13 jan
Een glazen bol hebben we helaas niet bij ThreadStone. Maar we volgen wel nauwlettend de ontwikkelingen in onze branche en daarbuiten. Er staan veranderingen op stapel, die het inzetten van structureel vulnerability management in de kaart spelen – wat wij overigens al langer benadrukken om te omarmen.
Om te beginnen de trends die we zien bij de cybercriminelen. Channelconnect publiceerde eind vorig jaar een artikel over de verwachte trends voor 2023. Uit onderzoek van Trend Micro blijkt dat digitale criminelen zich meer zullen gaan toeleggen op mogelijke kwetsbaarheden van thuiskantoren, softwareleveranciers en de cloud. Ook IT-leveranciers en MSP’s worden in toenemende mate doelwit van cybercriminelen, zo is de verwachting.
Ten tweede is de opvolger van de NIS1-wetgeving in de maak. Uiterlijk medio oktober 2024 moet de nieuwe Europese NIS2-richtlijn in Nederland wettelijk van kracht worden. Dat lijkt nog ver weg, maar wie een adequaat volwassenheidsniveau wil bereiken voor cyberveiligheid, moet daar echt zo snel mogelijk mee aan de slag om het proces gefaseerd en dus beheersbaar te kunnen uitvoeren. Wij zien het verbeteren van de weerbaarheid namelijk niet als een project, maar als een proces. Hoe eerder hiermee wordt gestart, hoe beter.
NIS2 zal gaan gelden voor meer sectoren dan de NIS1 – die in Nederland is vertaald in de Wet Beveiliging netwerk- en informatiesystemen. Ook digitale aanbieders en onderzoeksorganisaties vallen straks bijvoorbeeld onder de NIS2. Dat betekent dat zij moeten zorgen voor passende beveiliging. Nieuw is dat de richtlijn gaat gelden voor de gehele IT-keten. De meldplicht wordt teruggebracht tot 24 uur. En lidstaten mogen zelf gaan bepalen of zij eisen dat de NIS2-bedrijven waarvoor de nieuwe regels gaan gelden, werken met gecertificeerde ICT.
In Nederland zien we tegelijkertijd de ontwikkeling dat organisaties die doelwit zijn geworden van cybercriminelen, hun IT-adviseur of MSP verantwoordelijk stellen. Een voorbeeld daarvan is de rechtszaak van gemeente Hof van Twente tegen haar huis-IT-beheerder. Wie is waarvoor verantwoordelijk…? Met NIS2 zal daarin ongetwijfeld (juridisch) meer duidelijkheid komen.
Maar wij raden aan om niet af te wachten tot oktober 2024. Organisaties moeten zelf het heft in handen nemen om hun cyberweerbaarheid te versterken. Bijvoorbeeld met vulnerability management: het continu meten van netwerk, apparatuur en andere systemen om goed zicht te houden op veranderingen en nieuwe dreigingen en kwetsbaarheden. Met als doel om direct in te kunnen grijpen als cybercriminelen een nieuwe opening hebben gevonden of gecreëerd, als voor een bepaalde applicatie een patch moet worden uitgevoerd of als er een nieuw device aan het netwerk wordt gekoppeld. Goed vulnerability management voorkomt daarnaast dat je onnodig inspanning levert bij dreigingen die eigenlijk niet relevant zijn.
Wie voorop wil open en succesvol wil zijn in de markt, kan het zich niet veroorloven om reële cyberrisico’s te lopen. 2023 is wat ons betreft het jaar om die basis op orde te krijgen.