RDI: digitale autonomie is de basis voor digitale weerbaarheid

Digitale soevereiniteit is een actueel thema in Europa. Maar de recente incidenten laten zien dat ook bij gebruik van Europese cloudleveranciers je kwetsbaar kan zijn. Soevereiniteit maakt organisaties daarom niet automatisch digitaal weerbaar.
 
RDIRDI roept organisaties dan ook op in te zetten op het krijgen van grip op de afhankelijkheden en risico’s en daarmee digitaal weerbaar te worden. Bovendien is dat waar ook de Cyberbeveiligingswet op inzet.
 
Veel organisaties focussen op cloudsoevereiniteit: het idee dat digitale gegevens alleen veilig zijn als ze volledig onder eigen controle en binnen Nederland of de EU blijven. Maar de werkelijkheid is complexer…
 
Die werkelijkheid wordt onder andere gevormd door de Cyberbeveiligingswet (Cbw). Die focust op het daadwerkelijk zicht hebben op je digitale afhankelijkheden, of risico’s in beeld zijn en of je zelf in control bent over je data en processen. De RDI gaat toezicht houden op de Cbw. 

Drie fundamentele eisen

De Cbw stelt in het bijzonder drie fundamentele eisen aan gebruikers van clouddiensten.

Risicoanalyse en informatiebeveiliging 

De eisen hebben allereerst betrekking op risicoanalyse en informatiebeveiliging. Organisaties moeten begrijpen waar ze afhankelijk van zijn en daarom alle risico’s die gepaard gaan met hun cloudgebruik in kaart brengen. Een organisatie die gebruik maakt van de cloud moet bijvoorbeeld weten waar zijn data fysiek opgeslagen is, wie er toegang toe heeft en hoe snel systemen hersteld kunnen worden bij een verstoring. Als deze informatie ontbreekt, is de risicoanalyse onvoldoende. De RDI ziet erop toe dat organisaties de risico’s van hun cloudkeuze kennen, dat ze weten hoe deze de continuïteit van hun bedrijfsvoering eventueel kunnen beïnvloeden en dat er strategieën zijn voorbereid voor onverhoopte incidenten.

Risico’s in de toeleveringsketen

Vaak liggen risico’s ook buiten de eigen organisatie, bijvoorbeeld bij je cloudleveranciers. Daarom moeten organisaties ook actief sturen op grip over hun cloudafhankelijkheden; weten welke cloudleveranciers toegang hebben tot hun kritische systemen, wat er in de contracten is vastgelegd in geval van incidenten en welke onderleveranciers er betrokken zijn bij je cloudinfrastructuur. 

Beleid moet in de praktijk werken 

Tot slot: beleid moet in de praktijk ook echt werken. De RDI onderzoekt of organisaties aantoonbaar goede criteria hanteren bij het selecteren van hun cloudleverancier en of ze ook daadwerkelijk en periodiek hun cloudleveranciers evalueren, incidenten goed afhandelen en concrete exit-strategieën hebben..  
 
De RDI stelt dus dat digitale weerbaarheid het echte doel is. En die begint bij één principe: grip op afhankelijkheden. Een niet-Europese leverancier kan acceptabel zijn, mits de risico’s beheerst zijn. En een Europese provider kan onveilig en onacceptabel zijn, als die controle ontbreekt. 
De RDI roept cloudgebruikers op zich te richten op een gedegen risicoanalyse, sterk ketenbeheer en leveranciersmanagement. Die zijn essentieel in de voorbereiding op de Cbw en voorwaardelijk om te kunnen voldoen aan de eisen van deze wet. Ze geven inzicht, brengen grip en zijn de weg naar digitale weerbaarheid. (bron en link naar de publicatie)
Gerelateerde berichten

Panik Button is een Nederlands Cyber Resilience (Weerbaarheid) bedrijf dat organisaties helpt wanneer zij worden getroffen door een cyberaanval, zoals een hack, ransomware of een grote IT-storing. Op zo’n moment...

De afgelopen dagen is in de nationale en internationale pers veel aandacht besteed aan gehackte IP-camera’s in Nederland. Het gaat om een grootschalige Russische spionageactie waarvoor een berucht zwakke schakel...

Vorige week schreef Golem, een Duitse techsite dat M365 voor het Zwitserse leger onacceptabel was. De site gebruikte als bron een artikel uit een Duitse krant. Daar had iemand zitten...

Veel IT-bedrijven ontwerpen hun architectuur zorgvuldig, maar worstelen met de uitvoering: te weinig handen voor implementatie, onderhoud en support op locatie. Easy Services uit Lelystad springt in dat gat. Als...

Lezers van ITchannelPRO zien regelmatig berichten over het optreden van de Europese Commissie tegen Amerikaanse big tech. Ten onrechte zou daardoor de indruk kunnen ontstaan dat men alleen naar de...

Laatste nieuws
Personalia
Magazine
Evenementen
sep
02
17:00 - 21:30 - La Cantina, Scheveningen
17:00 - 21:30 | La Cantina, Scheveningen
sep
04
09:00 - 17:00 - Online
09:00 - 17:00 | Online
sep
09
09:30 - 17:00 - Utrecht
09:30 - 17:00 | Utrecht
Vacatures
Q data solutions
Den Bosch
TP-Link
Nieuwegein
TP-Link
Nieuwegein