Cybersecuritytoezichthouders letten op risicomanagement
Vitale dienstverleners in Nederland vallen onder cybersecuritytoezicht vanwege de wetgeving (Wbni en NIS). Cybersecuritytoezichthouders letten op risicomanagement en hebben hiervoor een gezamenlijk inspectiebeeld over 2022 opgesteld. Het rapport geeft inzicht in de huidige stand van zaken en de verbeterpunten voor vitale dienstverleners.
Cybersecuritytoezichthouders letten op risicomanagement: bevindingen
Uit het inspectiebeeld blijkt dat risicomanagement bij veel vitale dienstverleners nog verder kan worden versterkt. De nadruk ligt op het effectief inrichten van het Information Security Management System (ISMS), het testen van beveiligingsmaatregelen en het beheren van risico’s binnen samenwerkingsverbanden en uitbestedingen. Nieuwe Europese regelgeving, zoals de NIS 2-richtlijn en de CER-regeling voor fysieke risico’s, maakt deze verbeterpunten nog relevanter.
Aanbevelingen van toezichthouders voor risicomanagement
Enkele concrete aanbevelingen uit het gezamenlijke inspectiebeeld zijn:
- Laat de effectiviteit van het ISMS onafhankelijk beoordelen
- Ontwikkel en implementeer regelmatig beveiligingstesten
- Zorg dat risicobeheersing binnen het ISMS het hele ecosysteem van samenwerking en uitbesteding omvat
- Versterk logische toegangsbeveiliging en toegangsrechten
- Documenteer en monitor continue verbeteringen
Relevantie voor onderwijs en onderzoek
Voor onderwijs- en onderzoeksinstellingen is dit rapport interessant omdat het inzicht geeft in de manier waarop toezichthouders werken en welke aandachtspunten belangrijk zijn. Cybersecuritytoezichthouders letten op risicomanagement, en in de toekomst kan dit ook voor onderwijsinstellingen relevant worden als zij onder de NIS 2-richtlijn vallen. Door de aanbevelingen nu te bekijken, kunnen instellingen hun eigen risicomanagement en ISMS tijdig verbeteren.
