“Wacht niet te lang om in actie te komen”
De experts van Hunt & Hackett zorgen er dagelijks voor dat bedrijven door heel Europa beschermt zijn tegen digitale aanvallen. Marcel van Oirschot, commercieel directeur bij Hunt & Hackett, deelt zijn visie op cybersecurity en de ontwikkelingen rondom NIS2. Hij vertelt waarom NIS2 zo belangrijk is voor veel bedrijven, welke uitdagingen er zijn en geeft handvatten om ermee aan de slag te gaan.
Hunt & Hackett is een gespecialiseerd Nederlands cybersecuritybedrijf. Ze ondersteunen organisaties bij het detecteren en mitigeren van aanvallen op IT- en OT-systemen. Door deze systemen 24/7 te monitoren voorkomen ze potentiële aanvallen al in een vroeg stadium. Marcel: “Veel organisaties hebben zelf niet de kennis of mensen in huis om dat goed te regelen. Daarom schakelen ze ons in. Onze kracht is dat we cybersecurity benaderen vanuit die dreiging die écht relevant is voor jouw organisatie. Het is namelijk niet te doen om je te wapenen tegen alles en iedereen. Daarom kijken we onder andere in welke branche je actief bent en voor wie je een interessant doelwit kan zijn. Als je de potentiële aanvalsgroepen kent, wordt het eenvoudiger om je goed te verdedigen tegen echte dreigingen.”
“Daarnaast helpen we organisaties met het maken van een roadmap voor cybersecurity. We kijken waar je nu staat en waar je eigenlijk zou moeten staan; welke zaken je eerst moet aanpakken en welke zaken later gedaan kunnen worden. We helpen bedrijven om alles zo te regelen dat ze voorbereid zijn op een incident: zowel vanuit technisch als organisatorisch perspectief. Je gaat vroeg of laat een keer te maken krijgen met cyberdreigingen; dan wil je weten wat je moet doen”, aldus Marcel.
Een nieuwe richtlijn voor cybersecurity
Een thema waar Marcel en zijn collega’s nu veel mee bezig zijn is de NIS2-richtlijn. “Dat is de opvolger en uitbreiding van de NIS1, een wetgeving die bedoeld is om de cybersecurity en weerbaarheid van essentiële diensten in de Europese Unie te verbeteren. De NIS1 was echter van toepassing voor een zeer specifieke groep bedrijven en instanties in de EU. De NIS2 is veel breder, raakt meer bedrijven en wordt formeel van kracht in oktober 2024. Wat ik zie is dat veel organisaties hiermee worstelen. Zij weten soms zelf niet eens dat ze onder de NIS2 gaan vallen.”
De verwachting
“Naar schatting vallen straks ruim 10.000 bedrijven onder NIS2”, vertelt Marcel. “Een substantiële groep die op termijn groter wordt. We verwachten namelijk dat veel van de NIS2-bedrijven een deel van de verantwoordelijkheid ook bij hun toeleveranciers en andere stakeholders leggen.”
Stevige deadlines
Marcel geeft aan dat de NIS2 een richtlijn is, maar dat betekent niet dat het vrijblijvend is. “De richtlijn schrijft geen technologie voor, maar dwingt een aantal dingen af die je moet kunnen. Op het moment dat je organisatie te maken krijgt met een cyberincident, moet je daar binnen 24 uur melding van maken. Binnen 72 uur moet je uitgebreider rapporteren en binnen een maand moet je een volledig rapport opleveren. Dat kun je alleen maar halen als je 24/7 actief je systemen monitort. Het zijn stevige deadlines en op termijn kun je daar ook flink voor beboet worden. Niets doen is geen optie, want als je later erachter komt dat je gehackt bent, kan dat worden gezien als nalatigheid.”
Organisaties die beschikken over een certificaat voor informatiebeveiliging (ISO27001) hebben het volgens Marcel makkelijker om te voldoen aan de NIS2. “Het is vooral lastig voor organisaties waar de basis-IT en cybermonitoring niet op orde is. Je bent zo zes tot negen maanden verder om dat goed te regelen. Je wilt kunnen monitoren, detecteren en melden op een efficiënte manier. Bedrijven die dat niet kunnen, raad ik aan om snel te beginnen. Het is eigenlijk jammer dat zo’n richtlijn nodig is. Cybersecurity hoort gewoon bij goed ondernemerschap. Het verlaagt je risicoprofiel enorm als organisatie.”
Wat kunnen organisaties zelf al doen?
Het is de verantwoordelijkheid van bedrijven zelf om keuzes te maken rondom NIS2, geeft Marcel aan. “Ik wil organisaties vooral op het hart drukken om hier niet te lang mee te wachten. Je kunt echt al zelf dingen regelen om te voldoen aan de NIS2. Breng je basis-IT bijvoorbeeld eens goed in kaart. Is je netwerk gesegmenteerd? Zijn je back-ups en patches geregeld? Maak je al gebruik van multi-factor authenticatie? Is je security awareness onder medewerkers op orde? Beschik je over een goede securitylaag waarmee je integraal kan detecteren wat er gebeurt op je netwerk?
Mijn advies is om ook eens de zelfevaluatie van de Rijksoverheid te doen. Daarmee krijg je een onafhankelijk advies of de NIS2 op jouw organisatie van toepassing is en wat dat betekent.
Meer weten?
Wil je graag meer weten? Maak dan vrijblijvend een afspraak met een van onze security consultants.