Er bestaat simpelweg geen blauwdruk om NIS2-compliant zijn. Het hangt allemaal af van de volwassenheid van securitybewustzijn in de organisatie en welke belangen het écht waard zijn om te beschermen. Een goede manier om te beginnen is om gebruik te maken van de uitstekende stapsgewijze richtlijnen van het Nationaal Cyber Security Centrum.
Ik denk dat veel organisaties er baat bij kunnen hebben om hun 'NIS2-huiswerk' goed te doen. Niet alleen om hun beveiligingsniveau te verbeteren, maar ook door beter te begrijpen hoe je in kaart kunt brengen welke zaken belangrijk zijn om te beschermen en hoe digitaal kwetsbaar hun activiteiten daadwerkelijk zijn.
Cybersecurity is geen IT-probleem
Als security experts het topmanagement aan boord krijgen en eerst de juiste vragen gaan stellen, hoop ik dat de NIS2 een echte gamechanger kan worden in de manier waarop organisaties hun cybersecurity zien: als een investering om de hele operatie te beschermen, niet als een 'IT-probleem'.
De juiste manier om de NIS2-richtlijn te benaderen, is door eerst de strategische doelstellingen van de hele organisatie vast te stellen en vervolgens in kaart te brengen welke processen nodig zijn om deze doelstellingen te bereiken. Hopelijk heeft het topmanagement in de meeste organisaties hier al een duidelijk idee over, maar mijn ervaring is dat de meeste organisaties behoorlijk wat 'organisatorisch huiswerk' moeten doen als het gaat om het begrijpen van de afhankelijkheid tussen het tweede en derde niveau.
Maar alleen al door deze eenvoudige grafiek (van het Nationaal Cyber Security Centrum) als uitgangspunt te gebruiken, denk ik dat de meeste organisaties beter af zullen zijn in hun streven naar NIS2-naleving.
Wederzijds begrip is de sleutel
Uiteindelijk vereist dit gemeenschappelijke gronden tussen security experts en het topmanagement. Een wederzijds begrip van wat cybersecurity is en de cruciale rol die het speelt voor de hele operatie. Security experts moeten stoppen met het voeden van hun bestuur en management met te veel cijfers en 'beveiligingsjargon'. Dit zal de kloof alleen maar groter maken en topmanagers onzeker maken.
Weg van 'IT-risico's' naar 'zakelijke kansen' (of risico's voor dat doel) is de juiste manier om het bestuur ervan te overtuigen dat de cybersecurityprocedures en -operaties die bij de NIS2-richtlijn horen, echt iets zijn dat de hele organisatie en strategische doelen ten goede komt.
Laten we dus stoppen met het benoemen van de NIS2 als simpelweg 'een nieuwe en strengere cybersecurityrichtlijn', en erover beginnen te praten als een investering in de kernactiviteiten van de organisatie.
Arno van den Hof
Algemeen Directeur Junglemap Benelux
Arno van den Hof