Stel je voor dat je 60 minuten de tijd hebt om met je organisatie te voldoen aan de supply chain vereisten van de NIS2. Hoe ver zou je dan kunnen komen?
Dit experiment is gebaseerd op het idee om de compliance aanpak om te draaien. Dus niet door eerst vanuit richtlijnen de benodigde processen te ontwerpen en vervolgens te beleggen in je organisatie, maar door vanuit de NIS2 doelstelling “digitale weerbaarheid” een oplossing te implementeren en vervolgens te controleren of je aan alle richtlijnen voldoet.
We hebben het uitgeprobeerd met RiskStudio. Cliffhanger: De tijd is krap, maar het belooft wel wat.
Inleiding
De afgelopen tijd is er al veel aandacht besteed aan de Europese NIS2 richtlijnen, waar voor velen de maatregelen rondom de beveiliging van je supply chain een nieuw aspect zijn. In dit artikel gaan we verder niet in op de specifieke wetgeving, maar willen we vooral een handreiking geven hoe je hier snel en praktisch mee aan de slag kan gaan.
De richtlijn stelt dat je evenredige technische, operationele en organisatorische maatregelen dient te nemen rondom de beveiliging van netwerk- en informatiesystemen binnen je eigen organisatie, maar ook van je supply chain. Vrij vertaald, ben je in staat om klein te beginnen en vervolgens verder door te groeien naar volwassenheid.
Introductie van RiskStudio
RiskStudio is een cyberinlichtingenplatform voor zichtbaarheid, monitoring en slimmere risicobeslissingen in elke supply chain. Dit is mogelijk door het vastleggen van afhankelijkheden tussen bedrijven, afdelingen en kroonjuwelen, gecombineerd met het geautomatiseerd verzamelen van cyber inlichtingen, om daarmee individuele organisaties te checken op hun beveiliging, kwetsbaarheden en dreigingen.
Klein beginnen met de NIS2.
Start met je eigen organisatie en je 10 belangrijkste leveranciers
Dit is een proces dat met RiskStudio slechts enkele minuten kost op het moment dat je de namen van deze bedrijven kent. Er is een lijst met miljoenen organisaties beschikbaar, waaruit je na het typen van de beginletters de juiste kan selecteren.
Na selectie gaat RiskStudio voor je aan de slag door ieder bedrijf online te profileren en vervolgens te toetsen op de belangrijkste cyber kenmerken, waaronder cloud gebruik en cyber hygiene. Tevens wordt bekeken of een bedrijf betrokken is geweest bij security incidenten of andere belangrijke gebeurtenissen. Hier hoef je als gebruiker niets voor te doen en over het algemeen zijn binnen een half uurtje alle gegevens beschikbaar.
Daarna doorgroeien
Het is van belang dat je, als onderdeel van je PDCA (Plan Do Check Act) cyclus, kan groeien in volwassenheid. Hiervoor kan je uiteraard de scope kwantitatief uitbreiden van 10 naar bijvoorbeeld 20 leveranciers, maar RiskStudio geeft ook mogelijkheden om je supply chain te verfijnen per afdeling of per kroonjuweel of te verdiepen met schaduwleveranciers, dus leveranciers achter de leveranciers.
Omdat we maar 60 minuten hebben voor dit experiment, houden we deze uitbreiding buiten de initiële scope. De mogelijkheid van continue verbetering is in ieder geval voor handen en ondersteunt de NIS2 richtlijn.
30 minuten verder
Zoals aangeven zijn na 30 minuten alle gegevens klaar voor gebruik. Voor de NIS2 dient je organisatie in staat te zijn het volgende te operationaliseren.
- Beoordeling van risico’s
- Beheer van Incidenten
- Bewaken van continuïteit en crisis beheer
- Bepalen van afhankelijkheden en beveiliging toeleveringsketen
- Beveiliging van netwerk en informatiesystemen
- Beoordelen van doeltreffendheid maatregelen
- Toetsen van basispraktijken cyberhygiëne
- Toetsen van cryptografie en encryptie
Is dit nu allemaal mogelijk? Niet helemaal, RiskStudio biedt wel alle hierboven omschreven functies, echter voor het operationaliseren van de NIS2 dienen deze processen wel belegd en gedocumenteerd te zijn.
Verantwoordelijkheid beleggen en processen documenteren
Voor het experiment hebben we nog 30 minuten over en dienen we nu de vaart erin te houden.
Klein beginnen, dan ook de verantwoordelijkheid beleggen bij één persoon, bijvoorbeeld de CISO. We gaan er even vanuit dat deze direct gevonden is en instemt, zodat we deze als gebruiker kunnen toevoegen aan RiskStudio. Voor de NIS2 documentatie kunnen we dan per artikel van de richtlijn het proces documenteren met de volgende regel: “Dit proces wordt uitgevoerd door gebruik van RiskStudio en is belegd bij <persoon>”
Conclusie
Wat dit experiment laat zien, is dat je met slechts 60 minuten een concrete en verdedigbare eerste stap kunt zetten richting NIS2-compliance voor je supply chain. Door niet te starten bij richtlijnen en beleid, maar bij het doel digitale weerbaarheid, ontstaat snelheid en focus.
Met RiskStudio is het binnen korte tijd mogelijk om je organisatie en belangrijkste leveranciers zichtbaar te maken, risico’s te beoordelen en afhankelijkheden te identificeren. Daarmee wordt in 30 minuten al invulling gegeven aan een groot deel van de inhoudelijke NIS2-eisen. De resterende tijd is voldoende om verantwoordelijkheden te beleggen en processen pragmatisch te documenteren.
De kernboodschap is dat NIS2 geen alles-of-niets-opgave is. De richtlijn biedt expliciet ruimte om klein te beginnen en gecontroleerd door te groeien. Met de juiste tooling en een doelgerichte aanpak kun je in één uur van nul naar aantoonbare voortgang. Dat maakt NIS2 uitvoerbaar én beheersbaar.
