De urgentie voor robuuste cybersecurity is groter dan ooit. Met toenemende cyberdreigingen en strengere Europese wetgeving, moeten organisaties zich voorbereiden op een veiligere toekomst. Alexander Snel, CISSP CIPP/E – Information Security & Privacy, legt uit waarom cybersecurity meer is dan alleen techniek, ook binnen fysieke beveiliging.

De afgelopen jaren heeft de Europese Unie (EU) steeds meer richtlijnen en wetten geïntroduceerd op het gebied van informatiebeveiliging en cybersecurity. Deze hebben als doel organisaties te ondersteunen bij het beschermen van hun digitale omgevingen en gevoelige gegevens tegen de groeiende dreiging van cybercriminelen en andere kwaadwillende actoren. Richtlijnen zoals NIS2, DORA, CSIR en AVG zijn daar duidelijke voorbeelden van:

1. NIS2: Verhoogde eisen voor kritieke en vitale sectoren

Sinds oktober 2024 moeten organisaties binnen kritieke en vitale sectoren voldoen aan de NIS2-richtlijn. In Nederland wordt deze richtlijn geïmplementeerd via de Cyberbeveiligingswet (Cbw), die naar verwachting medio 2025 van kracht wordt. Deze wetgeving vereist dat bedrijven kunnen aantonen dat ze controle hebben over hun cybersecurity. Er geldt een zorg- en meldplicht, met de nadruk op incidentrespons, bedrijfscontinuïteit en disaster recovery. Alexander Snel verduidelijkt: “Deze wetgeving is bijzonder belangrijk omdat de directie persoonlijk aansprakelijk kan worden gesteld bij niet-naleving. Daarnaast speelt de hele leveranciersketen een belangrijke rol: als een schakel zwak is, kan dit de hele organisatie kwetsbaar maken.”

Lees meer over de NIS2

2. DORA: Specifieke regels voor financiële instellingen

De Digital Operational Resilience Act (DORA) is een Europese verordening die financiële instellingen helpt om IT-risico’s beter te beheersen en hun weerbaarheid tegen cyberdreigingen te versterken. Vanaf januari 2025 wordt DORA van kracht. Snel legt uit: “DORA benadrukt de noodzaak van sterke cybersecuritymaatregelen door de hele keten, waarbij ook kritieke derde partijen onder deze regelgeving vallen. Organisaties moeten regelmatig testen op kwetsbaarheden, zodat ze effectief kunnen reageren op incidenten en bedrijfsprocessen gewaarborgd blijven, zelfs in noodsituaties.”

3. AVG: Bescherming van persoonsgegevens als prioriteit

De Algemene Verordening Gegevensbescherming (AVG) is sinds 2018 van kracht en stelt hoge eisen aan de bescherming van persoonsgegevens en dus informatiebeveiliging. Organisaties moeten “state of the art” beveiligingsmaatregelen nemen om gegevens te beschermen. “Bij de verwerking van gevoelige gegevens, zoals biometrische informatie of cameraobservatie, is een Data Protection Impact Assessment (DPIA) verplicht. Bedrijven hebben een meld- en meewerkplicht richting de toezichthouder bij datalekken. Niet naleving van de AVG kan leiden tot boetes die oplopen tot 4% van de jaarlijkse omzet,” aldus Alexander Snel.

Lees meer over het uitvoeren van een DPIA

4. CSIR: Cybersecurity voor vitale infrastructuren

De CSIR-richtlijn is van toepassing op operationele technologie (OT) binnen infrastructuren zoals bruggen, waterkeringen en sluizen. Deze richtlijn werkt samen met de internationale norm IEC 62443, die zich richt op de beveiliging van OT-apparatuur. Voor elk object binnen deze infrastructuren moet een risicoanalyse worden uitgevoerd, gevolgd door gerichte maatregelen om de vitale systemen te beschermen tegen cyberaanvallen.

Cyberdreigingen: voorbereid zijn op het onverwachte

Snel benadrukt: “Deze wetgevingen maken duidelijk dat cybersecurity niet langer een optionele kostenpost is, maar een noodzakelijke voorwaarde voor een duurzame en toekomstbestendige bedrijfsvoering. Ook de recente publicatie van het Cybersecuritybeeld Nederland 2023 (CSBN) door het Nationaal Cyber Security Centrum (NCSC) benadrukt het belang van voorbereiding op onverwachte cyberdreigingen. Of het nu gaat om de bescherming van persoonsgegevens, het waarborgen van continuïteit in vitale infrastructuren of het voorkomen van financiële schade door cyberaanvallen, organisaties moeten hun beveiliging serieus nemen om te voldoen aan de wettelijke eisen en boetes te vermijden.”

Alexander Snel: “Bij Nsecure begrijpen we het belang van cybersecurity en compliance voor onze opdrachtgevers in alle sectoren. Deze verantwoordelijkheid is terug te zien in onze certificeringen: ISO27001, ISO27701 en onze SOC2 Type II-assurantieverklaring. Wij stellen hoge en toetsbare veiligheidseisen, ook aan onze leveranciers. Want uiteindelijk draait het niet alleen om technologie, maar ook om samenwerking en een integrale aanpak van security.”

Daarnaast biedt Nsecure verschillende maatregelen en oplossingen om de veiligheid van haar geleverde omgevingen en de systemen te garanderen. Voorbeelden hiervan zijn o.a. werkplekbeheer voor lokale securitywerkplekken en endpoint (vulnerability) scanning. Snel licht toe: “Nsecure beschikt over de kennis en kunde om als managed security services provider (MSSP) op te treden. Door ook het cybersecuritydeel te verzorgen, kunnen wij een integrale aanpak hanteren en hebben we overzicht over álle security-apparaten, -omgevingen en -processen. Deze integrale benadering van security sluit aan bij onze totaaldienstverlening Security-as-a-Service. Daarmee kunnen wij het volledige access- en securitybeleid beheren, zowel qua personeel als techniek. Losse disciplines zoals hospitality, facility, compliance en security worden door ons samengesmeed tot één geheel”.