Ontdekkingsreizigers van de digitale wereld brengen cyberketen in kaart
‘In de begindagen van de 21e eeuw, terwijl de fysieke wereld steeds verder werd verkend, ontstond er een nieuw, grenzeloos rijk dat wachtte om ontdekt te worden,' zo begint Michel Verhagen van het DTC zijn nieuwe blog: 'De digitale wereld. Net zoals de ontdekkingsreizigers van weleer, zetten moedige individuen koers naar het onbekende, gewapend met nieuwsgierigheid en de nieuwste technologieën. Onder hen was kapitein Alex Janssen, een cyberbeveiligingsexpert met een passie voor het in kaart brengen van de cyberketen van zijn organisatie.’
Het kan zomaar het begin zijn van een spannend verhaal. Maar de realiteit van de Network and Information Security Directive (NIS2) richtlijn is helaas geen verhaal, het is keihard werken. Zelfs nu de Cyberbeveiligingswet (de nationale wetgeving die voortkomt uit de Europese NIS2-richtlijn) nog niet in werking is getreden, is het belangrijk om alvast aan de slag te gaan!
Achter de feiten aan lopen
Want wie wacht met het in kaart brengen van zijn cyberketen (ik spreek zelf liever van leveranciersketen) tot de wet van kracht is, loopt achter de feiten aan. NIS2 vereist dat de organisaties die onder de aankomende wetgeving gaan vallen ook zorg dragen voor de cyberveiligheid van de leveranciersketen.
Veel organisaties moeten nu dus op ontdekkingstocht in de keten. Dat kan een pittige klus zijn, zeker als je een grote organisatie hebt met veel leveranciers. Maar het kan ook leiden tot nieuwe inzichten. Zijn er bijvoorbeeld leveranciers met wie aanvullende afspraken nodig zijn?
Handvat voor keteninventarisatie
Om dit proces makkelijk en overzichtelijk aan te pakken, hebben we bij het Digital Trust Center (DTC) gewerkt aan een handvat voor keteninventarisatie. Hiermee maak je eenvoudig een overzicht van je leveranciers, de belangrijkste contactpersonen, eventuele SLA’s (service level agreements) en andere specifieke afspraken.
Ketenveiligheid is een belangrijke pijler van de aankomende Cyberbeveiligingswet. Want, we hebben het al vaker gehoord, de keten is zo sterk als de zwakste schakel. De voorbeelden kennen we ook allemaal. De kaashack, de cyberaanval op de Rotterdamse haven en de Citrix-kwetsbaarheid waardoor veel Nederlandse bedrijven kwetsbaar waren voor cyberaanvallen.
Kleinere vissen
De gevolgen zijn aanzienlijk. Ook cybercriminelen weten dat. Ook zij zien dat de grotere organisaties hun veiligheid steeds beter op orde hebben, daarom richten zij zich op de kleinere vissen in de zee. Want vissers weten dat je met het uitgooien van spiering ook kabeljauw kan vangen.
Dergelijke vissen’ wil Kapitein Janssen uit het verhaal graag beter wil leren kennen. Want alleen als je de keten in kaart brengt en je bondgenoten kent, kan je samen optrekken. Het is een missie van cruciaal belang. Om de keten te beschermen, moet je elke schakel kennen, begrijpen en beveiligen. De NIS2 maakt het nog logischer om hierin te investeren.
Michel Verhagen is manager van het Digital Trust Center (DTC).