In juni 2024 hebben de samenwerkende toezichthouders en rijksinspectiediensten [1] hun jaarlijkse rapport gepubliceerd over de staat van de cybersecurity van de vitale processen en aanbieders. Het gaat hierbij om organisaties die vallen onder de Wet beveiliging netwerk- en informatiesystemen (Wbni).
Hoger onderwijs en onderzoek vallen momenteel niet onder de Wbni en de toezichthouders voeren in dat kader ook geen inspecties uit bij leden van SURF. Echter, dit zou kunnen veranderen indien instellingen daartoe worden aangewezen door het ministerie OCW. Voor enkele van de leden van SURF (UMC’s en zbo’s) gaat de NIS 2-richtlijn wel relevant worden. Daarom is het interessant om op de hoogte te zijn waar de toezichthouders op letten bij hun inspecties, zodat we daarop kunnen anticiperen.
Speerpunten van toezichthouders
Net als in de twee voorgaande jaren versterkten de toezichthouders in 2023 elkaars inzet door aandacht te besteden aan het gezamenlijke thema risicomanagement. Risicomanagement is het meerjarige thema van het Samenhangend Inspectiebeeld.
Het inspectiebeeld van vorig jaar zoomde specifiek in op risicomanagement bij leveranciers. Het huidige inspectiebeeld kijkt naar risicomanagement in brede zin, ofwel Enterprise Risk Management (ERM). Hierdoor ontstaat een breed beeld over de stand van risicomanagement binnen de verschillende sectoren. De toezichthouders hebben vooral aandacht besteed aan:
- Certificeringen
De toezichthouders signaleren dat organisaties steeds meer aandacht hebben voor certificering van het information security management system (ISMS). Dit is in lijn met het belang van het onafhankelijk laten beoordelen van risicomanagementprocessen. Het gaat hierbij meestal om de ISO 27001-certificering. Voor zorgorganisaties, zoals ziekenhuizen, betreft het de NEN 7510.
- Risicomanagement als onderdeel van goed bestuur
De toezichthouders leggen de focus in dit inspectiebeeld op de beheersing van cybersecurityrisico’s door het bestuur van organisaties. Uitgangspunt hierbij is dat de specifieke cybersecurityrisico’s uit het ISMS gekoppeld zijn aan de risico’s uit het ERM-systeem. De toezichthouders zien ruimte voor verbetering op het gebied van risicomanagement op bestuursniveau.
De belangrijkste verbeterpunten zijn:
- Vanuit een risico-oogpunt actuele ontwikkelingen volgen, zoals AI en quantumcomputers.
- De aansluiting tussen het ERM-systeem en het ISMS waarborgen.
- De effectiviteit van het ERM-systeem en de ISMS onafhankelijk laten beoordelen.
Opvallend was dat de toezichthouders constateren dat de meeste organisaties het three lines model hanteren voor de governance van cybersecurity. Ook binnen onze sector wordt dit model het meest gebruikt.
- Lerend vermogen van organisaties
De toezichthouders vinden het ontwikkelen van empowerment en het bevorderen van het lerend vermogen van de vitale aanbieders belangrijk. Uitgangspunt hierbij is dat de verantwoordelijkheid voor de digitale weerbaarheid van de vitale processen primair bij de organisaties zelf ligt.
Meldplicht incidenten
Voor organisaties die onder de Wbni vallen zijn er verschillende wettelijke meldplichten voor informatiebeveiligingsincidenten. Onder de Wbni zijn vitale aanbieders verplicht om alle informatiebeveiligingsincidenten met aanzienlijke gevolgen voor de continuïteit van de dienstverlening onmiddellijk te melden bij het Nationaal Cyber Security Centrum (NCSC). Bij overschrijding van een drempelwaarde moet er ook melding worden gemaakt bij de betreffende toezichthouder. In 2023 zijn, net als in 2022, geen incidenten aan de toezichthouders gemeld waarbij de drempelwaarde werd overschreden.
Oproep aan bestuurders
De toezichthouders roepen in hun rapport bestuurders op om verantwoordelijkheid te nemen als het gaat om cybersecurity. Dit is niet alleen iets van de chief information security officer (CISO) en betrokken ICT-medewerkers. Netwerk- en informatiesystemen zijn zo belangrijk voor de continuïteit van de bedrijfsvoering dat dit de hoogste prioriteit verdient.
Cybersecurity toezicht in de toekomst
Risicomanagement blijft ook in de toekomst een speerpunt. Het vormt de basis voor het opzetten en onderhouden van het geheel aan maatregelen dat een organisatie moet nemen. Met de steeds verdergaande digitale transformatie en het continu veranderende dreigingslandschap wijzigen ook de risico’s continu. Dit vraagt om een structureel ingericht proces.
Daarnaast hebben toezichthouders afspraken gemaakt over hoe ze invulling gaan geven aan het nieuwe thema assetmanagement in hun inspectieplanning voor 2024. Zicht op de risico’s en de effectiviteit van maatregelen begint voor een organisatie namelijk met een goed overzicht van en inzicht in assets. De assets betreffen met name de ingezette IT- en OT-middelen en omvatten zowel de software als hardware die een organisatie inzet ten behoeve van vitale processen.
Risiciomanagement en assetmanagement in onze sector
We weten momenteel nog niet of er meer leden van SURF straks worden aangewezen onder de NIS 2 en daarmee ook te maken gaan krijgen met toezichthouders. Maar als je zelf gemotiveerd bent om deze thema’s op te pakken, dan hebben we bij het Security Expertise Centrum wat hulpmiddelen voor je:
- Het SURFaudit toetsingskader informatiebeveiliging kent de domeinen risicobeheer en configuratiebeheer. Instellingen streven al naar een volwassenheidsniveau 3 op die domeinen en richten daarvoor processen in.
- De categorie asset management uit SURF security baseline beschrijft ook wat je als organisatie kunt inrichten.
- De koppeling van risicomanagement voor informatiebeveiliging met ERM is nog geen gewoonte bij instellingen voor onderwijs en onderzoek. In het kennisdossier risicomanagement op de wiki Integrale Veiligheid kun je hier meer informatie over vinden.
[1]
De samenwerkende toezichthouders op de Wet beveiliging netwerk- en informatiesystemen (Wbni) zijn:
Autoriteit Nucleaire Veiligheid en Stralingsbescherming (ANVS);
Autoriteit Persoonsgegevens (AP);
De Nederlandsche Bank (DNB);
Inspectie Gezondheidszorg en Jeugd (IGJ);
Inspectie Justitie en Veiligheid (IJenV);
Inspectie Leefomgeving en Transport (ILT);
Rijksinspectie Digitale Infrastructuur (RDI).
0 Praat mee