Genootschap voor Risicomanagement

• 18 jan. 2025 15:24:00

De rol van wet- en regelgeving en standaarden bij crisisvoorbereiding in organisaties

Enige tijd geleden plaatste ik een artikel over ‘’preppen’’: nut en noodzaak om voorbereid te zijn op crisissituaties die zich kunnen voordoen na aanvallen in het digitale domein. Nu zijn er van oudsher of van recentere datum diverse bronnen beschikbaar die ons als richtlijn, standaard of wet hierbij kunnen ondersteunen. Vooraf wil ik stellen dat ik persoonlijk geen van deze modellen ervaar als ‘’keurslijf’’ of als excuus om dan maar te ‘’bureaucratiseren’’. Als dat in uw geval de lading is, beseft u wat mij betreft niet dat al deze modellen waardevolle referenties zijn die u kunt inzetten als enabler en referentiekader. (Vergelijk: hoe vaak wordt de AVG niet gebruikt als onterecht excuus om maar niet te hoeven communiceren?)

De groeiende dreiging van geopolitieke instabiliteit vraagt om een robuust kader van wet- en regelgeving en internationale standaarden om organisaties te ondersteunen in hun crisisvoorbereiding. Regels zoals DORA, CRA en NIS2, evenals standaarden zoals ISO27001, ISO27005, ISO31000, ISO22301, en nationale initiatieven zoals de Wet bevordering digitale weerbaarheid bedrijven, bieden waardevolle richtlijnen. Deze instrumenten versterken niet alleen de interne processen, maar bevorderen ook samenwerking en vertrouwen tussen organisaties, overheden en stakeholders. Door naleving van deze kaders kunnen bedrijven hun veerkracht vergroten en risico’s beter beheren. Hieronder volgt een overzicht van op dit moment beschikbare referenties, op basis waarvan invulling kan worden gegeven aan maatregelen die organisaties zich kunnen voorbereiden (deze opsomming is uiteraard niet uitputtend).

DORA (Digital Operational Resilience Act)

DORA richt zich op de digitale veerkracht van de financiële sector. Het verplicht organisaties om hun IT-systemen te versterken tegen cyberaanvallen en andere digitale verstoringen. Dit omvat regelmatige stresstests, rapportage van incidenten en samenwerking met bevoegde autoriteiten. Voor organisaties in de financiële sector betekent DORA dat zij proactief kwetsbaarheden moeten identificeren en mitigeren. Door naleving van DORA kunnen bedrijven niet alleen compliance bereiken, maar ook hun klanten en partners verzekeren van een robuuste digitale infrastructuur.

DORA draagt direct bij aan effectieve crisisvoorbereiding door de nadruk te leggen op operationele veerkracht in de financiële sector. Door periodieke stresstests kunnen organisaties inzicht krijgen in hun zwakke punten en hun responscapaciteit vergroten. Het verplicht stellen van incidentrapportages zorgt ervoor dat lessen uit eerdere crises worden gedeeld en geïntegreerd in de sector. Bovendien bevordert DORA een gestandaardiseerde aanpak voor risicobeheer, wat samenwerking tussen bedrijven binnen de sector stimuleert. Dit vermindert het risico op kettingreacties bij verstoringen en verhoogt de algehele stabiliteit van de sector.

CRA (Cyber Resilience Act)

De CRA richt zich op het vergroten van de cyberveiligheid binnen de gehele EU. Dit initiatief stelt eisen aan hardware- en softwareproducten om kwetsbaarheden te minimaliseren. Voor bedrijven betekent dit een extra focus op productveiligheid en supply chain management. De CRA versterkt de basis voor het identificeren en elimineren van cyberrisico’s, en stimuleert innovatieve oplossingen die de algehele veiligheid verhogen.

De CRA helpt organisaties zich beter voor te bereiden op cyberdreigingen door een preventieve benadering te stimuleren. Door de nadruk te leggen op productveiligheid, worden leveranciers gedwongen om producten te ontwikkelen die voldoen aan hoge beveiligingsnormen, wat de risico’s van supply chain-aanvallen verkleint. Daarnaast dwingt de CRA bedrijven om diepgaand inzicht te verkrijgen in hun digitale ecosystemen en risico’s in een vroeg stadium te mitigeren. De focus op uniforme regelgeving binnen de EU maakt het voor organisaties eenvoudiger om te opereren in meerdere lidstaten zonder afbreuk te doen aan hun beveiliging.

NIS2 (Network and Information Security Directive 2)

NIS2 breidt de scope van de oorspronkelijke richtlijn uit en legt strengere beveiligingseisen op aan vitale sectoren. Organisaties moeten uitgebreide risicobeheerplannen implementeren en incidenten tijdig melden. Deze richtlijn is cruciaal voor sectoren met een hoge mate van afhankelijkheid van informatietechnologie en kritieke infrastructuren.

NIS2 biedt een gestructureerd raamwerk dat organisaties helpt om kritieke infrastructuur te beschermen tegen toenemende dreigingen. De richtlijn bevordert samenwerking tussen organisaties en nationale autoriteiten, waardoor snellere en effectievere crisisrespons mogelijk wordt. Het verplicht stellen van risicobeheerplannen betekent dat organisaties vooraf potentiële dreigingen analyseren en concrete actieplannen ontwikkelen, wat de reactietijd bij incidenten aanzienlijk verkort. Bovendien stelt NIS2 sectoroverschrijdende normen vast, waardoor de robuustheid van gehele netwerken wordt versterkt en fragmentatie binnen sectoren wordt verminderd.

ISO27001 en ISO27005

ISO27001 biedt een raamwerk voor het implementeren van een Information Security Management System (ISMS). Dit helpt organisaties bij het systematisch beheren van informatiebeveiligingsrisico’s. ISO27005 ondersteunt dit proces door specifieke richtlijnen te bieden voor risicobeoordeling en -beheer. Samen stellen deze standaarden organisaties in staat om beveiligingslacunes te identificeren en te dichten.

ISO31000 (Risk Management)

ISO31000 biedt een holistisch raamwerk voor risicomanagement dat toepasbaar is in verschillende sectoren. Het helpt organisaties bij het identificeren, analyseren en beheersen van risico’s. Door de integratie van ISO31000 kunnen bedrijven risicobewustzijn verbeteren en strategische beslissingen nemen die de operationele continuïteit ondersteunen.

ISO22301 (Business Continuity Management)

ISO22301 biedt specifieke richtlijnen voor het waarborgen van continuïteit tijdens verstoringen. Deze standaard helpt organisaties bij het ontwikkelen van business continuity-plannen die zorgen voor een snelle en effectieve respons op incidenten.

De relevantie van ISO22301 voor de weerbaarheid van organisaties kan nauwelijks worden overschat. De standaard biedt een systematische aanpak om de continuïteit van kritieke bedrijfsprocessen te waarborgen tijdens verschillende soorten crises, van natuurrampen tot geopolitieke instabiliteit. ISO22301 helpt organisaties om risicogebieden te identificeren en business continuity-plannen op te stellen die specifiek zijn afgestemd op hun bedrijfsmodel. Deze plannen bevatten duidelijke protocollen voor crisismanagement, inclusief communicatie- en herstelstrategieën. Een belangrijk kenmerk van ISO22301 is de focus op regelmatige tests en evaluaties, wat organisaties in staat stelt om hun responsplannen continu te verbeteren.

Voor bedrijven met complexe toeleveringsketens biedt ISO22301 een raamwerk om verstoringen in deze ketens te minimaliseren. Door processen zoals voorraadbeheer en leveranciersrelaties te optimaliseren, wordt het risico van een domino-effect bij verstoringen aanzienlijk verminderd. Bovendien bevordert ISO22301 samenwerking met externe partners en overheden, wat essentieel is bij grootschalige incidenten die meerdere organisaties raken.

Door ISO22301 te implementeren, kunnen bedrijven hun veerkracht vergroten, wat niet alleen leidt tot een betere crisisrespons, maar ook bijdraagt aan het vertrouwen van klanten en stakeholders. Deze standaard is daarom een onmisbaar hulpmiddel voor organisaties die willen excelleren in een wereld die steeds onvoorspelbaarder wordt.

Wet bevordering digitale weerbaarheid bedrijven

Deze nationale wet richt zich op het verbeteren van de cyberweerbaarheid van Nederlandse bedrijven. Het stelt eisen aan cybersecurity-maatregelen en stimuleert informatie-uitwisseling tussen bedrijven en overheden. Voor organisaties biedt deze wet praktische handvatten en toegang tot ondersteuning vanuit overheidsinstanties.

Conclusie

Door te investeren in compliance met relevante wet- en regelgeving en de implementatie van internationale standaarden, kunnen organisaties hun veerkracht vergroten. Deze kaders bieden niet alleen bescherming tegen bedreigingen, maar versterken ook het vertrouwen van stakeholders. In een wereld vol onzekerheden is naleving van deze richtlijnen niet alleen een wettelijke verplichting, maar een strategische noodzaak.

Wilt u meer weten? Neem contact op met het Genootschap voor Risicomanagement GvRM.