Hoe zorg ik als CFO dat mijn organisatie binnen 10 maanden NIS2 proof is?

Volgend jaar oktober moet de uitwerking van de nieuwe Europese Network en Information Security-richtlijn (NIS2) zijn beslag krijgen in een Nederlandse wet. De gevolgen van deze wet zijn groot en treffen meer organisaties dan de voorgaande NIS-richtlijn. Niet alleen zijn er financiële implicaties. Ook worden bestuurders persoonlijk aansprakelijk voor de weerbaarheid van de organisatie.

De huidige NIS-richtlijn geldt voor zogenoemde essentiële, of vitale, bedrijven. Door razendsnelle technologische ontwikkelingen is de huidige richtlijn uit 2018 inmiddels al verouderd. Niet iedere Europese lidstaat past deze wet overal gelijk of strikt toe. Daardoor gelden er overal andere regels, dus ook wanneer een organisatie meerdere Europese vestigingen heeft, of met andere Europese landen zakendoet.

De Europese Commissie wil met de NIS2-Directive één lijn trekken. Wat kunt u als CFO doen om de uitdagingen en risico’s voor uw bedrijf te tackelen? Northwave Cyber Security adviseert een stappenplan waarmee u uw organisatie in 11 maanden NIS2 proof maakt. [Artikel gaat verder na deze alinea]

Als toonaangevende bron voor accountantnieuws, strategieën en inzichten in finance en accounancy, helpt accountantweek.nl accountants, controllers en hoger financieel management om voorop te blijven lopen.

Schrijf u daarom nu in voor de heldere, korte en makkelijk leesbare nieuwsbrief van Accountantweek voor een overzicht van al het relevante nieuws, alle unieke en inspirerende (netwerk)evenementen en belangrijkste meningen of volg ons op Linkedin.

Maand 1: Januari – een scope assessment

Om inzichtelijk te krijgen wat NIS2 betekent voor uw organisatie begint u als CFO met het stellen van de relevante vragen: een scope assessment.

Dit betekent dat u zichzelf, net zoals iedere organisatie binnen de EU, de vraag moeten stellen of uw organisatie onder de nieuwe Cybersecurity wetgeving NIS2 gaat vallen, of niet. Valt de organisatie binnen de  scope, dan zult u volgens de nieuwe wetgeving moeten aantonen dat de cybersecurity risico’s aantoonbaar en structureel onder controle zijn.

Geen idee of uw organisatie onder NIS2 valt, wat de eisen zijn en welke gap uw organisatie dient te overbruggen tussen nu en oktober 2024?

Binnen Northwave hebben wij een scoping tool ontwikkeld om daar snel achter te komen. Ga deze maand nog aan de slag met de tool: klik hier 

Maand 2: Februari – kies acties en prioriteiten

Nu u een duidelijk inzicht heeft in de gap die u dient te overbruggen voor oktober 2024, is het aan de organisatie om te organiseren hoe jullie deze gap gaan closen. Wij raden aan om NIS2 niet alleen te zien als project, maar uw cybersecurity-maatregelen ook structureel onderhouden na implementatie.

Zorg dat er duidelijke prioriteiten zijn in het securityplan en dat er een organisatie wordt opgetuigd rondom security en compliance, die de maatregelen en awareness gaat borgen in de organisatie.

Belangrijkste overwegingen van een CFO:

• Welke acties en prioriteiten zijn er?
• Waar haal ik de resources (kennis en capaciteit) om dit te organiseren?
• Wat zijn de kosten (in financien, resources en tijd) om elke maatregel te borgen?

Kijk of jullie prioriteiten onderdeel worden van uw financiele plan voor 2024. Een organisatie heeft namelijk budget nodig om haar security op orde te houden.

Maand 3: Maart – Organiseer de governance voor cybersecurity

Organiseer governance voor zowel het security traject als ook de uiteindelijk organistie om het te beheren. Zet deze governance op, rapporteer op status en voortgang, borg dat het traject ook wordt beheerd op voortgang -projectmanagement – en wijs trekkers en verantwoordelijken aan.

Hiermee krijgt de concrete securityplanning en daarbijhorende sturingsrapportage van voortgang ook een gezicht. Laat de voortgang rapporteren aan uzelf – en eventueel ook aan de board, zodat u binnen het traject kunt bijsturen waar nodig.

Maand 4 t/m 7: April/Juli – aan de slag

In maart begint u met de structurele aanpassingen in de organisatie: securitymanagement, risicomanagement, incidentmanagement. U start ook met leveranciersmanagement. Het zijn allemaal onderdelen van een proces naar meer controle op security.

Het resultaat van jullie securitymanagement zou moeten zijn om een securityorganisatie op te zetten met een gestructureerd cybersecuritybeleid: zodat u de organisatie ook kunt sturen op een steeds veranderende omgeving.

Hiermee krijgt u als CFO dieper inzicht in de risico’s die jullie organisatie loopt op het gebied van cyber security.

1) Laat de trekkers de vastgestelde goverance uitrollen: iedereen binnen de organisatie moet de eigen rol snappen – op alle niveaus. Je ziet vaak dat dit mis gaat wanneer de overdracht pas aan het einde van het traject wordt gepland, in plaats van aan het begin van het proces.

2) Zorg dat security een vast onderdeel wordt van een doorlopend risico analyse proces, waarbij u zorgt dat uw analyse voldoet aan de harde NIS2 voorwaarden. De kern van de NIS2 ligt in het feit dat de organisatie haar risicomanagement op cybersecurity moet kunnen aantonen als onderdeel van de bedrijfsvoering. Lees hier meer over de NIS2 voorwaarden.

3) Op basis van deze risico analyse moet u niet alleen eisen gaan stellen aan de eigen organisatie, maar ook aan leveranciers. Suppliermanagement wordt vaak buiten beschouwing gelaten in de het beheren van cybersecurity risico’s, terwijl het van groot belang is om uw risico’s in de keten van uw dienstverlening inzichtelijk te krijgen en duidelijke afspraken te maken met leveranciers op het gebied van cybersecurity als onderdeel van de kwaliteit en de service die ze leveren.

4) Zorg dat ook jullie incidentmanagementproces op orde is: het melden van incidenten moet binnen 24 uur plaatsvinden aan de voor uw organisatie geldende autoriteit. Binnen 72 uur moet je als bedrijf weten wat de oorzaak van een cyber-incident was. Zorg dus dat uw processen zo organiseert dat het mogelijk is om binnen 72 uur een primaire root cause analyse uit te voeren rondom het incident en een behandelplan op te stellen. Hiervoor heeft de organisatie capaciteit en het vermogen nodig om direct na een incident de volgende onderzoek te kunnen doen: forensich cyber onderzoek, IT onderzoek, bedrijfsproces analyse.

5) Leg de accountability van het bestuur vast: train de boardroom in haar bestuursverantwoordelijkheid (NIS2 maakt bestuurders accountable), maar ook management en teamleads, zodat u per leidinggevende rol een duidelijke voorbeeldfunctie creëert.

6) Ook IT en de rest van de organistie (business) moeten continu getraind worden in het verwachte veilig gedrag. Zo worden de kennis, houding en gedrag geborgd om menselijke fouten te voorkomen (preventief), malafide activiteiten te herkennen (detecteren) – en weet iedereen hoe een incident te melden melden en als organisatie adequaat te reageren. Borg dat de capaciteit er is om de organisatie hierin te ondersteunen, of de capaciteit om vanuit een externe partner de benodigde kennis te verkrijgen.

7) De bedrijfscontinuïteit moet geborgd zijn, ook bij cyber incidenten. Organiseer een gelaagde beveiliging om de continuiteit van de bedrijfsprocessen te waarborgen, met zowel sterk back-up beheer, data recovery testen en waar nodig redundantie in je processen. Train de organisatie met name ook op crisismanagement op een cyberincident.

Neem de benodigde maatregelen die vallen binnen NIS2, maar ook risicodekkende maatregelen vanuit jullie bedrijfsspecifieke risicoanalyse.

Maand 8: Augustus: testen en toetsen

Het is voor u als CFO van belang om zeker te weten of de genomen maatregelen werken of niet. Zijn de gedane investeringen het waard geweest, of moeten jullie nog additionele acties uitvoeren om te voeldoen aan NIS2? Borg in het proces daarom ook voldoende tijd voor het testen van de effectiviteit van de maatregelen. Dit kan door middel van:

• Audit: ben ik volledig op het gebied van opzet, bestaan en werking van de benodigde maatregelen?
• Security (pen)test: werken mijn (technische) maatregelen zoals ik ze heb ontwerpen en geimplementeerd?
• Oefening: werken mijn escalatieproccesen? Zit het herkennen en melden van cyberincidenten, incident en crisismanagement, melding naar de autoriteiten zoals we dat hebben bedacht en volgende de NIS2-richtlijnen, echt in het systeem?

Tip: blijf ook na een goede testperiode doorlopend toetsen en borg ook deze waakzaamheid: vrijwel alle maatregelen zijn cyclisch voor de komende jaren. Regel securityprocessen zodanig in dat je de volwassenheid van security kunt onderhouden en zelfs verhogen.

Maand 9: September: eind-evaluatie en puntjes op de i

Tijd voor de eind-evaluatie, de laatste controle, de puntjes op de i.

Presenteer jullie inspanningen en de behaalde resultaten aan de aandeelhouders, externe partijen. Laat zien dat u uw zaakjes op orde hebt. Aanpassingen en verbeteringen die uit de evaluatie naar voren zijn gekomen kunt u alsnog doorvoeren.

Maand 10: Oktober – ready for NIS2

U organisatie is er helemaal klaar voor. De inspanning is aantoonbaar geleverd: laat NIS2 maar komen!

Maar besef ook: cybersecurity is nooit helemaal 100% af – en de bedreigingen op het gebied van cybercriminaliteit zullen de komende jaren alleen maar groter en complexer worden. Met het bovenstaande stappenplan heeft u in ieder geval een organisatie opgezet die weerbaar is tegen de veranderingen en opkomende cybersecurity risico’s.

Om organisaties en CFO’s te ondersteunen in compliance richting NIS2 biedt Northwave Cybersecurity verschillende mogelijkheden:

• strategisch inzicht (strategisch plan)
• concrete hulp bij planning (scoping, gap assessment en roadmap)
• tactische ondersteuning (project organisatie ter ondersteuning van de implementatie)
• operationele diensten (beheren van security, detectie en response, cyberbewustzijn en gedrag)

Lees hier meer over Northwave en NIS2