Copaco ziet NIS2-richtlijn bovenal als kans voor partner
Veel bedrijven zitten, net als toen GDPR geïntroduceerd werd, in de afwachtende modus voor NIS2, de vernieuwde Europese richtlijn voor netwerk- en informatiebeveiliging. En dat terwijl de maatregelen niet veel meer vragen dan de basishygiëne als het gaat om cybersecurity, vertellen Bart Keijzers en Vincent Daniëls van Copaco. “NIS2 is juist een kans, vooral voor onze partners.”
Op 21 september 2023 organiseerde Copaco het event Vision on Security. Een evenement waarvoor de distributeur leveranciers en partners bij elkaar bracht om de laatste ontwikkelingen rondom cybersecurity te bespreken, zoals risicomanagement en AI. Bart Keijzers, Manager Datamanagement & Security bij Copaco: “Er wordt veel gediscussieerd over AI en hackers gebruiken het steeds vaker. Als je niet meegaat met die technologische ontwikkelingen, kun je je onmogelijk wapenen tegen die dreigingen.”
NIS2 uitgewerkt tot wet
AI is niet het enige onderwerp waarover wordt gesproken in de markt. Zo zijn de meningen ook verdeeld over de vernieuwde Europese richtlijn NIS2, waar steeds meer Nederlandse bedrijven onder vallen. Komend jaar wordt dit leidend advies waarschijnlijk uitgewerkt tot nationale wetgeving om bedrijven te dwingen na te denken over hun cybersecurity en daad bij het woord te voegen.
Bart: “Een partner stelde hardop de vraag: NIS2, weg ermee?” Partners gingen tijdens het evenement in discussie of het niet handiger is om mkb’ers juist te belonen als ze het wel goed voor elkaar hebben. “Hoe je het ook stimuleert, de cyberweerbaarheid en het bewustzijn over de risico’s die zakelijke klanten lopen moet vergroot worden.”
Voorkom dat incidenten meer impact hebben
Niet alleen wordt de richtlijn aangescherpt, ook steeds meer bedrijven vallen eronder. “Denk aan bedrijven uit de voedsel- of logistieke keten. Als ze niets meer kunnen leveren omdat hun systemen platliggen, dan brengt dat economische schade met zich mee. Nu zijn er kleine incidenten, maar je wilt voorkomen dat de economie steeds meer wordt ontregeld”, vertelt Vincent Daniëls, productmanager datamanagement en security bij Copaco.
“Sommige partners zitten in de afwachtende modus, net als met GDPR. Het voelt als een vervelende verplichting, maar je kan het ook als een kans zien. Maak je rol als vertrouwenspersoon waar en neem de klant bij de hand bij het inventariseren van de voornaamste risico’s”, vertelt Bart. “Daarom werken wij aan de hand van een stappenplan dat partners en eindklanten helpt om zich goed voor te bereiden op NIS2.”
In zeven stappen klaar voor NIS2
Omdat NIS2 complex kan zijn door technische en organisatorische eisen, wil Copaco partners helpen om dit proces beheersbaar te maken met deze systematische aanpak. Er zijn zeven stappen en de eerste is als volgt: begrijp de NIS2-vereisten. Vincent: “Ga eens naar de website van het Nationaal CyberSecurity Centrum. Daar worden de maatregelen helder uitgelegd.”
Stap twee: voer een risicobeoordeling uit. “Tijdens het event sprak Ruben Koeze, Partner Technology Strategist bij Microsoft, hierover. Het is belangrijk dat voordat je oplossingen implementeert, inventariseert welke risico’s je loopt, waar je belangrijkste data staat en hoe je omgaat met calamiteiten”, vertelt Bart. Vincent vult aan: “Het gaat om de basishygiëne waar je als organisatie over nagedacht moet hebben.”
3-2-1-regel voor back-up
In stap drie en vier ga je aan de slag met het ontwikkelen van een cybersecuritystrategie en het implementeren van de maatregelen. Heel concreet gaan organisaties in deze stappen bijvoorbeeld aan de slag met back-up, waarbij Copaco de 3-2-1-regel volgt, vertelt Vincent. “Maak drie kopieën op twee verschillende media waarvan één offline staat. Daarbij is de off-site kopie het liefst immutable, zodat deze door niemand aangepast kan worden.”
Bij disaster recovery draait het om terugkeren naar een normale situatie na een calamiteit. Vincent: “Daarvoor creëren we een draaiboek in het geval van bijvoorbeeld brand of ransomware, zodat duidelijk is wie waarvoor verantwoordelijk is en in welke volgorde de acties uitgevoerd moeten worden. Het plan zorgt voor rust. Iedereen weet waar ze aan toe zijn.” Bart: “Onderdeel van dat plan is het regelmatig testen van je back-up.”
Hoe weet je of het werkt als je niet test?
Vincent: “Uit marktonderzoek blijkt dat van alle bedrijven die al zo’n plan hebben, slechts 32 procent dat test. Dan geef je geld uit om zo’n plan te ontwikkelen, maar dan weet je niet of het werkt.” Bart vult aan: “Ik vind het bijzonder in een verzekeringsland als Nederland. Het afdekken van risico's vinden we heel normaal, maar als het aankomt op back-up en disaster recovery is dat nog niet het geval.”
Daarom is het testen onderdeel van stap vijf. De zesde stap draait om de voorbereiding, testen én updaten van de beveiligingsmaatregelen. De laatste stap in het NIS2-protocol is het vragen van externe hulp als dat nodig is. Hulp die uiteraard gevonden kan worden bij Copaco en zijn partners. “Diensten als Back-up as a Service (BaaS), zoals immutable back-up, en Disaster Recovery as a Service (DRaaS) kunnen partners volledig self-service afnemen in Copaco Cloud.”
Software én advies
Stap zeven gaat zeker niet alleen over de softwareoplossingen die Copaco biedt. Ook gedegen advies helpt betrokken partijen op het juiste spoor te krijgen. Vincent: “Wij verwachten dat linksom of rechtsom bedrijven in alle sectoren te maken krijgen met NIS2.” Bart vult aan: “Zorg dat je het voor elkaar hebt. Niet alleen om aan de regels te voldoen, maar ook om te voorkomen dat je wordt gehackt.”
Auteur: Anne van den Berg