPDR – waarbij het aantal boetes eerder beperkt is gebleven – zien we dat er bij het opstellen van NIS2 wel goed is nagedacht over het afdwingen van compliance. Het stimuleert bedrijven om erover na te denken en over te schakelen op een meer risico-gebaseerde aanpak.
Wat zijn de oplossingen voor CISO’s die met NIS2 en andere wetgevingen worstelen? Een goede cybersecuritypartner kan je helpen om een sterk verhaal uit te bouwen. Er zijn ook producten op de markt die claimen dat ze compliant zijn met NIS2. Hoewel dat tot op zekere hoogte best waar kan zijn, mag je nooit denken dat je in één klap compliant bent. Een product is eigenlijk niets meer dan de automatisatie van het compliance-traject dat je al begonnen bent. Wees in elk geval alert voor zelfverklaarde experts. Zij gaan vaak heel opportunistisch te werk en we moeten ons ook de vraag stellen of je expert kunt zijn in iets wat we met z’n allen aan het ontdekken zijn.
Uiteindelijk komen NIS2 en andere wetgevingen op één kernvraag neer: wat moet je doen om het bedrijf na een incident zo snel mogelijk weer op te starten? Als je die vraag kunt oplossen, kom je al een heel eind ver. Het heeft geen zin om 150 miljoen euro aan cybersecurity uit te geven als je organisatie een omzet van 100 miljoen euro heeft. Alles draait rond proporties en interpretatie. Door gebrek aan budget is het niet mogelijk om al het werk in één keer te doen. En dat is met een risico-gebaseerde aanpak niet nodig. Door de risico’s in kaart te brengen, kan je de juiste prioriteiten stellen die je op korte termijn moet aanpakkenen welke je op de langere baan kan schuiven.
Het is aan de CISO om die vertaalslag te maken – idealiter bijgestaan door een gespecialiseerde partner die helpt om de essentie van wetgeving voor je organisatie te achterhalen, een framework in te schakelen en compliance aantoonbaar te maken.
Dit is een ingezonden bijdrage van Jan De Bondt, Director Audit and Business Consulting bij Orange Cyberdefense. Klik hier voor meer informatie over de oplossingen van het bedrijf.