Winkelmand

Geen producten in de winkelwagen.

DORA en NIS2 zijn een prachtige kans om uw organisatie verder te versterken

Laatst bijgewerkt: 20-06-2023 00:01:58

Persbericht - Ook als business manager heeft u een rol te spelen in compliance. Wie slim is ziet hierin niet zozeer een administratieve last, maar vooral een kans op interne verbetering.

Wytze Rijkmans, Regional Vice President, Tanium

Sociale media zijn goede graadmeters voor job rotatie. Je ziet niet alleen wie van baan verandert, je kunt ook vaststellen welke functies op een bepaald moment heel populair zijn. De laatste maanden valt het op dat er veel vraag is naar Chief Information Security Officers, Chief Risk Officers en Compliance Managers. Dat is geen modegril, maar eerder het gevolg van de nieuwe Europese richtlijnen DORA en NIS2 die binnenkort van kracht worden.

Ook als business manager heeft u een rol te spelen in compliance. Wie slim is ziet hierin niet zozeer een administratieve last, maar vooral een kans om de interne organisatie verder te verbeteren.

DORA – meer dan een animatiefilm

Voor we het over uw verantwoordelijkheden hebben, eerst een korte uitleg  over het waarom van deze nieuwe regels. Nu technologie een steeds grotere rol speelt in ons privéleven en in het succes van onze bedrijven, is het belangrijk om die technologie goed te beschermen. Software bevat soms kwetsbaarheden die door cybercriminelen gebruikt kunnen worden om bedrijfsgegevens te stelen of data te versleutelen en losgeld te vragen.

Helaas zijn ook Nederlandse bedrijven in toenemende mate slachtoffer van ransomware. Wordt een bedrijf en organisaties aangevallen, dan is dat een probleem. Wordt kritieke infrastructuur aangevallen, dan wordt dat zelfs een enorm probleem. Om organisaties te verplichten orde op zaken te stellen inzake IT-en data beveiliging vaardigt de Europese Unie daarom DORA en NIS2 uit. Beide richtlijnen worden in 2024 van kracht. Van enige urgentie is dus zeker sprake met nog maar een jaar te gaan.

Deze voorschriften moeten ervoor zorgen dat organisaties een hoog niveau van cyberhygiëne handhaven. Hoewel nooit kan worden gegarandeerd dat hiermee alle aanvallen worden voorkomen, wordt het bij goede implementatie van DORA en NIS2 voor aanvallers veel moeilijker om succesvol te zijn. Het bevordert namelijk de zorgvuldigheid van IT-afdelingen en cyberbeveiligingsteams, zodat zij samenwerken om de gegevens van hun organisatie en hun klanten veilig te houden. Het bevordert ook preventieve beveiligingsmaatregelen in plaats van alleen maar te reageren wanneer zich problemen voordoen.

DORA (voluit Digital Operational Resilience Act) is specifiek gericht op financiële dienstverleners, omdat die de ruggengraat vormen van onze economie. DORA legt een uniforme set standaarden op voor het leveren van digitale financiële diensten, stroomlijnt de bestaande cybersecurity-regels binnen de sector en verplicht financiële dienstenleveranciers ook tot uniforme rapportering.

NIS2 is een uitbreiding van de Network and Information Systems-richtlijn die al sinds 2016 van kracht is. Die richtte zich toen op kritieke infrastructuur als financiële dienstverlening, transport, energievoorziening en gezondheidszorg, maar breidt nu uit naar meer sectoren en overheidsdiensten. Iedereen die onder NIS2 valt, moet sneller inbreuken rapporteren en moet kunnen bewijzen dat ze alle nodige voorzorgen genomen hebben. Niet alleen bij zichzelf, maar ook bij alle IT- en andere leveranciers waar zij mee samenwerken.

Geen technische kwestie

Als business manager weet u als geen ander dat technologie belangrijk is voor de groei van uw bedrijf en voor een efficiënte bedrijfsvoering. Dus zijn ook DORA en NIS2 voor u een prioriteit, en dan met name hierom:

  • Indien uw bedrijf binnen het toepassingsveld van DORA of NIS2 valt, dan bent u simpelweg wettelijk verplicht om aan de richtlijnen te voldoen. Doet u dat niet, dan kunt u boetes krijgen. Weet bovendien dat de Corporate Goverance Code bestuurders van bedrijven ook persoonlijk kan bestraffen voor het niet-naleven van security-regels.
  • Organisaties die de richtlijnen niet naleven, riskeren door allerlei overheidsorganisaties wat nauwkeuriger bekeken te worden. Zelfs als u niets te verbergen heeft en voor de rest onberispelijk werk levert, zorgen die audits en onderzoeken alleen maar voor extra werk en mogelijke onrust bij uw medewerkers.
  • Wordt uw bedrijf slachtoffer van een datalek of van een ransomware-aanval, dan levert dat u ook reputatieschade op. Klanten zullen het niet fijn vinden dat hun (privé)gegevens (inclusief creditcard-nummers, wachtwoorden en andere vertrouwelijke gegevens) te koop staan op het dark web. Prospects zullen bovendien liever kiezen voor een bedrijf dat niet negatief in het nieuws komt.
  • Compliance is echter ook een concurrentievoordeel. Bedrijven die proactief zijn in hun cybersecurity-inspanningen stralen zekerheid en veiligheid uit. In de onzekere tijden waarin we leven, is dat een bonus. Bovendien helpt voldoen aan alle wet- en regelgeving er ook nog eens voor dat uw medewerkers zich volledig kunnen concentreren op het succes van de business.
  • Vergeet ook niet: wordt uw bedrijf aangevallen, dan zult u dankzij DORA en NIS2 de juiste maatregelen genomen hebben en weerbaarder zijn. Aanvallen zullen niet lukken, en mocht u een aanval toch niet kunnen afslaan, dan kunt u deze in ieder geval beter het hoofd bieden en snel oplossingen implementeren.

Er is nog tijd… maar niet veel meer

Als u nog niet gestart bent met het conform maken van uw organisatie aan deze nieuwe regels, dan is dat nog geen reden voor paniek. U heeft nog enkele maanden de tijd. Maar ga nu wel snel van start met implementatie. Dat kan door een team samen te stellen waarin u diverse afdelingen samenbrengt: IT uiteraard, maar ook legal en finance, plus de mensen die veel met partners samenwerken. Ook via derde partijen kunnen immers bedreigingen en aanvallen uw organisatie binnendringen.

Heeft u het team eenmaal samengesteld, dan dienen de rollen en verantwoordelijkheden verdeeld te worden en de prioriteiten bepaald. Dan is ook het moment gekomen om de technologische oplossingen te gaan gebruiken die een zo groot mogelijk deel van uw uitdagingen oplossen. Een van die oplossingen is een Converged Endpoint Management (XEM) platform dat alle endpoints binnen uw infrastructuur in kaart brengt. Endpoints vormen immers het meest kwetsbare onderdeel in uw IT-infrastructuur en uw cyberbeveiliging. Veel van deze endpoints worden niet of onvoldoende beheerd. XEM zal alle endpoints in kaart brengen en er voor zorgen dat ze de nodige software updates krijgen zodat ze geen kwetsbaarheden meer bevatten.

Door het juiste team op te lijnen, de juiste technologische oplossingen te kiezen en de juiste prioriteiten te stellen, heeft u meteen een aantal goede beslissingen genomen. NIS2 en DORA zijn uitdagingen voor ondernemingen. Maar tegelijk vormen ze ook de kans om de fundamenten van uw onderneming te verstevigen en uw marktpositie te verbeteren. Als je het zo bekijkt is compliance niet zozeer een administratieve verplichting, maar juist een kans om de organisatie flink te verbeteren.