Ga naar de inhoud
Home » Actueel » Wat delegeert de CISO onder NIS2, en wat doet de CISO zelf?

Wat delegeert de CISO onder NIS2, en wat doet de CISO zelf?

Inleiding

Op basis van de informatie van ENISA hebben wij in de blog ‘NIS2 maakt de CISO tot sleutelfiguur’ de bestuurlijke, de operationele en de sociale vaardigheidseisen aan een Chief Information Security Officer, CISO besproken. Deze eisen sluiten aan bij de discussies van CISO’s over hun takenpakket naar aanleiding van de NIS2-richtlijn (hierna NIS2).

In de functiebeschrijving van ENISA delegeert de CISO taken (zonder dat de verantwoordelijkheid wordt gedelegeerd) aan interne en externe medewerkers. In deze blog gaan wij na wat de CISO delegeert of toch zelf organiseert. Hierbij gaat veel aandacht uit naar risicomanagement en incidentmanagement in een ecosysteem.

Met NIS2 professionaliseert de Europese wetgever informatiebeveiliging. De richtlijn geeft duidelijk richting aan het toepassen van risicomanagement, incidentmanagement en het delen van informatie in een ecosysteem. Het vraagt inspanningen van essentiële en belangrijke entiteiten om passende maatregelen te treffen. Echter, deze te treffen beheers-, beveiliging- en compliance-maatregelen zijn alleen effectief als de mensen betrokken zijn en bereid zijn samen te werken met als doel voldoende cyberweerbaar te zijn.

Essentiële en belangrijke bedrijven (een groep van entiteiten) en organisaties vallen onder de werking van de NIS2-richtlijn en de Cyberbeveiligingswet (Cbw). De eisen aan risico- en incidentmanagement in een informatie ecosysteem maken de wetgeving ook relevant voor alle andere bedrijven die aan essentiële en belangrijke bedrijven en organisaties leveren of producten en diensten afnemen. 

Dé uitdaging voor bedrijven en organisaties is het in onderlinge samenhang brengen van bedrijfsbeleid, relevante wetgeving en contractafspraken met interne controledoelen die gedekt worden door maatregelen die opgenomen zijn in bedrijfsprocessen. Rollen sturen bedrijfsprocessen aan en worden ondersteund door IT-systemen. 

ENISA heeft voor het organiseren van cyberweerbaarzijn rolbeschrijvingen uitgewerkt. Het bestuur delegeert taken aan de CISO-rol (zie blog: ‘NIS2 maakt de CISO tot sleutelfiguur’) en verantwoordt zich periodiek waardoor het bestuur zijn wettelijke verantwoordelijkheid voor cyberweerbaarzijn kan dragen. In de rolverdeling van ENISA delegeert de CISO-taken aan rollen die wij in deze blog bespreken. Wij sluiten af met een aantal observaties.

Rollen en taken

De CISO beheert de cybersecuritystrategie en -beleid van een bedrijf en de implementatie ervan om te voldoen aan de eisen van de NIS2-richtlijn. In het model van ENISA delegeert de CISO taken aan rollen, die wij hierna bespreken. Voor elke organisatie bestaat uiteraard een bedrijfsspecifieke implementatie van de rollen en taken. 

Voor het uitwerken van de rollen wijzen wij vooral op twee NIS2 artikelen. Essentiële en belangrijke bedrijven hanteren een effectief risicomanagement (artikel 21) waarbij het incidentmanagement, het management van de leveranciersketen en het operationeel management in scope is. Dit geldt ook voor de meldplicht (artikel 23 NIS2).

Het risicomanagement leidt tot objectivering van de passendheid van te treffen technische, operationele, juridische en organisatorische maatregelen. Het helpt het bestuur de cyberweerbaarheid te sturen (governance).

Het incidentmanagement, en in het bijzonder het melden van incidenten bij de autoriteiten, is een waarschuwingsmechanisme voor andere bedrijven eventueel tot maatregelen over te gaan. Hiermee wordt de impact van cybercriminaliteit ingedamd en de kosten- en schaderisico’s voor een ieder beperkt. Let op, het omgekeerde geldt ook. Een incident op zijn beloop laten kan tot aansprakelijkheidsrisico’s leiden.

Wij onderkennen de volgende rollen, die hierna beschreven worden:

  • Cybersecurity Risk Manager
  • Cybersecurity Educator
  • Cyber Incident Responder
  • Digital Forensics Investigator
  • Cyberlegal, policy & compliance officer
  • Cyberthreat Intelligence Specialist
  • Cybersecurity Architect
  • Cybersecurity Researcher
  • Cybersecurity Implementer
  • Penetration Tester
  • Cybersecurity auditor.

De Cybersecurity Risk Manager heeft een coördinerende rol binnen het security domein. De verschillende beveiligingsrollen voeren projectmatig en risicogericht hun taken uit, leggen essentiële gegevens vast, analyseren de bevindingen en concluderen welke maatregelen op enig moment nodig zijn. Voor de manager is het informatie-ecosysteem met relevante partners (bijvoorbeeld klanten, leveranciers en medewerkers) het speelveld. De riskmanager overziet de samenhang van de projectmatig en risicogerichte taken van eigen entiteiten en partners, analyseert de samenhangende bevindingen en rapporteert aan de CISO en het bestuur.

Eén van de struikelblokken van het organiseren van een effectieve cybersecurity (het effectief beschermen van bedrijfsgeheimen en borgen dat personen hun rechten en vrijheden behouden) is het aan het bestuur, de directie, het afdelingsmanagement en de medewerkers uitleggen wat het doel van cybersecurity is en wat de organisatie, het bestuur, de directie van de mensen verwacht. De Cybersecurity Educator organiseert een rolspecifiek bewustwordings- en trainingsprogramma dat gericht is op het aantoonbaar bewust maken van (interne en externe) medewerkers van cyberbeveiligingsrisico’s en de impact op de operationele organisatie. Het effectief informeren en trainen van medewerkers is essentieel voor het succesvol organiseren van cyberbeveiligingsbewustzijn. 

Incident Response

Met behulp van een Incident Response Plan, een projectaanpak gericht op een incident-response (voorbereiding, detectie en analyse, inperking, wegnemen en herstel, activiteiten na het incident) delegeert de CISO aan de Cyber Incident Responder het organiseren van een effectieve response op incidenten en datalekken. Periodiek stelt de Cyber Incident Responder een Cyber Incident Report samen voor de CISO met details over de (te verwachten) cyberincidenten en datalekken. Voor een Incident Response Plan (IRP) zijn er veel voorbeelden, bijvoorbeeld de ISO 27001 bijlage A 5.26 en NIST (SP) 800-61 Revision 3 wijden er hoofdstukken aan. Het NCSC biedt een verzameling artikelen. De genoemde bronnen bezien incidenten vanuit een cyberweerbaarheidsperspectief. Wij onderkennen ook het governance-, juridisch, operationeel-weerbaarheidsperspectief die respectievelijk ingaan op het “in goede banen” sturen, het beperken van aansprakelijkheids- en kostenrisico’s alsmede de kostenverhalen en het beperken of wegnemen van de impact op de bedrijfscontinuïteit van een incident.

Een Cyber Incident Responder kan gebruikmaken van een Digital Forensics Investigator die potentieel bewijs van kwaadaardige incidenten aan het licht brengt en mogelijke dreigingsactoren identificeert. Een in cybersecurity en -crime getrainde advocaat maakt ook gebruik van de bevindingen van een Digital Forensics Investigator met als doel de juridische weerbaarheid van het bedrijf te organiseren. Hierbij gaat het om het samenstellen van een dossier waarmee aansprakelijkheidsrisico’s en -kosten worden beperkt en het verhalen van incident- en datalekkosten op derden wordt gefaciliteerd.

Operationeel

De Cyber Legal, Policy & Compliance Officer overziet en bevestigt de compliance met beleidsmatige en wettelijke en contractuele verplichtingen waaronder de NIS2 en Cbw. Deze rol heeft een overzicht en inzicht in de bedrijfsprocessen waarmee de bedrijfsactiviteiten effectief zijn georganiseerd. De bedrijfsactiviteiten van de verbonden entiteiten geven aan welke wettelijke en contractuele verplichtingen – naast de bedrijfsmatige – van toepassing zijn. Periodiek rapporteert de Cyber Legal, Policy & Compliance Officer aan de CISO over aanpassingen in het verantwoordings- en aansprakelijkheidsdomein.

Er zijn vele instituten die cyberdreigingsbeelden publiceren (bijvoorbeeld ENISA, NCSC en particuliere cybersecuritydienstverleners). De rol van de Cyber Threat Intelligence Specialist verzamelt, analyseert en verspreidt relevante informatie aan geïnteresseerden in het bedrijf, in het bijzonder CISO’s en andere rollen. Door onderling afspraken te maken delen deze specialisten informatie over bedreigingen, trends, methodologieën en aanvals- en response-technieken. De waarde van de Cyber Threat Intelligence Specialist stijgt als op een toegankelijke wijze informatie rol-specifiek en tijdig wordt gecommuniceerd.

De Cybersecurity Architect ontwerpt vanuit de bedrijfsactiviteiten, -informatie infrastructuur, en -vereisten de cybersecurity architectuur. Deze architectuur wijzigt als gevolg van wijzigingen in de bedrijfsactiviteiten, aanvullend beleid en wetgeving, en het op de markt komen van nieuwe beveiligingsmaatregelen. De architect onderhoudt de weergave (een gevoelig bedrijfsgeheim) van de cyberbeveiligingssysteemarchitectuur en zorgt dat deze weergave slechts voor aangewezen rollen toegankelijk is. 

De Cybersecurity Researcher gaat risicogericht na welke maatregelen “by design” opgenomen kunnen worden in processen en systemen. Afhankelijk van de aard en omvang van het bedrijf vervult de CISO of cybersecurity architect deze rol. 

De Cybersecurity Implementer implementeert de cyberbeveiligingsoplossingen zoals deze door de Cybersecurity Architect zijn ontworpen en door de NIS2 worden geadviseerd. Een persoon met de rol van cyberbeveiligingsarchitect verzorgt, na goedkeuring door de CISO en het bestuur, veelal ook de implementatie. 

De Penetration Tester zoekt naar kwetsbaarheden in de beheer- en beveiligingsmaatregelen die in bedrijfsprocessen en ondersteunende systemen zijn opgenomen. De rapportage aan de CISO bestaat uit een gedetailleerde en uitgebreide analyse van de kwetsbaarheden van een systeem die tijdens een beveiligingstest zijn vastgesteld. Het rapport kan ook voorgestelde herstelmaatregelen bevatten.

De Cybersecurity Auditor (veelal een EDP Auditor die is geregistreerd bij het NOREA, de beroepsorganisatie van IT-auditors) organiseert de jaarlijkse en incidentele planning, uitvoering en rapportering cybersecurity (interne) audits. Opdrachtgevers zijn veelal het bestuur, de CISO en het afdelingsmanagement. Een (interne) audit geeft inzicht in het beveiligingsniveau van een proces of systeem, adviseert over te treffen beheers-, beveiligings- en compliance-maatregelen en geeft een inschatting van de impact van bevindingen op de algehele beveiliging en afscherming van gegevens. De werkzaamheden van de interne cybersecurity audit geven het bestuur en CISO comfort bij de verklaring omtrent risicobeheersing (VOR) en dient als basis voor de werkzaamheden van de externe cybersecurity auditor.

Observaties

De Europese wetgever legt met de NIS2 en de uitleg van autoriteiten zoals ENISA en in Nederland het NCSC over bijvoorbeeld rolverdeling met bijbehorende taken een basis voor samenwerking tussen bedrijven in hun informatie ecosystemen. Met behulp van een bedrijfsspecifiek ecosysteem kan het bestuur of directie risicogericht de netwerkverantwoordelijkheid en -aansprakelijkheid inschatten.

Het risico- en incidentmanagement (de artikelen 21 en 23 NIS2) is gericht op de interne processen, het informatie ecosysteem en het cyberweerbaarzijn van Europese bedrijven. Er rust op essentiële en belangrijke bedrijven de verplichting in het ecosysteem transparant te zijn over incidenten. Hiermee verkleint het bestuur van deze entiteiten de kosten en aansprakelijkheidsrisico’s. Het om welke reden dan ook niet transparant zijn over incidenten verhoogt de kosten en aansprakelijkheidsrisico’s.

Het bestuur delegeert een omvangrijk pakket aan taken aan de CISO, die een deel van deze taken delegeert aan de genoemde rollen. Wij kunnen de taken indelen in het treffen en in stand houden van passende en risicogerichte beheers-, beveiligings- en compliance-maatregelen waarmee het bestuur en het afdelingsmanagement (de eigenaren) effectief en aantoonbaar de bedrijfs- en persoonsgegevens en de rechten en vrijheden van personen beschermt. Hiernaast zijn er taken die gericht zijn op het ontdekken, registeren, risico’s bepalen, wegnemen en behandelen van incidenten en datalekken. 

Centraal bij het beschermen van gegevens staat een projectmatige en risicogerichte aanpak. Bij uitvoeren van de taken bestaat veel onzekerheid over het effectief zijn van de maatregelen waardoor het essentieel is dat het bestuur en de CISO een risicogerichte aanpak gebruiken. De wetgever begrijpt het veld waarin wordt geopereerd en herhaalt de risicogerichte aanpak. Neemt niet weg dat het bestuur, op basis van de verantwoordingsinformatie van de CISO, risicogericht verantwoording aflegt aan het maatschappelijk verkeer. Het is nodig dat de gedelegeerde taakvervulling van de CISO ook risicogericht is. 

De CISO moet beschikken over een omvangrijk en actueel kennisveld. Bovendien is het essentieel dat de CISO over goede sociale vaardigheden beschikt om te communiceren met bestuur, de directie en het management; met partners buiten de organisatie en om veranderingsprocessen in gang te houden.

Essentiële en belangrijke bedrijven en organisaties implementeren en beheren de NIS2 verplichtingen. Bedrijven en organisaties die niet onder de criteria van essentiële en belangrijke entiteiten vallen maar wel aan essentiële en belangrijke bedrijven en organisaties producten en diensten leveren onderzoeken wat hun rol in het informatie-ecosysteem is en hoe zij hun klanten kunnen faciliteren (ontzorgen). Er zijn bedrijven die de NIS2 volgen omdat het een effectieve aanpak is om cybercriminelen uit hun operationele systemen te houden.

Contact, advies of training

Bent u op zoek naar een professional die de rol van CISO kan voorbereiden, uitwerken en of voor u tijdelijk kan vervullen? Bekijk dan deze pagina. Ook bieden wij (via de Duthler Academy) een interessante cursus NIS2 voor CISO’s aan, bekijk dan deze pagina.

Uiteraard kunt u ook gerust contact met ons opnemen voor vragen.

Tags: