Cybersecurity: Compliancy is een continu proces
Cybersecurity: Compliancy is een continu proces
Voldoen aan wet- en regelgeving is een terugkerende exercitie. Een continu proces, dat non-stop aandacht vereist. Niet alleen als het gaat om wet- en regelgeving, nationaal en internationaal, maar ook in het kader van specifieke branchevereisten of raamwerken. Om echt aan alle eisen te voldoen op het gebied van cybersecurity, is het cruciaal om continu en aantoonbaar (!) compliant te zijn.
“De tsunami aan nieuwe wet- en regelgeving die op ons afkomt zorgt ervoor dat het voor organisaties behoorlijk ingewikkeld wordt om te overzien en te begrijpen waar ze voortdurend aan moeten voldoen”, vertelt Kees Plas, Partner BDO Advisory Technology. “Ook zijn er overlappende elementen, denk bijvoorbeeld aan ESG, cybersecurity, privacy, en rapportagevereisten. Die eisen kunnen wij logisch, en voor organisaties veel effectiever, bij elkaar brengen.”
Het gevolg van die discrepantie is volgens Plas dat organisaties nog niet zo goed weten wat die nieuwe wetgeving betekent en welke specifiek maatregelen ze nu moeten nemen, op welke wijze en met welke scope en diepgang. “Hierdoor ontstaat weer uitstelgedrag. BDO heeft alle specialisten in huis om te helpen bij het omgaan met alle nieuwe eisen en bij het continu voldoen aan alle wetten, regels en richtlijnen. Wij kunnen inschatten wat ervoor nodig is om, bijvoorbeeld, bestaande maatregelen dusdanig aan te passen zodat weer wordt voldaan aan nieuwe of aanvullende eisen vanuit de wetgever of branche.”
Volgens Plas moet het compliance-deel van cybersecurity ten minste even serieus genomen worden als het risicogebaseerde deel. “Vroeger werd enigszins misprijzend gekeken naar compliance. Maar de wetgever komt pas met wetten als de marktwerking achterwege blijft. En dat gebeurt nu, vanwege de vele cybersecurity-incidenten en datalekken. Nu die wetgever is binnengestapt, is het compliance stuk zelf ook een groot risico geworden. Dit betekent dat risk en compliance steeds meer hand in hand gaan, waarbij organisaties misschien nog wel scherper moeten zijn op de compliance, nu die wetgever daar zo bovenop zit. En dat maakt het allemaal best complex. BDO kan helpen om van compliancy een continu proces te maken, zodat u blijvend voldoet aan alle wet- en regelgeving.”
LEES MEER
“De tsunami aan nieuwe wet- en regelgeving die op ons afkomt zorgt ervoor dat het voor organisaties behoorlijk ingewikkeld wordt om te overzien en te begrijpen waar ze voortdurend aan moeten voldoen”, vertelt Kees Plas, Partner BDO Advisory Technology. “Ook zijn er overlappende elementen, denk bijvoorbeeld aan ESG, cybersecurity, privacy, en rapportagevereisten. Die eisen kunnen wij logisch, en voor organisaties veel effectiever, bij elkaar brengen.”
Meerdere perspectieven
De kunst is om – na het verkrijgen van de juiste inzichten en na specifieke assessments – op de juiste manier te voldoen en de betreffende maatregelen ook nog eens correct aan te tonen. “Veel organisaties laten losse elementen van cybersecurity, zoals SOC-diensten, (BIA) Business Impact Analyses, beleid schrijven, een audit of specifiek pentesten, uitvoeren door een of meerdere partijen. Maar wetten en raamwerken gaan uit van een volledige set van maatregelen die de risico’s adresseren. Zo kent de ISO 27001 al 93 beheersmaatregelen. Uiteindelijk is het zaak om succesvol door zo’n raamwerk te lopen en gecertificeerd te worden. Wij kijken dan liever door meerdere brillen (van IT en finance tot legal en HR) naar het gehele plaatje, over de volledige as van technologie, mens, organisatie en fysieke elementen.”Moving target
Bijkomende uitdaging is dat de vereisten vanuit de overheid en specifieke markten veranderen. Plas: “Die raamwerken zijn niet statisch. Eenmalig alles inrichten en daarmee denken altijd compliant te zijn is niet realistisch. Daarnaast moet vaak worden aangetoond dat de cybersecuritymaatregelen ook echt werken conform een Plan Do Check Act-proces. Voor organisaties is het onmogelijk om veranderingen zelf in de gaten te houden, of dit operationele aspect continu aantoonbaar goed uit te voeren, zeker wanneer cybersecurity niet hun core business is. Een voorbeeld daarvan is natuurlijk de NIS2-wetgeving. Deze richtlijn is best specifiek, in artikel 21 staan tien maatregelen die je gewoon moet implementeren. Onze nationale wet, die nu ter consultatie ligt, is echter nu algemener dan die richtlijn en wil dit verder vastleggen door middel van de algemene maatregelen van bestuur.”Het gevolg van die discrepantie is volgens Plas dat organisaties nog niet zo goed weten wat die nieuwe wetgeving betekent en welke specifiek maatregelen ze nu moeten nemen, op welke wijze en met welke scope en diepgang. “Hierdoor ontstaat weer uitstelgedrag. BDO heeft alle specialisten in huis om te helpen bij het omgaan met alle nieuwe eisen en bij het continu voldoen aan alle wetten, regels en richtlijnen. Wij kunnen inschatten wat ervoor nodig is om, bijvoorbeeld, bestaande maatregelen dusdanig aan te passen zodat weer wordt voldaan aan nieuwe of aanvullende eisen vanuit de wetgever of branche.”
Vooraan staan bij wijzigingen
Om officieel te voldoen aan wet- en regelgeving, is het noodzakelijk om de ingerichte controls aantoonbaar te maken. Daarvoor bestaan diverse normenkaders, zoals de ISO 27001, de NEN-7510 en andere Quality Marks. “De NEN-7510 gaat volgend jaar volledig veranderen. BDO is bij de betrokken instanties aangesloten om onze klanten nú al te kunnen voorbereiden op wat volgend jaar staat te gebeuren! Wij staan dus vooraan om onze klanten zo snel mogelijk te attenderen op veranderende frameworks en aanvullende vereisen voor certificering.”Niet een eenmalig project
Plas benadrukt dat voldoen aan compliancy geen eenmalig project is, maar een continu proces, dat ook getoetst moet worden. “Een pen-test en het implementeren van controlemaatregelen, betekent niet dat het voorlopig even genoeg is. Na het implementeren van de juiste beheersmaatregelen, is het zaak op continue basis het niveau en werking van de maatregelen te monitoren. ”Voldoen aan wet- en regelgeving vereist blijvende aandacht. Wij toetsen dan ook met vaste regelmaat bij klanten in hoeverre zij nog voldoen en of hun normenkaders op de juiste manier zijn ingeregeld, conform hun papieren werkelijkheid. Zo niet, kunnen wij ze ondersteunen om dat weer te optimaliseren. Het is dus echt een continu proces. Plan, do, check, act.”Risk en compliance
Wie deze zaken niet goed voor elkaar heeft, riskeert significante boetes, maar dat vindt Kees Plas niet eens de belangrijkste boodschap in dit verhaal. “Het belangrijkste is dat klanten en leveranciers zullen vragen: kunt u aantonen dat u voldoet aan de laatste wet- en regelgeving? En dat kan een hele ongemakkelijke vraag zijn wanneer u slechts kunt bevestigen welke security controls er zijn ingeregeld, zonder te weten of u daarmee werkelijk voldoet aan de wet- en regelgeving.”Volgens Plas moet het compliance-deel van cybersecurity ten minste even serieus genomen worden als het risicogebaseerde deel. “Vroeger werd enigszins misprijzend gekeken naar compliance. Maar de wetgever komt pas met wetten als de marktwerking achterwege blijft. En dat gebeurt nu, vanwege de vele cybersecurity-incidenten en datalekken. Nu die wetgever is binnengestapt, is het compliance stuk zelf ook een groot risico geworden. Dit betekent dat risk en compliance steeds meer hand in hand gaan, waarbij organisaties misschien nog wel scherper moeten zijn op de compliance, nu die wetgever daar zo bovenop zit. En dat maakt het allemaal best complex. BDO kan helpen om van compliancy een continu proces te maken, zodat u blijvend voldoet aan alle wet- en regelgeving.”
LEES MEER