De cyberbeveiligingswet (CBW) is de Nederlandse implementatie van NIS2. Het belangrijkste onderdeel in deze wet is dat bestuurders persoonlijk aansprakelijk worden voor digitale beveiliging. Maar wat betekent dat in de praktijk? Hoe weerbaar is jouw organisatie écht? In deze aflevering van Techzine Talks geeft Edwin Weijdema, Field CTO EMEA bij Veeam, heldere antwoorden.
De NIS2-richtlijn bestaat al een tijdje, maar in Nederland wordt hij concreet vertaald naar de cyberbeveiligingswet, ook afgekort als CBW. Waar de richtlijn voorheen nog ruimte liet voor interpretatie, legt de CBW de eisen vast in Nederlandse wetgeving. Belangrijk verschil: bestuurders worden voortaan persoonlijk aansprakelijk als een organisatie niet voldoet aan de basiseisen voor digitale weerbaarheid. De overheid zelf houdt zich aan een vergelijkbare richtlijn, de BIO (Baseline Informatiebeveiliging Overheid). De CBW treedt waarschijnlijk rond de zomer in werking.
Luister (en kijk) elke week door je te abonneren via: Spotify, Apple Podcasts, YouTube of een andere dienst.
België loopt op Nederland voor: daar zijn bestuurders al eerder hoofdelijk aansprakelijk gesteld, wat direct leidde tot meer aandacht en budget voor digitale beveiliging. Weijdema verwacht dat hetzelfde effect in Nederland zal optreden zodra de CBW in werking treedt.
Veel organisaties lopen achter en zijn nog niet bezig met NIS2 of CBW
De kern van het probleem is bewustwording. Veel bestuurders komen niet uit de digitale wereld en beschouwen digitale beveiliging nog steeds als abstract of ‘magisch’. Weijdema illustreert dit met een treffende vergelijking: wie een belangrijk papieren contract heeft, legt het in een kluis. Maar wie nadenkt over waar het digitale equivalent van dat contract is opgeslagen – en of het beveiligd is – is een stuk zeldzamer.
Uit onderzoek van Veeam blijkt dat ruim 80% van de IT-leiders zich bewust is van het belang van digitale weerbaarheid, terwijl slechts circa 60% van bestuurders dat aangeeft. Dat gat van 20 procentpunt vormt een structureel risico voor organisaties.
Lees ook: Veeam introduceert Veeam Data Platform voor meer bescherming en herstel
Shared responsibility: de mythe van de cloudprovider
Een hardnekkig misverstand is dat cloudproviders zoals Microsoft of Google ook verantwoordelijk zijn voor de veiligheid van jouw data. Dat is niet het geval. Microsoft levert een dienst en doet dat zo goed mogelijk, maar de data is en blijft van de klant. Het principe van shared responsibility houdt in dat de cloudprovider de infrastructuur beveiligt, maar dat de klant zelf verantwoordelijk is voor back-ups, retentiebeleid en toegangsbeheer.
Veeam levert software in drie vormen: volledig zelfbeheerd, hybride via de Veeam Data Cloud, en volledig beheerd. Alleen wanneer Veeam ook het beheer op zich neemt, is het bedrijf verantwoordelijk voor de beschikbaarheid van back-ups. Wie zelf de software installeert maar geen back-upjob aanmaakt, kan Veeam daar niet op aanspreken.
Secure by design en data-soevereiniteit
Goede beveiligingssoftware werkt secure by design: de standaardinstellingen zijn veilig, maar organisaties moeten bewust nadenken over hun eigen beleid. Hoe lang moet data bewaard worden? Waar mag data staan? Mag data de EU verlaten? Veeam ondersteunt data-tagging: data kan worden gelabeld zodat back-upjobs automatisch worden geblokkeerd als de bestemming buiten de toegestane regio valt.
Data-soevereiniteit is meer dan een hype. Weijdema onderscheidt verschillende niveaus: data-soevereiniteit, technische soevereiniteit, digitale soevereiniteit en overheidssoevereiniteit. Volledige soevereiniteit is in de praktijk onmogelijk – elke organisatie maakt deel uit van een keten – maar controle over de eigen data is een realistisch en noodzakelijk doel.
Het Veeam Resilience Maturity Model
Om organisaties inzicht te geven in hun werkelijke positie op het gebied van cyberweerbaarheid, ontwikkelde Veeam samen met onder andere McKinsey het Resilience Maturity Model. Het model wordt doorlopen met alle lagen van de organisatie, van de raad van bestuur tot de back-upadministrator. De ervaring leert dat IT-teams hun positie vaak wat lager inschatten, terwijl bestuurders zichzelf juist hoger inschatten dan de realiteit rechtvaardigt.
Voor een snelle eerste meting biedt Veeam de Quickpulse-tool aan: tien vragen die direct inzicht geven in het volwassenheidsniveau van de organisatie. Deze tool is beschikbaar via Veeam.com. Het model is inmiddels uitgebreid met een AI-component, omdat kunstmatige intelligentie de complexiteit van de beveiligingsomgeving vergroot én kansen biedt om dreigingen zichtbaarder te maken.
Supply chain: de vergeten aanvalsvector
Veel organisaties richten hun beveiliging op het zogenoemde Noord-Zuidverkeer: aanvallen die van buitenaf via het internet binnenkomen. Maar een groot deel van de incidenten komt voort uit de supply chain. Een ketenpartner die is getroffen door een aanval en dat niet meldt, brengt de hele keten in gevaar. De CBW bevat dan ook expliciete eisen rondom supply chain management. Contractuele verplichtingen kunnen hierbij zelfs verder gaan dan de wet zelf.
De 3-2-1-1-0 regel
De meest concrete richtlijn die Weijdema meegeeft, is de 3-2-1-1-0 regel: drie kopieën van data, op twee verschillende media, waarvan één offline, één off-site of immutable (onveranderbaar), en nul niet-geteste back-ups. Organisaties die deze regel consequent toepassen, zijn er volgens Veeam in alle gevallen in geslaagd om na een aanval te herstellen. Het is een eenvoudige ontwerprichtlijn met bewezen effectiviteit – ongeacht welke software of hardware wordt gebruikt.
Conclusie: bewustwording als eerste stap
De boodschap van deze aflevering is helder: de technische complexiteit van cyberweerbaarheid valt mee, maar de organisatorische uitdaging is groot. Het begint met een bewustwording op alle lagen van de organisatie en een realistisch beeld van het eigen weerbaarheidsniveau. Vervolgens kan er worden ingezet op een heldere strategie, van het management tot aan de werkvloer. Met de CBW die er nu aankomt, is de urgentie om actie te ondernemen groter dan ooit.