Om cyberbeveiligingsrisico’s effectief te beheren en te monitoren, is het essentieel om te inventariseren en te toetsen of de organisatie beschikt over voldoende middelen en expertise.
Denk bijvoorbeeld aan het hebben van een goed getraind team, continu onderhouden van continuïteitsprocessen en de implementatie van up-to-date beveiligingsmaatregelen. Daarnaast is het belangrijk om regelmatig de capaciteiten te testen en te verbeteren, zodat organisaties voorbereid zijn op nieuwe en opkomende cyberdreigingen. Een goede cyberbeveiligingsstrategie vereist een proactieve houding. Dit omvat regelmatige evaluaties en updates van het cyberbeleid en maatregelen. Bovendien is training van personeel niet een eenmalige exercitie, maar iets voortdurends, net als investeringen in nieuwe technologieën.
Welke rol speelt de samenwerking met andere organisaties en autoriteiten hierbij?
Bestuurders spelen een cruciale rol, omdat zij direct verantwoordelijk zijn voor het integreren van cyberbeveiliging in de strategische besluitvorming van hun organisatie.
Een nauwe samenwerking met verantwoordelijke autoriteiten en andere organisaties in de sector helpt bij het voldoen aan de samenwerkings- en rapportageeisen van de cyberbeveiligingswet. Dit kan door het opzetten van duidelijke communicatiekanalen, regelmatige uitwisseling van dreigingsinformatie en best practices, en het deelnemen aan gezamenlijke incident response-initiatieven. Een gestroomlijnde interne rapportagestructuur zorgt ervoor dat er tijdig en accuraat kan worden voldaan aan de vereisten van de cyberbeveiligingswet. We hebben het dus uiteindelijk over het creëren van een cultuur van voortdurend verbeteren en aanpassen. Dat is de sleutel tot effectieve cyberbeveiliging.
NIS2 is er voor u het weet. Bestuurder, u bent aan zet!
De nieuwe cyberbeveiligingswet op basis van de EU-richtlijn NIS2 zal vanaf oktober 2024 al gevolgen hebben voor veel organisaties. De wet heeft als doel de cyberbeveiliging binnen Europa te versterken en kritieke infrastructuren en vitale sectoren te beschermen tegen de steeds complexere en frequentere cyberdreigingen.
Het zorgt voor een gecoördineerde aanpak en stelt beveiligingsstandaarden voor die essentieel zijn voor de stabiliteit en beveiliging van onze digitale samenleving. Maar wat betekent dit concreet voor u als bestuurder?
Wat verandert er precies?
- De reikwijdte van de cyberbeveiligingswet is uitgebreid met meer sectoren en entiteiten en middelgrote bedrijven met minimaal 50 werknemers en een omzet van meer dan € 10 miljoen.
- Maatregelen voor risicobeheer op het gebied van cyberbeveiliging worden aangescherpt.
- Beveiliging van de toeleveringsketen (supply chain security) valt ook binnen het toepassingsgebied.
- Hogere boetes (maximaal € 10 miljoen of maximaal 2 procent van hun totale wereldwijde bedrijfsjaaromzet; welke van beide het hoogst is).
- Bestuurders zijn verantwoordelijk en kunnen aansprakelijk gesteld worden. Zij moeten trainingen volgen om cyberrisico’s en – beveiliging echt te kunnen begrijpen.
NIS2 levert risico’s op, maar ook kansen
Een incident response-plan klaar hebben liggen is noodzakelijk, omdat het zorgt voor een snelle en gecoordineerde reactie op een cyberincident.
De nieuwe wetgeving brengt (aansprakelijkheids)risico’s met zich mee. Het belang van cyberbeveiliging moet daarom tot in de haarvaten van de organisatie zijn doorgedrongen. Het is de taak van het bestuur om uit te dragen dat cyberrisico’s de hoogste prioriteit hebben. Om deze boodschap te laten landen bij managers en medewerkers, moet de ‘tone at the top’ goed zijn. Maar als organisaties de cyberbeveiligingswet puur als het afvinken van verplichtingen zien, slaan ze de plank mis. Het biedt namelijk ook de kans om serieus werk te maken van een organisatiecultuur waarin cyberbeveiliging in alle lagen is verankerd. Dit stelt organisaties in staat zich als vertrouwde partner binnen de gehele supply chain te profileren, investeringen aan te trekken en hun concurrentiepositie te vergroten.
Actieve rol van bestuurders is essentieel
De verantwoordelijkheid van het bestuur strekt zich uit van beleidsvorming tot het bevorderen van een organisatiebrede cultuur van veiligheidsbewustzijn. Door actief betrokken te zijn bij risicobeheer en het naleven van regelgeving, zorgen bestuurders ervoor dat de organisatie niet alleen voldoet aan wettelijke vereisten, maar ook beter voorbereid is op dreigingen die de bedrijfscontinuïteit kunnen ondermijnen. Een succesvolle, effectieve implementatie van de cyberbeveiligingswet is afhankelijk van hoe organisaties hun cyberstrategie aanpassen en hierover naar iedereen communiceren. Dit doe je er niet even bij; het vraagt om een cultuurverandering.
Zet een cultuurverandering in gang
Om als bestuur voor een volwassen cyberbeleid te zorgen, zal het een cultuurverandering in gang moeten zetten. Dat betekent luisteren naar de organisatie, kennis opdoen, trainen, het beleid actief in de organisatie communiceren en zelf het goede voorbeeld geven. Door deze veranderingen mee te nemen in de organisatie zal er een constructieve, effectieve en continu lerende houding ten aanzien van cyberbeveiliging ontstaan. Dit kost tijd, dus gebruik de tijd die u heeft en begin vandaag.
Wat zijn de kenmerken van een organisatie die voldoet aan de cyberbeveiligingswet?
- Er wordt door het bestuur duidelijk gecommuniceerd wat de visie en waarden zijn die horen bij de cyberbeveiligingswet. Managers en medewerkers begrijpen deze communicatie en voeren de benodigde veranderingen door in de organisatie.
- Cyberbeveiliging is als onderdeel in de organisatiestrategie opgenomen. Hiermee wordt aangetoond dat de organisatie weerbaarder wil zijn tegen cyberaanvallen.
- Het bestuur vertoont het gewenste gedrag om de veranderingen binnen de cultuur van de organisatie uit te dragen naar iedereen. Medewerkers accepteren de veranderingen als zij zien dat het bestuur en de managers dit ook doen.
- De mindset, vaardigheden en gewoonten van iedereen binnen de organisatie worden op peil gehouden door training en ontwikkeling. Iedereen is ervan doordrongen dat elke organisatie vatbaar is voor een cyberaanval.
- De cultuurverandering wordt geëvalueerd, zodat problemen aan de bestuurstafel besproken worden en veranderingen kunnen worden doorgevoerd. Het bestuur luistert naar de dynamiek van de organisatie, optimaliseert waar nodig en past de effectiviteit aan naar aanleiding van ontvangen feedback.
- Het bestuur is zich ervan bewust dat cultuurveranderingen tijd kosten en is vasthoudend aan haar visie om cyberbeveiliging binnen de organisatie te verbeteren, ook als het even niet meezit.
Welke stappen moet u zetten om goed voorbereid te zijn op NIS2?
Om goed voorbereid te zijn op de nieuwe cyberbeveiligingswet moeten organisaties meerdere stappen zetten. We hebben deze samengevat in een handig stappenplan voor bestuurders. Een van de stappen is bijvoorbeeld het opstellen van een incident response-plan. Dit stelt organisaties in staat om snel en effectief te reageren op cyberincidenten. Dit vermindert niet alleen de financiële schade en hersteltijden, maar helpt ook juridische en reputatieschade te beperken, wat essentieel is voor de bedrijfscontinuïteit en het vertrouwen in de organisatie.
In 10 stappen naar een nieuwe cyberveilige organisatiecultuur
Wilt u weten hoe u de cyberbeveiligingswet verankert in uw organisatie? Download dan nu het stappenplan.
