Een van de bedrijven die organisaties helpt zich voor te bereiden op deze nieuwe regelgeving is PQR, een managed service provider die alle elementen van de IT-infrastructuur van een klant probeert te verbinden om zo een volledige oplossing te bieden. Als onderdeel van hun dienstverlening zijn ze 24/7 bezig met het tegen cyberaanvallen beschermen van zowel publieke instellingen als bedrijven. Dat betekent frequente risicoanalyses, het voorbereiden van crisisscenario’s en het plannen en oefenen van herstelwerkzaamheden na een cyberaanval. “Veel bedrijven moeten hier nog flink in investeren, en zouden het hoger in hun agenda mogen zetten”, zegt Sander Heinhuis, directeur Security & Compliance bij PQR.

Bestuursverantwoordelijkheid voor digitale veiligheid De NIS2-richtlijn (voluit de Network and Information Security Directive) is Europese regelgeving die beveiligingsmaatregelen voorschrijft voor organisaties in sectoren die zijn aangemerkt als essentieel en belangrijk voor de samenleving. Denk daarbij aan water- en energiebedrijven, telecombedrijven en zorginstanties. Deze organisaties zijn verplicht de maatregelen te nemen om hun digitale infrastructuur te beschermen tegen aanvallen. Gebeurt dit niet, dan worden de bestuurders van de organisatie persoonlijk verantwoordelijk gehouden voor de gevolgen van een aanval.

“Bestuurders moeten tegenwoordig goed op de hoogte zijn van cybersecurity binnen hun organisatie”, legt Heinhuis uit. “Ze moeten de juiste vragen kunnen stellen over onder meer databescherming en de opbouw van de infrastructuur, zodat ze mogelijke risico’s goed kunnen evalueren.” Hij hamert daarom op het belang van security awareness-trainingen voor directieleden. “In de risico-evaluaties is het voor bestuurders met name belangrijk dat IT-omgevingen relevant en passend zijn. In het kader van gegevensbescherming kun je je bijvoorbeeld afvragen of je niet te veel informatie te lang bewaart. Gegevens die je niet gebruikt maar toch bewaart, vormen een extra veiligheidsrisico.”

Onrust maakt onveilig Dat training en bewustwording belangrijk zijn, beaamt ook Bert Leegwater, commercieel directeur bij PQR. Toch is dat maar een deel van de puzzel. “Cybersecurity kent drie pijlers: mens, proces en technologie. Je kunt de duurste technologie kopen en processen van A tot Z uitwerken, maar als je mensen de tech en processen niet goed inzetten, gaat het alsnog mis.”

Daarbij kan het ontzettend lastig zijn om de technologie te vinden die past bij jouw specifieke IT-omgeving. Zo is het cybersecuritylandschap zeer onvolwassen en versnipperd. “Zelfs de allergrootste leverancier heeft maar zo’n 10% van de markt in handen. En al die leveranciers vallen continu over elkaar heen om innovaties aan de man te brengen, wat het voor bedrijven erg diffuus maakt.”

De IT-omgevingen zelf worden ook steeds complexer. “Bedrijven breiden uit, doen overnames of fuseren. Bovendien werken ze samen met leveranciers en andere partners die inpluggen op hun infrastructuur”, legt Leegwater uit. “Daarmee komen steeds nieuwe, en verouderde, technologieën binnen die kunnen leiden tot een ontzettend rommelige IT-omgeving. En dat terwijl de technologie juist in grote mate bepalend is voor het veiligheidsniveau.”

Het bestrijden van die chaos in de IT-omgeving is waar PQR in uitblinkt. Leegwater licht toe: “We staan niet voor niets bekend als ‘rustmakers in IT’. Die rust brengen we door de hele IT-infrastructuur aan te pakken, van datacenter en cloudomgeving tot netwerk en werkplek. Daarbij zorgen we dat alles secure by design is, en begeleiden we onze klanten in de selectie van de technologieën, het inrichten van processen en het trainen van medewerkers.”

Ook wanneer organisaties de nodige expertise niet in huis hebben, of zich niet dagelijks druk willen maken over cybersecurity, biedt PQR ondersteuning. “We bieden bijvoorbeeld een CISO-as-a-Service, waarbij een ervaren expert met je meedenkt over de inrichting van je informatiebeveiliging”, zegt Leegwater. “En ons Security Operations Center kan 24/7 op incidenten monitoren en problemen zo snel mogelijk verhelpen. Dat biedt onze klanten de rust en ruimte om zich te richten op hun kernactiviteiten.”

Stilstand is achteruitgang in cybersecurity Op 16 oktober wordt de NIS2-richtlijn op Europees niveau ingevoerd. De lokale vertaalslag in de vorm van de Cyberbeveiligingswet laat nog even op zich wachten. Maar dat betekent niet dat bedrijven een afwachtende houding kunnen aanhouden. “Iedere organisatie die onder de nieuwe richtlijn valt, zou eigenlijk allang begonnen moeten zijn met de voorbereidingen. Afhankelijk van de organisatie, kan het fors wat tijd en middelen vergen om mensen, processen en technologieën klaar te stomen. En natuurlijk staan we bij PQR klaar om daarin te ondersteunen”, besluit Heinhuis.