Cybersecurity is voor veel ondernemers vaak een puur technische veiligheidskwestie, die eigenlijk vooral wordt gezien als kostenpost. Echter laten bedrijven door deze benadering wel flinke kansen liggen, want een meer alomvattende cyberstrategie helpt juist om succesvoller te ondernemen. Nu de wereld razendsnel verandert en veel nieuwe wet- en regelgeving op gebied van cyber in aantocht is, moeten organisaties dit moment aangrijpen en hier werk van maken. Dat is de overtuiging van cybersecurity-leverancier Orange Cyberdefense, dat bedrijven adviseert en ondersteunt bij het opzetten en uitvoeren van zo’n bredere cyberveiligheidsstrategie.

“Hoewel het misschien niet vreemd is dat veel mensen denken dat cybersecurity alleen gaat over het voorkomen van digitale bedreigingen en risico’s, is het een foute aanname. Weinig organisaties en individuen realiseren zich hoe enorm veelomvattend het onderwerp cyber in werkelijkheid is en wat het allemaal voor je organisatie doet en kan doen”, vertelt Dennis de Geus, CEO van Orange Cyberdefense Nederland.
“Het wordt vaak neergezet als zeer technisch proces, maar in werkelijkheid gaat het bijvoorbeeld ook over bewustwording, bedrijfscultuur, sturen op risico’s en met name de bijdrage die het kan en moet leveren aan de zakelijke doelstellingen.”

“Het is voor veel bedrijven dan ook de hoogste tijd om tot een modernere en betere strategie te komen”, aldus Gilles van Heijst, de CTO van Orange Cyberdefense Nederland. “Die strategie moet bedrijfsmatige en cybertechnische elementen verbinden, zodat ze elkaar kunnen versterken. Dat betekent dat de strategie enerzijds moet inspelen op het voorkomen van cyberincidenten en -risico’s en compliance, terwijl het daarnaast waardevolle inzichten en kansen biedt die kunnen bijdragen aan het oplossen van de bedrijfsmatige en zakelijke uitdagingen waar men voor staat.”

Strategische cybersecurityrisico’s

Orange Cyberdefense adviseert bedrijven bij het ontwikkelen van zo’n strategie en ondersteunt ook de implementatie en uitvoering. Aan de start van het transitieproces is van belang dat een organisatie ervoor openstaat om cybersecurity door een totaal andere bril te bekijken. Als De Geus directies van klanten spreekt, stelt hij ze altijd twee vragen: “De eerste is: Wat zijn je écht grote strategische cybersecurityrisico’s? Daarmee doel ik op een risico dat zo groot is, dat als het misgaat je zaak niet meer kan door­draaien. En dan als tweede: Wat zijn de belangrijkste uitdagingen van jullie business-­strategie en wat is de beste manier om ze aan te gaan? De antwoorden vertellen veel en zo kunnen wij in kaart brengen waar binnen die organisatie de grootste winst te behalen is en op welke vlakken het cyberbeleid een boost kan geven aan de zakelijke doelstellingen.”

De komende jaren staan Nederlandse organisaties voor een flinke uitdaging op het gebied van cyberveiligheid door nieuwe, strengere wet- en regelgeving die er aan komt vanuit Brussel. “Veel organisaties zijn daar nog niet klaar voor, maar het biedt ook kansen. Als het toch nodig is om de cyberstrategie grondig aan te passen, benut dat moment dan gelijk om het breder te trekken”, aldus De Geus en Van Heijst.

De strengere wet- en regelgeving gaat specifiek over de EU-richtlijn Network and Information Security 2 (NIS2), met als doel het verhogen van het gemeenschappelijk niveau van cybersecurity. De richtlijn die nu nog geldt, NIS1, werd in 2016 aangenomen en is inmiddels verouderd. NIS1 kenmerkte zich door een voornamelijk operationele uitvoering en verantwoordelijkheid. De vernieuwde richtlijn legt de verantwoordelijkheid voor de uitvoer op het hoogste niveau binnen organisaties.

De EU-Lidstaten hebben tot september 2024 de tijd om NIS2 te implementeren. Dat zorgt voor een groot aantal veranderingen waar de overheid en organisaties in de EU-landen mee aan de slag moeten. Zo moeten nationale overheden de regels veel strenger gaan handhaven en staan er sancties op overtredingen. NIS2 geldt voor veel meer organisaties dan NIS1, dus is er op heel veel plekken werk aan de winkel. Wie eronder valt, moet maatregelen nemen op gebieden als cyberrisicobeheer, incident response en herstel.

Solide basis

Bij Orange Cyberdefense constateren ze dat het voor organisaties nog een flinke klus wordt op tijd aan de regels te voldoen. “Over de hele breedte moet nog heel veel werk worden verzet om klaar te zijn voor NIS2, maar dat is geen onmogelijke opgave. Met een goede strategie legt een organisatie een solide basis, waarop ze kunnen voortbouwen. En als het lukt om inderdaad met een strategie te komen die op meerdere gebieden waarde toevoegt, kan een bedrijf zomaar flink de vaart erin krijgen”, aldus De Geus. Van Heijst vult aan: “Dat lukt overigens niet als ze 'voldoen aan richtlijnen' blijven benaderen als een ʻcheck in the box’. In plaats daarvan moet de strategie ervoor zorgen dat compliance een integraal onderdeel van de bedrijfsvoering wordt.”

NIS2 fungeert volgens Van Heijst als effectieve stok achter de deur om iedereen wakker te schudden. Na invoering van de richtlijn verdwijnt het vrijblijvende karakter en wordt strenger gecontroleerd. Sterker nog: wanneer in de toekomst dingen ernstig misgaan, zijn bestuurders hoofdelijk aansprakelijk. Van Heijst is stellig: “Streng optreden blijkt helaas noodzakelijk. Het verleden laat zien dat dit toch vaak de meest effectieve wijze is om bewustwording en verbetering te stimuleren.”

Last krijgen met de autoriteiten wil niemand, maar voor een bedrijf is een vertrouwensbreuk met klanten en ketenpartners bijna net zo onwenselijk. Een ondeugelijk cybersecuritybeleid bij één organisatie, kan leiden tot desastreuze gevolgen voor veel anderen in de keten is al meerdere keren pijnlijk duidelijk geworden. Zo zorgde een hack bij Solarwinds bijvoorbeeld wereldwijd bij minstens 200 organisaties voor problemen, tot aan de NAVO aan toe. En werden onder meer VodafoneZiggo en NS eind maart van dit jaar nog getroffen door een groot datalek met persoonlijke gegevens van klanten. Het lek ontstond niet bij VodafoneZiggo of NS zelf, maar in de keten van een van hun leveranciers, die in opdracht van de bedrijven marktonderzoek deed.

Bepalende factor

Het maakt pijnlijk duidelijk waarom het cyberbeleid van een organisatie in toe­nemende mate een bepalende factor is bij de keuze met wie zaken wordt gedaan en met wie niet. Volgens De Geus zullen sectoren door deze ontwikkeling ook steeds meer aan zelfregulering doen. “Bedrijven gaan elkaar hierdoor scherp houden, want vrijwel niemand wil nog zaken doen met een partij die de IT-huishouding niet op orde heeft. Een goed functionerend cyberbeleid is dus steeds belangrijker voor de economische levensvatbaarheid van een organisatie.

Dat deze tijd voor organisaties uitdagingen op cybergebied met zich meebrengt is duidelijk. Het is spannend, maar biedt ook de kans om met het gehele bedrijf grote stappen vooruit te zetten, geholpen door een veelomvattende cybersecuritystrategie.
Orange Cyberdefense helpt al veel bedrijven die hier serieus mee aan de slag willen gaan en behoefte hebben aan een cyber-aanpak die de digitalisering van hun bedrijf helpt versnellen.

Bij het ontwikkelen en uitvoeren van een veelomvattende cybersecuritystrategie is het hebben van brede en actuele kennis over het snel veranderende cyberlandschap essentieel. “Wat Orange Cyberdefense uniek maakt zijn de kennis en inzichten die wij verkrijgen van onze ruim 250 onder­zoekers die wereldwijd onze telco net­werken en het internet afzoeken naar nieuwe dreigingsfactoren en ontwikkelingen. Dit zetten wij in om onze Nederlanse klanten de beste dienstverlening te bieden", vertelt De Geus. “Zo ontwikkelen wij met de klant een cybersecuritystrategie passend bij de business-strategie en sector, ondersteunen wij in het opzetten van robuste processen en systemen en leveren wij managed security diensten die helpen de business uitdagingen op te lossen.”