Ga naar de inhoud
Home » Actueel » NIS2 maakt de CISO een sleutelfiguur

NIS2 maakt de CISO een sleutelfiguur

In de NIS2-richtlijn krijgt de Chief Information Security Officer (CISO) een belangrijke, zo niet centrale rol. In navolging daarvan zien wij dat veel bedrijven de voorbereiding op de NIS2-richtlijn en daarna de blijvende naleving ervan beleggen bij hun CISO. Maar wat doet nu eigenlijk een CISO? Welke taken heeft hij of zij? Over welke vaardigheden en basiskennis moet de CISO beschikken?

In grote (veelal de essentiële en belangrijke) organisaties beschikt de CISO over een uitgebreide staf. In een middelgrote organisatie vervult de CISO zelf de taken van de staf. In een organisatie met een bescheiden omvang vervult de bedrijfsleiding veelal de rol van CISO. De middelgrote en wat kleinere organisaties kiezen er vaak ook voor om een externe CISO aan te trekken of rollen door externe professionals te laten vervullen. Dit wel onder de voorwaarde dat de externen onderdeel willen en kunnen maken van de mores van de interne organisatie.

ENISA heeft in het ENISA EU Cybersecurity Skills Framework (ECSF) uit 2022 de verschillende security-rollen uitgewerkt (zie https://www.enisa.europa.eu). Het ECSF is toepasbaar op alle soorten organisaties.  In deze blog zoomen wij in op de basistaken, vaardigheden en basiskennis van de CISO, waarbij wij ons baseren op dit document van ENISA. Wij koppelen dit aan een aantal observaties, waarmee wij afsluiten.

Basistaken van de CISO

De CISO beoordeelt, plant en alloceert passende beheers-, beveiligings- en compliance-maatregelen. De taken van de CISO zijn bestuurlijk, juridisch én operationeel. Bij grote organisaties kan de CISO de taken delegeren maar de CISO blijft verantwoordelijk voor het beoordelen van de effectiviteit van de uitgevoerde taken. Wij sommen de taken, zoals ENISA deze ziet, van een CISO op:

  • Het ontwerpen, implementeren, communiceren en onderhouden van de cybersecuritydoelen, -specificaties, – strategieën, en het -beleid in overeenstemming met de bedrijfsstrategie met als resultaat het halen van de bedrijfsdoelen.
  • Het voorbereiden en presenteren van cyberbeveiligingsvisie, -strategie en -beleidsregels aan het bestuur van de organisatie voor het ontvangen van een akkoord. De CISO ziet erop toe dat het bestuur de goedgekeurde cyberbeveiligingsstrategie uitvoert.
  • Het overzien dat het toepassen en verbeteren van de organisatie met ondersteunende systemen van het Informatie Security Management System (ISMS) effectief plaatsvindt.
  • Het voor het bestuur en het management verzorgen van trainingen cyberbeveiligingsrisico’s, -bedreigingen en de impact op de bedrijfsvoering.
  • Het ontwerpen van cyberbeveiligingsplannen.
  • Het onderhouden van relaties met toezichthouders en relevante belangengroepen op het gebied van cyberbeveiliging.
  • Het bestuur rapporteren over cyberbeveiligingsincidenten, -risico’s en -bevindingen.
  • Het voor het informatie-ecosysteem (met de verzameling bedrijfsentiteiten en verbonden partijen) monitoren van de ontwikkelingen op het vlak van cybersecurity.
  • Het zorgen voor het beschermen van de middelen (resources) waarmee de cyberbeveiligingsstrategie is en wordt geïmplementeerd.
  • De CISO zorgt voor voldoende budget om de cyberbeveiligingsstrategie te implementeren en in stand te houden.
  • Het voor het informatie-ecosysteem waarborgen van de weerbaarheid voor cyberbeveiligingsincidenten.
  • Het er voor zorgen dat cyberbeveiliging en cyberweerbaarzijn gedragen wordt door de organisatie (bestuur/ directie, afdelingsmanagement en medewerkers).

De wetgever (NIS2 en Cbw) heeft het bestuur een centrale plaats gegeven bij het organiseren van cyberweerbaarzijn van de organisatie. Dit heeft als gevolg dat de basistaken van de CISO niet alleen vakinhoudelijk zijn maar ook bestuurlijk en juridisch van aard.

Kan of mag de CISO taken niet delegeren aan professionals, dan vervult de CISO zelf deze taken. 

CISO-vaardigheden

Voor het vervullen van de basistaken heeft een CISO vakinhoudelijke en sociale vaardigheden nodig. ENISA stelt de volgende vaardigheden voor:

  • Het beoordelen en verbeteren van de cyberbeveiligingspositie in de organisatie en in het informatie-ecosysteem.
  • Het analyseren en implementeren van het cybersecuritybeleid, de certificeringen, de standaarden, de methodologieën en de kaders. 
  • Het analyseren en organiseren van de compliance met wettelijke en contractuele verplichtingen die gerelateerd zijn aan cyberbeveiliging en cyberweerbaarzijn.
  • Het implementeren van aanbevelingen en best practices op het vlak van cyberbeveiliging.
  • Het beheer van cyberbeveiligingsmiddelen.
  • Het ontwikkelen, bevorderen en aansturen van de uitvoering van een cybersecuritystrategie (de verantwoordelijkheid blijft bij de CISO liggen). Veelal gaat het om kennis- en veranderprogramma’s.
  • Het beïnvloeden van de cyberbeveiligingscultuur van de organisatie en het informatie-ecosysteem met partners en achterliggende partijen.
  • Het ontwerpen, het toepassen, het monitoren en het evalueren van de ISMS-organisatie. hetzij rechtstreeks, hetzij door het uitbesteden ervan aan te sturen. 
  • Het beoordelen en verbeteren van beveiligingsdocumenten, -rapporten en SLA’s en zorgen voor de beveiligingsdoelstellingen.
  • Het identificeren, documenteren en reageren op cyberbeveiligingsincidenten en datalekken. Vervolgens adequaat reageren op de geconstateerde incidenten en datalekken.
  • Het risicogericht (en realistisch) opstellen een cyberbeveiligingsplan.
  • Het communiceren, coördineren en samenwerken met het management en medewerkers en interne en externe professionals om de cyberweerbaarheid effectief te organiseren.
  • Het anticiperen op vereiste wijzigingen in de informatiebeveiligingsstrategie van de organisatie en het informatie-ecosysteem en formuleren van nieuwe plannen.
  • Het definiëren en toepassen van volwassenheidsmodellen gericht op cyberbeveiligingsmanagement.
  • Het anticiperen op cyberbeveiligingsbedreigingen, -behoeften en toekomstige uitdagingen.
  • Het motiveren en stimuleren van medewerkers en partners.

De vakinhoudelijke vaardigheden hangen samen met de (technische) informatie-infrastructuur. De sociale vaardigheden zijn randvoorwaardelijk voor het realiseren van gewenste veranderingen in het organiseren van het cyberweerbaarzijn.

Basiskennis van de CISO 

ENISA heeft de lijst met taken van de CISO op basis van het wettelijk kader opgesteld. Deels zijn het vakinhoudelijke taken en deels trekken de taken een wissel op de sociale vaardigheden van de CISO. De CISO heeft daarvoor basiskennis en bedrijfsspecifieke kennis nodig op het gebied van: 

  • Het formuleren, beheren en implementeren van cyberbeveiligingsbeleid.
  • Het kennen en implementeren van cyberbeveiligingsstandaards, -methoden en -frameworks.
  • Het kennen en toepassen van cyberbeveiligingsadviezen en -best practices.
  • Het kennen en toepassen van cyberbeveiligingswetgeving, -interpretaties en -jurisprudentie.
  • Het beschikken over actuele bedrijfsspecifieke cyberbeveiligingscertificatie.
  • Het beschikken over kennis en ervaring met cyberbeveiligingsethiek en ook het toepassen van ethische functionaliteiten.
  • Het kunnen omgaan met een volwassenheidsmodel zoals bijvoorbeeld het Cbw (NIS2), Control Framework van NOREA en ADR.  
  • Het formuleren en kunnen toepassen van cyberbeveiligingsprocessen en -procedures.
  • In staat zijn de resourses (professionals en middelen) aan te trekken en te managen.
  • Het toepassen van risk-management standaards, methodologieën en frameworks.
  • Misschien wel het belangrijkste, het risicogericht aansturen van de (cyberbeveiligings)organisatie  en het effectief doorvoeren van noodzakelijke en gewenste veranderingen.

Observaties

Op 28 april 2025 hield het platform voor informatiebeveiliging een themabijeenkomst over de rol van de CISO (zie https://www.pvib.nl/actueel/evenementen/themabijeenkomst-rol-van-de-ciso). Na afloop was het voor de deelnemers duidelijk dat de CISO voor uitdagingen staat. Het landschap waarin de CISO opereert verandert snel. Met de toenemende cyberdreigingen, de snelle digitale transformatie en de complexiteit van moderne IT-omgevingen, is de rol van de CISO niet alleen belangrijker geworden, maar ook ingrijpend veranderd. Er ontstaan samenwerkingsverbanden, zoals die waarnaar wordt verwezen door het NCSC (zie https://www.ncsc.nl/samenwerkingsverbanden). Deze cyberweerbaarheidsnetwerken helpen bedrijven hun cyberweerbaarheid te vergroten en de risico’s in de keten te verkleinen. 

Het hierboven puntsgewijs duiden van de CISO-rol in het kader van NIS2 sluit aan bij de vraagstukken die marktpartijen adresseren en uitwerken. Het vraagt van de CISO de nodige aanpassingscapaciteit om te voldoen aan de veranderende en aanvullende eisen.

Contact, advies of training

Bent u op zoek naar een professional die de rol van CISO kan voorbereiden, uitwerken en of voor u tijdelijk kan vervullen? Bekijk dan deze pagina. Ook bieden wij (via de Duthler Academy) een interessante cursus NIS2 voor CISO’s aan, bekijk dan deze pagina.

Uiteraard kunt u ook gerust contact met ons opnemen voor vragen.

Tags: