In de Media


NIEUWSTE COLUMN VAN GERT KOGENHOP:

 

Netwerk- en Informatiebeveiliging en Business Continuity Management

Het Europees Parlement heeft in juli 2016 de nieuwe Europese cybersecurityrichtlijn aangaande Netwerk- en InformatieBeveiliging (de NIB-richtlijn) gepubliceerd, die gericht is op het creëren van een gemeenschappelijk niveau van netwerk- en informatiebeveiliging binnen Europa. Elke lidstaat dient in het kader van het maatschappelijk belang te zorgen voor betrouwbaar, betaalbaar en veilig netbeheer. Op dit moment wordt in Nederland gewerkt aan de Cybersecuritywet (Csw) met als doel invulling te geven aan de NIB-richtlijn. Op uiterlijk 9 mei 2018 moet de richtlijn zijn omgezet in wetgeving. We kunnen gerust stellen dat na de recente cybercrime incidenten met onder andere hacks en ransomeware dit geen overbodige luxe is.

De NIB-richtlijn is van toepassing op door de lidstaten aan te wijzen “aanbieders van essentiële diensten” (AED’s) binnen de in de richtlijn specifiek genoemde sectoren (energie, vervoer, bankwezen, infrastructuur voor de financiële markt, gezondheidszorg, levering en distributie van drinkwater en digitale infrastructuur) en op “digitale dienstverleners” (DSP’s): aanbieders van onlinemarktplaatsen, onlinezoekmachines en cloudcomputerdiensten. Je kunt fronsen bij de keuzes, maar deze zijn specifiek benoemd. In de richtlijn wordt op diverse plaatsen melding gemaakt van het fenomeen ‘Continuïteit’ en dat, kun je gerust stellen, is dan ook één van de doelstellingen naast vanzelfsprekend mogelijk misbruik van toegang en/of buitgemaakte gegevens te voorkomen. Continuïteit van de benoemde ‘essentiële’ productlevering en dienstverlening. Je kunt daar begrip voor opbrengen wanneer je je bedenkt wat er zou geburen wanneer deze producten en diensten niet beschikbaar zijn. Op deze wijze is dan ook het onderwerp informatiebeveiliging onlosmakelijk verbonden met Business Continuity Management. Organisaties dienen zich te realiseren dat uitval van ICT als gevolg van een technische oorzaak (Hardware uitval, Software of Netwerk problemen) al jarenlang in de spotlights staat, en nog, en dat alle mogelijke opties en technische faciliteiten ter voorkoming een enorme ontwikkeling hebben doorgemaakt. Echter wanneer de gebruikers geen toegang hebben tot ICT systemen, daar er een beveiligingsincident is en men (nog) niet heeft kunnen vaststellen wat de omvang is en dientengevolge geen risico’s op escalatie of verspreiding kan nemen en vervolgens de toegang tot gegevens, systemen en applicaties onmogelijk maakt,  komt de vraag “En wat nu?” naar boven. Hoe afhankelijk zijn we van ICT? Hebben we alternatieven? Wie gaat wat, hoe doen. Wat kunnen we nog wel? Hoe en wanneer informeren we derden die afhankelijk zijn van wat we hier doen? Allemaal legitieme vragen die binnen Business Continuity Management dienen te worden beantwoord conform de daarbinnen vooraf  vastgestelde strategie.

Bij Business Continuity Management gaat het uiteindelijk om het managen van de situatie tijdens en direct na een ernstig incident, een verstoring van de “business as usual” situatie. In dit geval het niet beschikbaar zijn van (betrouwbare) ICT systemen of gegevens. We moeten voorbereid zijn en zorgen dat we weten wat we moeten doen om de levering van onze producten en/of diensten aan onze afnemers zo optimaal mogelijk te waarborgen en indien nodig over bijvoorbeeld de (on)mogelijkheden en prioritering van te voren afspraken maken met álle belanghebbenden. Een niet te onderschatten beslissingstraject dat regelmatig wordt vergeten en tijdens een ernstig incident leidt tot chaos en kans op verkeerde keuzes en beslissingen. Wellicht in dit geval nog versterkt door het feit dat het hier gaat om essentiële producten en diensten binnen de sectoren energie, vervoer, bankwezen, infrastructuur voor de financiële markt, gezondheidszorg, levering en distributie van drinkwater en digitale infrastructuur.

Voor wie te maken krijgt met NIB-richtlijn en volgend jaar de Csw het advies om verder te kijken dan de informatiebeveiligingsimpact en het ICT-continuïteitsplan plus eventueel separaat Disaster Recovery Plan. maar aansluiting te zoeken met het Business Continuity Management System van de organisatie.

 


Download hier de volgende artikelen:

“Netwerk- en Informatiebeveiliging en Business Continuity Management”

“Netwerk- en Informatiebeveiliging en BCM”

“Hoe voorbereid bent ú op het onverwachte?”

“SUN TZU EN ‘THE ART OF WAR’ ”

“2017: Risicomanagement als uitdaging voor de kwaliteitsmanager”

“Bedrijfscontinuïteitsmanagement en Crisismanagement: Is dat niet hetzelfde?”

“Business Continuity Management en het veranderende risicoprofiel”

“Business Continuity Management is een essentieel bedrijfsproces”

“Wat is er minimaal nodig om uw doelstellingen te kunnen halen?”

“Business Continuity Management … en ICT”
“NEN-ISO 22301:De norm voor een solide BCMS”
“Business Continuity Management en de relatie met ISO 9001:2015”
“Business Continuity Management en de relatie met ‘afhankelijkheid’ “
“Niet verrast worden door het onverwachte”
“BCM is waarde creëren én waarde behouden”
“De strategische keuzes bij een een incident”
“BCM en de cumulatieve impact van een ernstig incident”
 –
“Continuïteitsmanagement verzilvert waarde IT”
“Business Continuity Management is meer dan alleen hoofdstuk 14 – ISO 27001”
pdf  pvib-november-2013
“Van systeem naar gedrag”
pdf  KIB-april-2013
“Belangstelling voor BCM groeit”
pdf  belangstelling-voor-BCM-groeit–KiB-december-2012
“ISO 22301 Maatschappelijke Veiligheid”
pdf  pvib-september-2012
“Stop de vrijblijvendheid in de zorg”
pdf  stop-de-vrijblijvendheid-in-de-zorg
“Het verhogen van de weerstand van de organisatie”
pdf  ictzorg_oktober_2010
“Voedselvoorziening van vitaal belang”
pdf  voedselvoorziening_van_vitaal_belang_2010_10
“De kwaliteitsmanager als bewaker van de continuïteit”
pdf  KIB-april-2010
“Continuïteit minstens zo belangrijk als kwaliteit”
pdf  ZorgVisie-29april2010