Zo helpt het NCSC ons naar een digitaal veiliger samenleving

Als je in een auto stapt, weet je dat je een rijbewijs nodig hebt, dat je je veiligheidsgordel om moet doen, dat je auto Apk-gekeurd moet zijn en dat je maar beter niet te veel drinkt als je nog op pad moet. Wel zo veilig. Maar als het gaat om cyberveiligheid, is het allemaal zo helder niet. Veel burgers, overheden en organisaties worstelen met het beveiligen van systemen en data en laten nogal eens wat gegevens slingeren hier en daar. Om uiteindelijk een veilig digitaal ecosysteem te creëren, heeft het Nationaal Cyber Security Centrum eind 2022 de Nederlandse Cybersecuritystrategie 2022-2028 uitgebracht. In deze blog vertelt George van Brugge, oprichter en eigenaar van Portland, wat deze strategie inhoudt en hoe je ook als relatief kleine organisatie de boel veilig houdt.

De veiligheid in de digitale wereld blijft ver achter bij die in de fysieke wereld, dat zegt het Nationaal Cyber Security Centrum (NCSC), onderdeel van het ministerie van Justitie en Veiligheid. Ik schreef in een eerdere blog al dat we heel wat kunnen leren van een oud-inbreker. Zorg voor goede verlichting, stevig afgesloten raampjes, een flink alarmsysteem, driesterren-sloten en bij voorkeur een fikse waakhond, en meneer Jatmoos loopt liever een deurtje verder. Dat weten we inmiddels allemaal wel. Volgens het CBS nemen traditionele vormen van criminaliteit – denk aan inbraak, diefstal, geweld en vernieling – steeds verder af, maar online criminaliteit zien we toenemen.

De verwachting is dat die digitale dreiging permanent is. Tot nu toe heeft de verantwoordelijkheid voor cyberveiligheid eigenlijk altijd gelegen bij de eindgebruikers – lees: burgers, kleinere ondernemingen en organisaties. Maar de meeste eindgebruikers worstelen hiermee. Het kabinet wil dan ook een andere route inslaan naar een veilig digitaal ecosysteem. Dat is waarom het NSCS eind 2022 de Nederlandse Cybersecuritystrategie 2022-2028 heeft uitgebracht.

‘De Nederlandse Cybersecuritystrategie bestaat uit vier pijlers en elke pijler kent een aantal doelen. De pijlers:

• Pijler I: Digitale weerbaarheid van de overheid, bedrijven en maatschappelijke organisaties. In deze pijler is onder andere speciale aandacht voor de digitale weerbaarheid van het mkb en het overige bedrijfsleven.

• Pijler II: Veilige en innovatieve digitale producten en diensten.

• Pijler III: Tegengaan van digitale dreigingen van staten en criminelen.

• Pijler IV: Cybersecurity-arbeidsmarkt, onderwijs en de digitale weerbaarheid van burgers.

Deze pijlers vertalen zich in een aantal speerpunten:

1. Het kabinet investeert in mensen en systemen die scherper zicht geven op de herkomst van dreigingen en tegen wie ze gericht zijn.

2. Het kabinet neemt verschillende acties om meer ICT-specialisten op de arbeidsmarkt te krijgen.

3. De verantwoordelijkheid voor cybersecurity verschuift van individu naar de overheid en specifieke sectoren.

4. Nieuwe wet- en regelgeving helpt (rijks)overheden, vitale aanbieders, en leveranciers van digitale producten en diensten om beter toezicht te houden.

5. Er komt een centrale cyberautoriteit in Nederland: het nationale Cyber Security Incident Response Team, die organisaties, overheden en burgers voorziet van informatie over (dreigende) cyberincidenten zodat ze zich kunnen beveiligen.

Klinkt dit allemaal nog een beetje vaag? Snap ik! Het is en blijft de overheid, hè ;-) Maar geloof het of niet, al deze ambities zijn vertaald in een actieplan. In dit praktische actieplan zijn voor elke afzonderlijke pijler en elk afzonderlijk doel concrete acties opgesteld, met per actiepunt een samenvatting, een tijdlijn, een opsomming van de betrokken partijen en de eigenaar. Zo valt bijvoorbeeld onder de doelstelling ‘Digitale weerbaarheid mkb en bedrijfsleven’ een actie die als volgt wordt samengevat: ‘Het gebruik van tools, zoals risicoscans, en producten en beveiligingsadviezen, stimuleren onder het mkb via onder andere brancheorganisaties, zoals bij het publiek-private platform Samen Digitaal Veilig’. Deze actie moet in 2024 zijn afgerond, de eigenaren zijn het ministerie van Economische Zaken en Klimaat en het ministerie van Justitie en Veiligheid. De betrokkenen? Het Digital Trust Center (onderdeel van EZK), het NCSC (onderdeel van JenV), ondernemersvereniging VNO-NCW en ondernemersorganisatie MKB-Nederland.

We weten uit ervaring dat het voor veel kleinere organisaties onhaalbaar is om zich te certificeren voor NIST of ISO 270001. Het kost niet alleen heel veel tijd en energie, het gaat ook flink in de papieren lopen. Dan hebben we het nog niet gehad over het jaarlijks onderhouden van je certificering. Gelukkig zijn er meerdere wegen die naar Rome leiden en dat weet ook de overheid. Met deze basismaatregelen en dit stappenplan kom je al een heel eind!

Op zoek naar de juiste veilige en innovatieve digitale oplossingen? Portland heeft als trusted advisor een preselectie voor je gemaakt. Zo weet je zeker dat je de best passende oplossing kiest. In februari publiceren we onze productmatrix op basis van het NIST-framework. Zo kun je alle geselecteerde oplossingen in de juiste context zien en zie je in één oogopslag wat je eventueel nog mist in je cybersecuritystack. Wel zo handig. Wil je als eerste geïnformeerd worden? Stuur ons een mail of volg onze LinkedIn-pagina!

Doing business is teamsport, daar geloven wij heilig in bij Portland. Benieuwd hoe we jou kunnen helpen met de beste toekomstbestendige oplossingen? Neem gerust vrijblijvend contact met ons op. Wil je op de hoogte blijven van het laatste nieuws en de meeste recente ontwikkelingen in MSP-land? Volg onze LinkedIn-pagina!