Security & Privacy Dossier 2024 by iMediate

Highlights

Grotetafelgesprek

‘Praat als partner

vaker over security’

Pagina 8

Vooruitblik

Cybersec Netherlands

Pagina 16

De impact

van NIS2

Vijf specialisten in gesprek

bij Rittal

Pagina 26

SECURITY & PRIVACY DOSSIER

‘Cybersecurity maakt vooruitgang mogelijk’

Ashley Schut, Channel Manager bij ESET, over de noodzaak van cybersecurity en het weerbaar maken van organisaties Pagina 4

AIGP Certiﬁed AI Governance Professional

CNIS2 Certiﬁed NIS2 Professional

BIO Certiﬁed Bio Professional Foundation/Practitioner

OSCP OffSec PEN-200

OSEE OffSec EXP-401

CEH Certiﬁed Ethical Hacker v13 AI

TSTC is een gerenommeerd IT opleidingsinstituut en erkend specialist in informatiebeveiliging en cybersecurity trainingen.

TECHNICAL SECURITY TRAININGEN

CEH Certiﬁed Ethical Hacker

CHFI Computer Hacking Forensic Investigator

CPENT Certiﬁed Penetration Testing Professional

SSCP Systems Security Certiﬁed Professional

OSCP Offensive Security Certiﬁed Professional

SECURITY MANAGEMENT TRAININGEN

CISSP Certiﬁed Information Systems

Security Professional

CISM Certiﬁed Information Security Manager

CISA Certiﬁed Information Systems Auditor

CRISC Certiﬁed In Risk And Information Systems Control

C|CISO Certiﬁed Chief Information Security Ofﬁcer

PRIVACY TRAININGEN

CIPP/E Certiﬁed Information Privacy Professional / Europe

CIPM Certiﬁed Information Privacy Manager

CIPT Certiﬁed Information Privacy Technologist

CDPO Certiﬁed Data Protection Ofﬁ cer

CLOUD SECURITY TRAININGEN

CCSP Certiﬁed Cloud Security Professional

ISO TRAININGEN

ISO 27001 Foundation

ISO 27001 Lead Implementer

ISO 27001 Lead Auditor

ISO 27005 Risk Manager

ISO 27001 Privacy Management

Geen overbodige luxe

Een storing bij Crowdstrike die wereldwijd miljoenen computers platlegde, een te koop aangeboden database met gestolen gegevens van maar liefst 26 miljard online accounts, datadiefstal bij de politie waardoor de persoonlijke gegevens van honderden agenten op straat kwamen te liggen – en dit is nog maar een kleine greep uit het aantal incidenten van het afgelopen jaar. De ene cybersecurity-aanval was nog niet afgelopen of de andere stond alweer zijn virtuele messen te slijpen.

En ook de komende tijd moeten we op onze hoede blijven. Zo las ik tijdens het schrijven van dit voorwoord een verontrustend persbericht van De Nederlandse Bank (DNB). Burgers in Nederland moeten zich volgens DNB realiseren ‘dat een cyberaanval de ﬁnanciële dienstverlening in extreme situaties tijdelijk plat kan leggen.’

Olaf Sleijpen, directeur monetaire zaken bij DNB, schetst scenario’s waarbij criminelen ransomware, desinformatie en deepfakes inzetten om banken en consumenten om de tuin te leiden. Voor geruststellende woorden zijn we bij Sleijpen aan het verkeerde adres; we moeten ons juist extra bewust worden van de gevaren van cyberaanvallen. Zijn advies? ‘Voor de zekerheid wat contant geld achter de hand houden, desnoods in een oude sok, is wellicht geen overbodige luxe.’

Mijn advies zou eerder zijn: lees dit Dossier Security & Privacy goed door, en breng vooral een bezoek aan de beurs Cybersec Netherlands 2024, op 6 en 7 november in Jaarbeurs Utrecht, waar ook het ChannelConnect-team aanwezig is. Zien we elkaar bij de MKB ChannelConnect Paneldiscussie?

Arnold le Fèbre - hoofdredacteur

COVERSTORY: ESET

GROTETAFELGESPREK SECURITY & PRIVACY

CYBERSEC NETHERLANDS

WATCHGUARD

AUTHENTICATIE: DE STAND VAN ZAKEN

CLARANET

COLOFON

ChannelConnect is hét platform voor de IT-dienst-verlener met focus op het mkb. ChannelConnect informeert zijn lezers dagelijks via het magazine, de Dossiers, de website ChannelConnect.nl, de e-mailnieuwsbrief en via de sociale mediakanalen.

In 2024 verschijnt het magazine vier keer. Daarnaast brengen we vier keer een Dossier uit met de onderwerpen Datacenter & Cloud, Telecom & UC, Security & Privacy en Cloudtransformatie. Rond deze onderwerpen worden de zogenoemde Grotetafelgesprekken georganiseerd.

ADRES

iMediate BV

Arendstraat 33b 1223 RE Hilversum Telefoon: 035 646 5800 redactie@channelconnect.nl

UITGEVER

Joost Driessen

HOOFDREDACTEUR

Arnold le Fèbre

EINDREDACTIE

Marcel Debets

WEBREDACTIE

Arnold le Fèbre, Marcel Debets

REDACTIE & MEDEWERKERS

Michiel van Blommestein, Mels Dees, Cas Spiertz, Hans Steeman, Martijn Vet

MANAGER CLIENT SERVICES

Laura Vermeulen

VORMGEVING & DTP

Tim van den Berg

COVER FOTOGRAFIE

Jasper Bosman

ADVERTENTIE- EXPLOITATIE

Tarik Lahri (tarik.lahri@imediate.nl)

Mitchel van der Heide (mitchel.vanderheide@imediate.nl)

DRUK

Vellendrukkerij BDU, Barneveld

CHANNELCONNECT IS EEN UITGAVE VAN:

ChannelConnect mag niet worden gereproduceerd, geheel noch gedeeltelijk, zonder schriftelijke toestemming vooraf van de uitgever. ChannelConnect is niet aansprakelijk voor eventuele onjuistheden in deze uitgave. ChannelConnect is niet verantwoordelijk voor handelingen van derden, welke mogelijkerwijs voortvloeien uit het lezen van deze uitgave. ChannelConnect behoudt zich het recht voor om ingezonden materiaal zonder kennisgeving vooraf geheel of gedeeltelijk te publiceren.

Lezersservice

Voor onze wekelijkse e-mail nieuwsbrief kunt u zich (gratis) aanmelden via de website: www.channelconnect.nl Hier kunt u dagelijks terecht voor nieuws, achtergronden, marktcijfers, opinie en video-interviews. Voor het wijzigen van adresgegevens en/of overige vragen kunt u contact opnemen met onze abonnementen-administratie via: redactie@ channelconnect.nl of 035 646 5800 ChannelConnect, ISSN 2211-825X

ASHLEY SCHUT, ESET

‘Cybersecurity maakt vooruitgang mogelijk’

In een tijd waarin security-incidenten bijna dagelijks in het nieuws komen, gaat Ashley Schut, Channel Manager bij ESET in Nederland, uitgebreid in op de noodzaak van cybersecurity. “Organisaties weerbaar maken in een constant veranderend dreigingslandschap is noodzakelijk.” Tekst: Mels Dees

Op het moment dat deze editie verschijnt is NIS2, of de cyberbeveiligingswet zoals die nu o cieel heet, eindelijk van kracht. Zijn jullie er erg druk mee geweest?

“We zijn twee jaar geleden begonnen met het delen van informatie over de richtlijn. Het leek toen allemaal nog heel ver weg, maar nog steeds is er onduidelijkheid in de markt op bepaalde vlakken. De echte golf aan activiteiten moet nog komen, denken we. Dat komt ook doordat veel details pas laat duidelijk waren. En in sommige gevallen nog steeds niet helder zijn. We zijn in Nederland, met zijn allen, nog steeds niet helemaal klaar voor de implementatie.”

Het streven van de wet past bij jullie missie.

“Zeker. In feite gaat het bij NIS2 om weerbaarheid en het continu minimaliseren van risico’s. En dat geldt voor zowel grote organisaties als voor mkb-bedrijven. Dat wat je aanbiedt bij cybersecurity is in de kern het verminderen van risico en het vergroten van de weerbaarheid. De wet is dus van groot belang. Het wordt ingevoerd in een tijd waarin de digitale transformatie de kern van elke business vormt. Cybersecurity is geen nice to have, het is voor elke onderneming absolute noodzaak. Het is geen feestje van de IT-afdeling, maar een strategische prioriteit voor de hele onderneming. We zien cybersecurity dan ook als strategische kans, in plaats van een belemmering voor organisaties.”

de ISO 27001-certiﬁcering, die sommige organisaties al hebben. Daar kunnen organisaties aan voldoen omdat ze als onderneming de benodigde resources hebben. Maar niet elk bedrijf heeft de middelen het helemaal zelf te doen, daarom raden we organisaties aan zich te laten helpen door hun partners, de experts op cybersecurity-gebied. Elke eindklant heeft uiteindelijk verschillende behoeften, daarom is het belangrijk om samen met een expert partner te kijken naar de risico’s binnen jouw organisatie. Maar wat veel belangrijker is geworden de laatste jaren is een bepaalde vorm van pro-activiteit bij cybersecurity. Dat zou voor elke organisatie, ongeacht de omvang, binnen handbereik moeten zijn. En dat is waar wij naar streven binnen onze technologie: een platform dat proactiviteit mo-

reageerde men op iets dat binnenkwam, bijvoorbeeld in de mailbox. Nu is het zaak patronen te analyseren in een veel eerder stadium. Al bij het opstarten van een device moet er een check zijn zodat potentiële bedreigingen geïdentiﬁceerd en geneutraliseerd worden voordat ze schade kunnen aanrichten. En ook bij o ine gebruik moet het systeem intelligent blijven. Onze oplossingen werken op verschillende lagen. Uiteraard ondersteunt de meerlaagse aanpak bedrijven in het preventie onderdeel van beveiliging. Denk hierbij aan lagen op de UEFI scanner of de cruciale private Cloudsandbox, die onbekende bestanden eerst analyseren voordat ze worden uitgevoerd. De technologie is proactief, maar het is essentieel om zelf ook te monitoren en te reageren op detecties - die geven

“Cybersecurity is geen nice to have, maar absolute noodzaak voor elk bedrijf”

gelijk maakt en volledig aanpasbaar is aan jouw organisatie. Dit geldt voor msp’s, mkb-ondernemingen en enterprise eindklanten. Je kunt indien gewenst de omgeving ﬁnetunen. Op die manier zal het voor elke organisatie binnen handbereik moeten zijn om technologie te implementeren en proactief te handelen.”

NIS2 zou eigenlijk voor niemand nieuw moeten zijn?

“Klopt, wij zien NIS2 als een basisfundament, niet het maximale wat je kunt doen. Het zijn handvatten die je gegeven worden voor gevaren die al veel langer spelen. Je kunt NIS2 grotendeels plotten op

Wordt er nog te vaak reactief naar security gekeken?

“We zien dat bij veel organisaties nog wel. Dit kan komen door minder kennis en expertise of resources. Maar we benadrukken al langer dat cybersecurity in onze ogen van reactief naar proactief aangevlogen moet worden. Grote organisaties namen die stap eerder doordat zij de juiste middelen al hadden. Gelukkig is dit nu vaker ook binnen handbereik voor het mkb. Vroeger

waardevolle inzichten. Preventie blijft altijd de focus, maar het monitoren van afwijkend gedrag is net zo belangrijk - denk aan NIST, waar monitoring duidelijk wordt benadrukt. De combinatie van technologie en menselijke expertise zorgt ervoor dat je je weerbaarheid gaat vergroten.”

Ga daar eens verder op in?

“We hebben als leverancier 35 jaar ervaring. En die ging en gaat vanaf het begin verder dan alleen het detecteren van gevaren. Ook het voorspellen van wat er kan gaan gebeuren is van belang. Maar naast predictie is ook preventie noodzakelijk: hoe voorkom je een incident? En tot slot gaat het natuurlijk om de respons: hoe reageer je op een incident? Zo vullen we het hele kwadrant in. Onze oplossing ‘MDR voor iedereen’ is een voorbeeld van

YOUR DEDICATED LEGAL PARTNER FOR GDPR AND CYBER RESILIENCE!

• compliance check with cybersecurity laws such as NIS2 and Wbni

• advice on the Dutch draft bill called ‘Cyberbeveiligingswet’

• review and draft internal policies, incident response plan & contracts

• ensure NIS2 obligations as well as GDPR is ‘aligned’ within the organization

• help you with security measures and notiﬁcation duties

• legal assistance during IT incidents, audits and court cases

• take legal action against acts of cybercrime

die proactieve security-monitoring. Met een partner tussen ons als leverancier en de eindklant.”

Naast technische oplossingen delen jullie ook informatie met de msp’s.

“Wij zeggen: ‘kennis is kracht’. De afgelopen jaren hebben we heel veel informatie verzameld. Dit komt omdat onze oplossingen wereldwijd op miljoenen devices draaien. Gezamenlijk verzamelen die devices veel waardevolle data. Al deze data voeden onze threat intelligence die we gebruiken binnen onze diensten, zoals het delen van APT-rapportages en data feeds met de meest recente dreigingsinformatie. Dat leidt tot een stroom rapporten met dreigingsinformatie die we delen, soms publiekelijk en soms exclusief voor onze klanten. Deze exclusieve informatie kan ook op maat gemaakt worden op specifieke dreigingen waar de desbetreffende klant meer inzicht in wil. En we zien dat het mkb, en de partners van kleinere bedrijven, die informatie gelukkig ook steeds vaker gebruiken of willen inzetten om betere strategische keuzes te maken. Zeker als die betrekking heeft op bepaalde sectoren, zoals bijvoorbeeld de agri-sector. Ook daar spelen immers specifieke dreigingen.

In 2023 brachten we 93 rapportages uit. We willen dreigingsinfo nadrukkelijk breder beschikbaar maken, zeker ook naar mkb-ondernemingen. Geïnformeerd kunnen bedrijven betere beslissingen nemen.”

Security-oplossingen kunnen inmiddels niet meer zonder AI.

“Als je het hebt over proactief en geautomatiseerd reageren in het dreigingslandschap, dan speelt AI daar eigenlijk al heel lang een rol bij. ESET kan met recht zeggen dat het een AI-native onderneming is. We gebruiken de technologie al sinds 1997. ESET heeft AI al sinds die tijd

als basis geïntegreerd in de oplossingen. Dat leidt ertoe dat je slimmer, adaptiever en autonomer kunt werken. AI is daarom al lang voor de hype een fundamenteel kenmerk van onze technologie.”

Wat bedoel je precies met autonomer werken?

“Elke acht dagen implementeren we een nieuw AI-model in onze autonome agent. Waardoor die continu leert te reageren op nieuwe dreigingen. Die agent is in staat zelfstandig te opereren. Zelfs in scenario’s waar connectiviteit ontbreekt, denk daarbij aan OT-omgevingen, kan de agent zichzelf updaten. Zo is een systeem toch steeds beschermd tegen de nieuwste dreigingen. Deze autonomie neemt bij beheerders een behoorlijke werklast weg.”

Vervangt dat menselijke expertise of ervaring?

“Nee, zeker niet. Onze MDR-oplossing kent een grote mate van automatisering, en de agent kan dus zelfstandig reageren. Maar het vervangt de mens niet die met diens inzicht en ervaring zelf keuzes maakt. Juist de expert kan de potentie van de tool benutten door hem optimaal te gebruiken en in te richten. Elke omgeving is immers anders. Ook intern blijven onze threat hunters hun werk doen, het is de combinatie van dreigingsinformatie, technologie, menselijke expertise

en processen die je nodig hebt voor effectieve cybersecurity. En één van de schakels daarbij is de msp of de trusted advisor. Partners zijn een cruciale schakel om de wereld veiliger te maken.”

Je bent inmiddels al enige tijd het gezicht van ESET voor de partners in Nederland. Wat is er mooi aan jouw rol?

“Het interessante aan de wereld waarin we leven is de samensmelting tussen de digitale en de fysieke wereld. Toen ik als puber een smartphone kreeg waren dit twee verschillende werelden, die grens is er niet meer. Een digitale aanval heeft ook invloed op de fysieke wereld, en omgekeerd. De werelden zijn met elkaar verweven, en dat merk je op allerlei vlakken. Het mooie van de sector waarin ik werk, is dat we ernaar streven dat iedereen een veilige digitale toekomst kan hebben. Consument, enterprise, mkb - iedereen moet de kans krijgen om veilig deel te nemen aan deze verweven wereld. En dat is waar we partners voor nodig hebben, om schaalbaar de wereld beter te maken. Hun kennis en kunde van eindklanten is cruciaal om samen stappen te zetten. Ik leer elke dag van onze partners, dat vind ik leuk. Cybersecurity is iets dat mensen en bedrijven verder helpt, het maakt vooruitgang mogelijk. Dat vind ik gaaf.” ◾

‘Praat als partner vaker over security’

Er is zeker nu de invoering van NIS2 voor de deur staat geen bedrijf dat niet bezig is met security. ChannelConnect bracht specialisten bij elkaar om te spreken over cyberdreigingen en de rol van partners als het gaat om security.

Tekst: Mels Dees Dees | Fotograﬁe: iMediate/ZB Steven van Kooijk

Nog voor de eerste stelling aan bod komt, stelt Mischa Rick van Geelen, oprichter van Anovum, dat er in security nog veel meer gestandaardiseerd kan en moet worden. “Maar in de cybersecurity lijkt het wel alsof we standaardiseren een vies woord vinden.” Het gebeurt bijna niet, meent hij. “En dat zorgt voor fouten. Het zorgt ervoor dat organisaties gehackt worden, terwijl het gewoon voorkomen had kunnen worden.”

Michael van der Vaart, Chief Experience O cer bij ESET, reageert hierop vanuit zijn praktijkervaring. “Klanten vroegen mij vroeger om een oplossing, die installeerde de klant en dan was het klaar. Dus dat was in zekere zin de standaardgedachte bij bedrijven: ik installeer antivirus en dan is een probleem opgelost. Dat ligt tegenwoordig in veel gevallen anders. De basishygiëne kun je echter best standaardiseren, maar zelfs die stap wordt nogal eens vergeten.”

Steven Maas, Sales Director Data Security Benelux bij Thales CPL is het daarmee eens. “We zien nieuwe bedreigingen, nieuwe technologieën. Die vereisen dus ook nieuwe standaarden. Ook de basishygiëne die net genoemd werd zal een ontwikkeling doormaken.”

De impact van AI

Als nieuwe technologie ter sprake komt, is de sprong naar AI snel gemaakt. “Wij spreken als ESET tegenwoordig over AI Native Prevention. En terecht, denk ik. We zijn AI-native,” geeft Van der Vaart aan. Sinds 1992 zet de onderneming machine learning in om grote hoeveelheden data te analyseren. “Dat ging een stuk sneller dan het handwerk van onze professionals in het viruslab.” Het maakt, zegt Van der Vaart, standaard onderdeel uit van de propositie, “maar dat betekent niet dat we erop standaardiseren. Er is en blijft ook menselijke intelligentie nodig.”

Veel bedrijven zeggen nu: we komen met een oplossing, daar zit AI in, dan is het klaar, gaat Maas verder. “Wij hier aan tafel weten dat er meer bij komt kijken. Ook, of juist, bij de inzet van AI moet je heel goed weten wat je aan het doen bent.”

Van Geelen (Anovum) onderschrijft de uitspraak dat je moet weten wat je doet. “Waar wij op focussen is onder andere de valideerbaarheid en de auditbaarheid van AI-oplossingen. Ik denk ook dat input- en outputvalidatie een van de belangrijkste dingen is om op orde te hebben, anders is het risico op fouten enorm groot.”

AI biedt kansen

Maas (Thales) stelt wel dat AI veel kansen biedt. “Als we kijken vanuit de vendor-kant dan zien we dat de aanvallers, de hackers, de technologie ook gebruiken om hun modellen intelligenter te maken. Het is zo een wedloop tussen ons en hen, tussen de good guys en de bad guys.”

Het gesprek concentreert zich al snel op de Large Language Models waarin GenAI zo goed is. Van der Vaart (ESET): “Wij implementeerden op basis daarvan onze AI-assistant, die vragen kan beantwoorden als: wat zou ik nu moeten doen in deze situatie? Zit er een bepaalde groep achter deze aanval?” Volgens hem kan die assistant met de threat intelligence van ESET sneller dan een SOC-analist achtergrondinformatie geven.

Maar, en daarin vinden de deelnemers elkaar: dat gaat verder dan de simpele marketing die stelt dat een product goed is ómdat er AI in zit. Van der Vaart: “Hebben we te maken met een hallucinerende LLM, of is het iets meer die harde kant, dus machine learning die op goede data is getraind?”

Op die manier ziet Van der Vaart nog steeds een verschil tussen machine learning en goed getrainde AI. “De resultaten van onze machine learning zijn gebaseerd op een grote hoeveelheid data: dit is malicious en dit niet.” Maas (Thales) knikt instemmend. “Blijf valideren, neem het niet zomaar aan. En het is de mens die valideert.”

De security van IoT blijft kwetsbaar

Van Geelen (Anovum) ziet dat er, als het gaat om security van IoT-apparaten, steeds meer Europese regelgeving ontstaat. “Devices moeten op een fatsoenlijke manier beveiligd zijn. Niet met standaard wachtwoorden. En als ze niet aan de EU-standaar-

den voldoen, mogen ze niet langer verkocht worden.” Dan nog is het een hele uitdaging om al die apparaten up-to-date en zo veilig mogelijk te houden. “Bedrijven zullen dat bij hun IT-partners neer moeten leggen,” vermoedt Maas (Thales). Ook die blijven echter afhankelijk van regelmatige updates door de leveranciers.

Van der Vaart (ESET) ziet een verschil met devices als laptops en smartphones, “Men hing 15 jaar geleden een digitaal fotolijstje aan de muur en nu hangt het er nog, de gebruiksduur van een laptop of smartphone is veel korter. Als dat fotolijstje in een bedrijf hangt kan dat best een risico zijn.”

Duidelijk is dat het niet alleen bij IoT, maar eigenlijk bij alle omgevingen vaak te lang duurt voordat ge-

‘We werken heel nauw samen met onze partners, sterker nog: we bouwen op hen’

Michael van der Vaart

patched wordt. Als een aanvaller al binnen is, dan blijft die vaak toegang houden, ook na de update van het apparaat, is de overtuiging van Van Geelen. “Daarom is het monitoren van netwerkgedrag eigenlijk de basis van security,” stelt Van der Vaart (ESET). “Je moet continu monitoren wat er gebeurt in een netwerk. En of er kwetsbaarheden zijn, bijvoorbeeld in de vorm van verouderde ﬁrmware.” Maar of er iets mee of aan wordt gedaan is dan aan de beheerder of de gebruiker. “En kleinere ondernemingen zijn niet bezig met security, die moeten echt kunnen vertrouwen op partners,” legt Maas (Thales) uit. En die partner begint zijn security-reis met ‘discover’: hij wil

weten welke assets de eindklant heeft en waar potentiële kwetsbaarheden zijn. En de partner zal het netwerk al snel gaan segmenteren.

De wereld veilig maken

De specialisten aan tafel praten heel bevlogen over hun baan. De vraag komt aan bod wat de heren zo mooi vinden aan hun werk. Maas (Thales): “We proberen het leven van onze klanten veiliger te maken.”

Van der Vaart (ESET) lacht om de vraag: “Als securityexpert heb je een bepaalde tik. Je vindt echt dit leuk en je wilt klanten zo goed mogelijk helpen.” Het opvallende is daarbij dat klanten het niet per se erg leuk vinden om security te kopen. “Pas bij een incident ervaar je het gebrek aan security. Dat is het moment dat we van waarde zijn, dat we kunnen helpen,” geeft

Van Geelen aan.

“Sexy zal het niet zijn voor de klant,” beaamt Van der Vaart (ESET). “Alleen als ze bese en dat security de businesscontinuïteit versterkt, komt het besef hoe tof en belangrijk het is.” Maas (Thales) knikt en zegt: “Niemand staat ‘s ochtends op en zegt: ﬁjn, ik ga een ﬁrewall kopen. Maar iedereen verwacht wel dat je veilig online betalingen kunt doen.” En als het mis gaat komt er veel op ondernemers af, weet iedereen aan tafel. “Dan ben je echt soms wel bijna de psycholoog voor zo’n bestuurder die er weleens compleet doorheen zit,” verzucht Van Geelen (Anovum).

De rol van partners

“Je moet soms echt heel duidelijk zijn als je als partner met de eindklant spreekt,” stelt Van der Vaart (ESET). “Door simpelweg te vertellen: als jouw buurman een alarminstallatie heeft, rolluiken en een duur slot op de achterdeur, en jij alleen een goedkoop slot, dan staan dieven het eerst bij jou binnen. Die

De deelnemers

Mischa Rick van Geelen, oprichter van Anovum

Michael van der Vaart, Chief Experience O cer bij ESET

Steven Maas, Sales Director Data Security Benelux bij Thales CPL

vergelijking snapt iedereen.” En die bewustwording is ook nodig bij het personeel van veel organisaties.

“Als iemand vier, vijf keer blijft klikken op een gevaarlijke pdf-link om een factuur te betalen, dan gaat er iets fout. Dan herken je rode signalen niet. Dan sta je ondanks de lampjes en waarschuwingssignalen toch op de vluchtstrook en moet je naar het tankstation lopen.”

Het is volgens Maas (Thales) nog sterker, want gebruikers menen soms nog steeds die lampjes niet nodig te hebben. “Ik gebruik Apple-hardware, dan ben ik veilig, zeggen ze dan.” Tot het een keer fout gaat en ineens het besef indaalt. “En dan vragen we

‘Zorg voor een partner die het geheel managet en zorg er als partner voor dat je uitlegt wat je doet en waarom’

Steven Maas

vaak: hoeveel geef je per maand nou uit aan IT? En dan kom je erachter dat het misschien 500 euro per maand is. En dan krijgt zo’n ondernemer de schrik van zijn leven als je ze vertelt dat dit het driedubbele zou moeten zijn.”

Van der Vaart (ESET) gaat hier dieper op in: “We werken heel nauw samen met onze partners, sterker nog: we bouwen op hen. We zien dat zij soms tegen uitdagingen aanlopen als het gaat om het verkopen van security-oplossingen aan hun klanten.”

Eindklanten gaan er vaak van uit dat wanneer ze een applicatie van een gerenommeerde leverancier

gebruiken, dit automatisch betekent dat de beveiliging volledig geregeld is. “Maar in de praktijk komt er vaak nog een extra investering bij kijken voor adequate beveiliging. Als de partner dan zijn dienstverlening moet uitbreiden en daarbij niet deze kosten heeft meegerekend kan dat vreemd overkomen.”

Van Geelen (Anovum) herkent dit. “Dan zie je dat een mkb-bedrijf een paar honderd euro uitgeeft aan Microsoft-licenties, waar in feite zijn hele onderneming op draait, en zich niet realiseert dat er backup nodig is. Want Microsoft doet het niet standaard voor je.” Maas (Thales): “Zorg dus voor een partner die het geheel managet en zorg er als partner voor dat je uitlegt wat je doet en waarom.”

Gesprek met klanten

Je hebt als partner ook daarin wel een verantwoordelijkheid, is de overtuiging van Van Geelen (Anovum), vooral als het gaat om een IT-partij die bijvoorbeeld digitale diensten (door)levert. “Je ziet echter steeds vaker een soort struggle ontstaan, waarbij een IT-partij het juiste wil doen, maar dat de klant daar niet voor wil betalen.” En er zijn, zo weet hij, bepaalde rechtszaken geweest nadat een klant gehackt werd en naar de rechter stapte omdat zijn bestanden na een ransomware-aanval versleuteld werden. “En dat er op een gegeven moment ook door de rechter werd gezegd tegen de IT-partij: ‘u heeft wel een zorgplicht als IT’er, u bent de specialist. Dus als een klant het niet wil en die vindt een goedkope oplossing en een heel zwak wachtwoord voldoende, dan moet u misschien de opdracht teruggeven.’ Daar is de rechter toen heel duidelijk in geweest, want je hebt een verantwoordelijkheid als specialist.”

Zover moet het volgens Van der Vaart (ESET) in de

‘IoT-apparaten moeten op een fatsoenlijke manier beveiligd zijn. Niet met standaard wachtwoorden’

Mischa Rick van Geelen

praktijk niet komen. “Neem als partner een keer per jaar - of liefst nog vaker - tijd voor een gesprek met de klant: waar staan we nu, wat schort eraan, waar verwacht je te groeien in dataverkeer en hoe spelen we daarop in? En oh ja, je hebt misschien al gehoord over NIS2? Daar kan ik je ook veel over vertellen.”

Zijn we klaar voor NIS2?

Er wordt in de sector veel gesproken over NIS2 – elders in deze editie van ChannelConnect is een verslag te lezen van een Grotetafeldiscussie die uitsluitend over dit onderwerp gaat. De bijbehorende Cyberbeveiligingswet is overigens nog niet klaar en uitgesteld tot minimaal het derde kwartaal 2025. Hier bespreken we de vraag: is Nederland er klaar voor? We hebben er heel veel over gecommuniceerd en awareness gecreëerd in de markt, geeft Maas (Thales) aan. “En dat landde echt wel bij bedrijven.” Hij zou dus heel graag ‘ja’ antwoorden op de vraag, “maar ik vrees dat het antwoord in de praktijk niet 100% bevestigend zal zijn. Er is nog heel veel werk aan de winkel voor een groot aantal organisaties. Het zal afhangen van hoe sterk de overheid gaat controleren en handhaven, en hoe die handhaving eruit zal zien.”

Volgens Van Geelen (Anovum) helpt het wel dat hoofdelijke aansprakelijkheid voor bestuurders onderdeel zal zijn van de wet: “De hoofdelijke aansprakelijkheid is wel een enorm groot verschil met de AVG. En er worden eisen gesteld aan het kennisniveau in de boardroom als het gaat over security.”

Qua handhaving verwacht hij dat na een eerste periode de autoriteiten beslist gaan handhaven. “Dat patroon zagen we bij de invoering van AVG ook.”

Van der Vaart (ESET) trekt de vergelijking met de invoering van de AVG door. “Die regelgeving heeft

veel bewustwording gecreëerd. Eindelijk zijn datasecurity en privacy een onderdeel geworden van de dagelijkse business en denken we daar nu veel beter over na. Als we eenzelfde stap zetten op securitygebied met de invoering van NIS2, dan is dat een goede zaak.” Hij geeft aan dat ESET ook erg veel deed en doet aan voorlichting en bewustwording rond de invoering van NIS2. “Want het gaat tenslotte over security en dat is ons vak. Maar we zien dat veel bedrijven er nog niet klaar voor zijn.”

Delen van ervaringen

Net als bij de AVG is een van de onderdelen van NIS2 een meldplicht. Wat verwachten de specialisten aan tafel daarvan? Bedrijven delen immers niet graag informatie over hacks en incidenten.

Van Geelen (Anovum) geeft aan heel regelmatig in het ‘bluswater’ te staan tijdens en direct na een security-incident bij bedrijven. “Dan dring ik er altijd al op aan dat ze openheid geven en moeten delen wat er gebeurd is.” Volgens hem is zwijgen geen optie. “Als het dan toch naar buiten komt, en die kans bestaat altijd, zeker als je in het kader van de AVG toch al een datalek moet melden, dan heb je als onderneming echt een probleem.”

Het opvallende is dan dat het delen van informatie doorgaans voor reacties zorgt als “Oh, maar dat hebben wij vorig jaar ook gehad.” Van Geelen (Anovum): “Maar we hebben ook meegemaakt, dat partijen het stil proberen te houden. En dat het toch uitlekt, en dat het vertrouwen tussen hen en partners, klanten of leveranciers voor lange tijd geschaad wordt.”

Volgens Maas (Thales) moet dit delen van informatie een onderdeel zijn van compliancy. “Je moet simpelweg communiceren naar betrokkenen, intern en extern, wat er gebeurd is.”

Partnering cruciaal bij verhogen van cyberweerbaarheid

Claranet was op het laatste moment verhinderd om fysiek aanwezig te zijn bij het Grotetafelgesprek, daarom geven we hen ruimte te reageren op het verslag.

Wij zien ook dat veel organisaties vaak niet zelf de expertise of middelen hebben om een solide beveiligingsstrategie te ontwikkelen en te onderhouden. En dat is logisch; het is een zeer specialistisch werkgebied dat vaak ver weg ligt van de core-business van de organisatie.”

Kennis en begrip

“Hierin ligt de sleutelrol van IT-partners: zij fungeren als experts die niet alleen technologieën implementeren, maar een stap verder gaan door ook bewustwording te creëren en strategisch advies te bieden. Een standaardoplossing zoals antivirussoftware is simpelweg niet voldoende, moderne dreigingen vereisen een aanpak op meer lagen en vlakken. IT-partners moeten organisaties begeleiden bij het adopteren van basishygiëne en het opvolgen van nieuwe ontwikkelingen zoals AI en Zero Trust-principes. Dit vereist niet alleen technologische kennis, maar ook een diep begrip van de veranderende bedreigingslandschappen en regelgeving.”

Waarde

“Daarnaast biedt de technologische complexiteit

van onderwerpen zoals AI een duidelijke kans voor partners om waarde toe te voegen. AI-oplossingen kunnen krachtige hulpmiddelen zijn, maar vereisen validering en aanpassing aan speciﬁeke bedrijfsomgevingen. Hier moet je organisaties helpen om niet alleen op technologie te vertrouwen, maar ook om het menselijke toezicht en de controle te waarborgen. Daar ligt ook een belangrijke rol voor partners door proactief met klanten in gesprek te gaan en hen bewust te maken van hun kwetsbaarheden. Dit vereist soms moeilijke gesprekken, zeker wanneer de kosten voor cybersecurity hoger uitvallen dan klanten hadden verwacht. Toch is het duidelijk dat zonder deze investeringen organisaties aanzienlijke risico’s lopen.”

“Kortom, IT-partners spelen een onmisbare rol in het creëren van een veilige digitale omgeving. Ze zorgen niet alleen voor de implementatie van de juiste technologieën, maar helpen organisaties ook strategisch navigeren door een complexe en steeds evoluerende cybersecurity-wereld. Hun advies, voortdurende begeleiding en aanpassingsvermogen maken hen cruciaal in het beschermen van organisaties tegen moderne dreigingen.”

Van der Vaart (ESET) knikt. “Delen we genoeg informatie over incidenten in deze sector? Nee, en dat vind ik heel jammer.” Hij geeft aan best vaak met partijen te spreken die in geuren en kleuren vertellen wat er aan de hand was, maar dat niet met collega-ondernemers willen delen – terwijl men zoveel van elkaar zou kunnen leren. “Er is toch een bepaalde cultuur waardoor bedrijven zich nog steeds schamen om dit te doen.”

Van Geelen (Anovum) beaamt dit. “Ze zijn geen dader, maar slachto er. Ik zie heel vaak bestuurders die zichzelf de schuld geven, terwijl ze soms beslist de juiste dingen hebben gedaan. Er is toch steeds de angst voor reputatieschade.”

Zero Trust als basis

Tot slot komt het gesprek op Zero Trust. Van Geelen (Anovum) reageert als eerste. “Letterlijk is het natuurlijk ‘nul vertrouwen’. Dat betekent echter niet dat je geen vertrouwen hebt in een medewerker als mens, dat vergeten we wel eens.” Het gaat er volgens hem om zaken met elkaar goed te regelen. “Wat we met Zero Trust bedoelen is dat we maatregelen in place moeten hebben.”

Maas (Thales): “De kern van Zero Trust is precies de betekenis van de term. Je mag niets of niemand vertrouwen. Ook geen apparaten.” Segmentatie is daarbij volgens hem belangrijk, naast zaken als authenticatie en privileged access management. “En natuurlijk awareness bij de mensen, een goede educatie. Niet alleen bij het management, maar bij de volledige workforce van een bedrijf.”

Van Geelen (Anovum) stelt dat Zero Trust als principe bedrijven dwingt om vooral goed na te denken. “En dat vertaalt zich niet alleen naar de mensen, maar ook naar de technische implementatie. En daarmee naar de ontwerpers die bezig zijn met het

‘Neem als partner een keer per jaar - of liefst nog vaker - tijd voor een gesprek met de klant’

Michael van der Vaart

bouwen van een netwerk. Zero Trust moet dan vanaf het eerste ontwerp een rol spelen.”

Hij verwijst naar systeembeheerders. “Hun status is binnen security een onderwerp op zichzelf. Zij hebben vaak de hoogste rechten en houden die soms jarenlang.” Maas (Thales) reageert daarop. “Precies, en ze willen liefst zo min mogelijk moeite hoeven doen om in te loggen. We hebben daar vaak discussies met hen over en moeten uitleggen dat als zij zo makkelijk overal bij kunnen, dat een onverlaat die hun account hackt dat dus ook kan.”

Intern verkeer monitoren

Michael van der Vaart gaat kort terug in de historie. “Het begon er altijd mee de buitenkant heel goed te beveiligen, met ﬁrewalls. Collectief hebben we de stap gemaakt naar technologie als XDR, omdat het steeds belangrijker wordt het interne verkeer te monitoren. Niet omdat we de medewerkers niet vertrouwen, maar vooral omdat een hacker zich heel snel als medewerker voor kan doen.”

“Waarbij,” vult Van Geelen (Anovum) aan, “het monitoren van het interne netwerk er niet eenvoudiger op is geworden sinds we tijdens en na corona massaal thuis zijn gaan werken. Dat betekent nog meer focus op het endpoint, zowel door ons als security-specialisten, als door hackers.”

Maas (Thales) knikt instemmend. “Uiteindelijk komt alles neer op het beschermen van je data. Je data zijn de kroonjuwelen van een bedrijf en daarmee dat wat je moet beschermen.” Er zijn daarvoor verschillende manieren, resumeert hij. “Je hebt perimeter security, firewalls, gate-to-firewallings. Je hebt dataclassificatie, je hebt anonimisatie, je hebt encryptie. En je moet ook rekening houden met de vraag of de encryptie die je vandaag gebruikt future-proof is. Er is voorlopig nog veel mooi werk voor ons allen.” ◾

ChannelConnect organiseert discussie tijdens Cybersec

Cybersecurity is een zo belangrijk onderwerp geworden dat het ook dit jaar een eigen event in de Koninklijke Jaarbeurs verdient. Op 6 en 7 november vindt de tweede editie van Cybersec Netherlands plaats. ChannelConnect is mediapartner. Tekst: Mels Dees

Bedrijven, overheidsinstanties en andere organisaties moeten op korte termijn gaan voldoen aan strengere regelgeving, zoals NIS2 en DORA en hun weerbaarheid tegen cyberdreigingen vergroten. Cybersec Netherlands biedt bezoekers een kans om te leren hoe zij hun klanten kunnen ondersteunen bij het versterken van hun cyberhygiëne en weerbaarheid,” voorspelt Mick den Dijker, beursmanager van Cybersec Netherlands van Koninklijke Jaarbeurs.

“Een van de grootste toevoegingen dit jaar is de samenwerking met Security Delta (HSD)”

ChannelConnect organiseert paneldiscussie

Voor IT-partners en dienstverleners is het bijwonen van deze cybersecuritybeurs een kans om op de hoogte te blijven van de nieuwste ontwikkelingen binnen de sector. Deelnemers kunnen uiteraard tijdens het event hun netwerk uitbreiden en in contact komen met belangrijke spelers in de industrie. Den Dijker: “Een nieuw inhoudelijk programma, met keynotes en onder meer een paneldiscussie die ChannelConnect organiseert, biedt verdieping en inspiratie voor professionals die met cybersecurity te maken hebben.”

“Een van de grootste toevoegingen dit jaar is de samenwerking met Security Delta (HSD), een belangrijke speler op het gebied van cybersecurity in Nederland,” geeft de beursmanager aan. “Deze samenwerking zorgt ervoor dat de beurs een nog breder en dieper inzicht biedt in de huidige en toekomstige uitdagingen van de sector.”

Het partnerschap zorgt voor extra expertise op de beursvloer en staat garant voor bredere kennisdeling, “met als doel de veerkracht van bedrijven en organisaties tegen cyberdreigingen te verbeteren.” Ook zijn er dit jaar internationale paviljoens uit landen zoals India en Israël, landen die bekend staan om hun sterke bijdrage aan de IT- en cybersecuritysector. Het Indiase paviljoen zal vooral de focus leggen op de sterke positie van India in softwareontwikkeling en cybersecuritydiensten.

Mick den Dijker

NIS2 en DORA op de agenda

Een belangrijk onderwerp tijdens

Cybersec Netherlands is de invoering van NIS2, de nieuwe Europese richtlijn die de beveiliging van netwerken en informatiesystemen verder aanscherpt. Hoewel de invoering van NIS2 in Nederland vertraging heeft opgelopen, blijft het een onderwerp van groot belang voor bedrijven die zich willen voorbereiden op de toekomstige eisen op het gebied van cyberveiligheid.

Den Dijker: “Net als de AVG zal NIS organisaties dwingen om hun beveiligingsprotocollen te herzien en te verbeteren.”

Ook DORA, de Digital Operational Resilience Act, die van toepassing is op de financiële sector, zal een prominente rol spelen op het evenement. “DORA legt de nadruk op het belang van veerkrachtige IT-systemen binnen de financiële dienstverlening, een sector die zoals iedereen weet een aantrekkelijk doelwit is voor cybercriminelen.”

Naast de inhoudelijke keynotes en paneldiscussies, biedt de beurs ook praktische tools en oplossingen voor bedrijven. “Een van de thema’s dit jaar is ‘human firewall’,” legt Den Dijker. uit. “Hierbij ligt de nadruk op de

cruciale rol die medewerkers spelen in de cyberbeveiliging van een organisatie,” zegt de beursmanager.

Educatie

Het evenement in de Koninklijke Jaarbeurs richt zich niet alleen op de technische aspecten van cyber-

security, maar ook op bewustwording en educatie. Den Dijker: “Er wordt bijvoorbeeld gesproken over e-learningprogramma’s voor scholen, om jongeren al vroeg bewust te maken van de gevaren van het internet en de noodzaak van goede beveiliging.” ◾

Samenwerking Cybersec Netherlands en Security Delta (HSD)

Vakbeurs Cybersec Netherlands van Koninklijke Jaarbeurs gaat samenwerken met Security Delta (HSD), het Nederlandse veiligheidscluster dat zich inzet voor de veiligheid van onze digitaliserende wereld. Het doel van deze samenwerking is om het bedrijfsleven beter voor te bereiden op de uitdagingen rondom cybercriminaliteit.

Mick den Dijker, beursmanager van Cybersec Netherlands van Koninklijke Jaarbeurs, ziet de samenwerking als een belangrijke stap vooruit: “Het is waardevol om HSD aan vakbeurs Cybersec Netherlands te verbinden. Deze samenwerking biedt een meerwaarde voor onze bezoekers en deelnemers.”

Joris den Bruinen, algemeen directeur van HSD en lid van de advisory board van Cybersec Netherlands, voegt hieraan toe: “Wij zijn verheugd om onze expertise en die van onze HSD partners te delen tijdens Cybersec Netherlands. Samen met Jaarbeurs en andere betrokkenen kunnen we organisaties nog beter voorbereiden op de uitdagingen van onze steeds verder digitaliserende samenleving. Dit evenement speelt een belangrijke rol in het vergroten van de bewustwording en het versterken van de cyberweerbaarheid van Nederland.”

ALAIN

‘We staan aan het begin van wat mogelijk is met AI in cyberbeveiliging’

Onlangs introduceerde WatchGuard zijn ThreatSync+ NDR-oplossing. Reden om Alain Gautier van WatchGuard uitgebreid te spreken en dieper in te gaan op de ins en outs van ThreatSync+ NDR. Tekst: Marcel Debets

Wat maakt deze oplossing zo bijzonder in de huidige cybersecuritywereld?

“Wat ThreatSync+ NDR echt onderscheidt, is de integratie in ons Unified Security Platform. We hebben het gebouwd op CyGlass-technologie, waarmee het inzetbaar is voor elk type bedrijf. Het gebruik van kunstmatige intelligentie stelt ons in staat om geavanceerde dreigingen op te sporen die traditionele beveiligingsmaatregelen vaak niet kunnen detecteren.”

Hoe werkt deze technologie precies?

Kun je uitleggen hoe het bedrijven helpt hun beveiliging te verbeteren?

“Zeker! Het idee achter ThreatSync+ NDR is dat het constant oost/west activiteiten binnen je netwerk monitortook wel laterale bewegingen genoemd - en door middel van machine learning abnormaal gedrag detecteert. Dreigingen zoals evasive ransomware-aanvallen, die zich vaak in een vroeg stadium verbergen of via de supply chain binnensluipen, worden met deze technologie sneller ontdekt. Hierdoor kunnen bedrijven sneller reageren voordat een bedreiging schade aanricht. Wat nog belangrijker is, is dat bedrijven dit kunnen doen zonder dat ze een leger van IT-professionals nodig hebben. Onze oplossing is eenvoudig te implementeren en vereist minimale onderhoudsinspanningen, wat ideaal is voor organisaties met beperkte middelen.”

AI en machine learning worden vaak genoemd als de toekomst van cybersecurity. Hoe speelt ThreatSync+ NDR hierin een rol? “AI is absoluut een drijvende kracht achter de toekomst van cybersecurity, en ThreatSync+ NDR is daarop geen uitzondering. We maken gebruik van een neuraal netwerk – in dit geval een zogenoemd ‘unsupervised neural network’ – wat betekent dat ons systeem constant leert en zichzelf aanpast zonder dat het afhankelijk is van vooraf ingestelde regels of handmatige updates. Dit is van essentieel belang

dacht voor veel organisaties, vooral als ze moeten voldoen aan normen zoals NIST, ISO27001, of de GDPR. ThreatSync+ NDR heeft ingebouwde tools die helpen met het verzamelen van de juiste rapportages en het genereren van de benodigde documentatie. Hierdoor kunnen bedrijven aantonen dat ze aan de vereisten voldoen. Tegelijk krijgen ze ook een duidelijk overzicht van hun beveiligingsstatus, in realtime. Dit voorkomt niet alleen boetes, maar het beschermt ook de reputatie van bedrijven, iets dat steeds belangrijker wordt in een wereld waar datalekken bijna dagelijks voorkomen. Een bijkomend

“Wacht niet met maatregelen tot de volgende grote aanval”

omdat de aard van cyberdreigingen constant verandert. In plaats van te wachten op updates voor handtekeningen of patches, kan ThreatSync+ NDR nieuwe vormen van aanvallen opsporen op basis van gedrag. En dat is de echte kracht van AI in beveiliging.”

Dat klinkt als een enorme vooruitgang. Hoe helpt ThreatSync+ NDR bedrijven die moeten voldoen aan specifieke regelgeving of compliance-standaarden?

“Compliance is een punt van aan-

voordeel van de beschikbaarheid van deze rapportages voor ons msp-kanaal is dat het hen in staat stelt de waarde van hun diensten op een eenvoudige en uitgebreide manier aan hun klanten te demonstreren.”

Je noemde eerder dat ThreatSync+ NDR geschikt is voor bedrijven van elke grootte. Hoe kunnen kleinere bedrijven profiteren van dezelfde technologie als grotere ondernemingen, gezien hun beperkte middelen?

“Veel kleinere organisaties denken dat cybersecurity te ingewikkeld of te duur

is voor hen. Maar met ThreatSync+ NDR hebben we een oplossing gecreëerd die eenvoudig kan worden geïmplementeerd is, zonder dat er uitgebreide technische kennis voor nodig is. Het is cloud-native, wat betekent dat er geen zware on-premise apparatuur nodig is. Daarnaast biedt het schaalbare bescherming, zodat bedrijven alleen betalen voor wat ze daadwerkelijk nodig hebben. Dit verlaagt de drempel aanzienlijk. Kleinere bedrijven krijgen daarbij toegang tot dezelfde technologie die grote bedrijven gebruiken.”

Je had het over de toenemende dreiging van cyberaanvallen, zoals ransomware. Hoe helpt ThreatSync+ NDR specifiek bij het detecteren en afweren van dergelijke dreigingen?

“Ransomware is een van de grootste bedreigingen waar bedrijven momenteel mee te maken hebben. Het probleem met ransomware is dat het zich vaak zeer snel verspreidt en ernstige schade kan aanrichten voordat het zelfs maar wordt ontdekt. ThreatSync+ NDR maakt gebruik van detectiemogelijkheden die vroegtijdige tekenen van ransomware-activiteiten kunnen herkennen, zoals onge-

ThreatSync+ NDR maakt gebruik van een ongecontroleerd neuraal netwerk

wone bestandstoegangspatronen of netwerkcommunicatie. Zodra een dreiging wordt gedetecteerd, kan het systeem geautomatiseerde waarschuwingen sturen en zelfs acties ondernemen om verdere verspreiding te voorkomen. Dit betekent dat bedrijven sneller kunnen reageren en potentiële schade minimaliseren.”

Dat klinkt zeker als een waardevolle toevoeging voor elk bedrijf. Hoe zie jij de toekomst van AI en machine learning in cybersecurity evolueren?

“Ik denk dat we pas aan het begin staan van wat mogelijk is met AI in cybersecurity. Naarmate AImodellen verfijnder worden, zullen ze in staat zijn om nog meer geavanceerde dreigingen te detecteren en proactief op te treden. Dit betekent dat beveiligingssystemen niet alleen reageren op bedreigingen, maar ook voorspellen waar de volgende aanval zou kunnen plaatsvinden en hierop anticiperen. In de toekomst zullen we waarschijnlijk meer automatisering zien, waarbij

menselijke tussenkomst steeds minder nodig is voor het uitvoeren van routinematige beveiligingstaken.

Dit is vooral belangrijk gezien het tekort aan cybersecurity-professionals wereldwijd.”

Het lijkt erop dat de toekomst van beveiliging dus steeds meer in handen van AI zal liggen. Wat zouden bedrijven die op zoek zijn naar betere beveiliging nu moeten doen om zich voor te bereiden op deze toekomst?

“Mijn advies aan bedrijven is om niet te wachten tot de volgende grote aanval plaatsvindt. Proactief zijn is de sleutel. Begin met een uitgebreide beoordeling van je huidige beveiliging en kijk waar hiaten zijn. Investeer in technologieën zoals ThreatSync+ NDR die je niet alleen beschermen tegen huidige bedreigingen, maar ook klaar zijn voor de toekomst. En tot slot, zorg ervoor dat je medewerkers bewust zijn van beveiligingsrisico’s. Technologie kan veel doen, maar mensen blijven een cruciaal onderdeel van de verdediging van elk bedrijf.” ◾

Authenticatie: De stand van zaken

Alle IT-beveiliging begint – of eindigt, afhankelijk van je perspectief – bij authenticatie: is de gebruiker of het apparaat geoorloofd op het systeem of netwerk? Er zijn nogal wat technieken om te bewijzen wie je bent. Welke zijn handig, nieuw, of geschikt?

De traditionele gebruikersnaam en wachtwoord zijn steeds kwetsbaarder geworden. Op het internet wemelt het van de lijsten met gestolen naam/wachtwoord-combinaties. En anders zijn er wel manieren om tegenwoordig redelijk snel te achterhalen wat de inlogggevens zijn, hetzij door brute computerkracht of omdat mensen nu eenmaal de neiging hebben om iets te kiezen wat ze gemakkelijk kunnen onthouden.

Als IT-dienstverlener neem je daar voor je klanten natuurlijk ook geen genoegen meer mee. Er zijn genoeg (nieuwe) technologieën beschikbaar op het gebied van authenticatie. Laten we de belangrijkste eens onder de loep nemen.

1Zero-Trust Architecturen: ‘trust no one’

De opkomst van zero-trust architectuur is een van de meest revolutionaire ontwikkelingen van de laatste jaren op het gebied van IT-beveiliging en authenticatie. Het zero-trust model gaat ervan uit dat geen enkel apparaat, gebruiker of netwerk standaard te vertrouwen is, zelfs niet binnen de perimeter van het bedrijfsnetwerk. Dit betekent

dat elke poging tot toegang tot systemen of gegevens streng gecontroleerd en gevalideerd wordt. Zero-trust is gebaseerd op het concept van microsegmentatie, waarbij netwerken worden opgesplitst in kleinere segmenten en toegang tot elk segment afzonderlijk wordt gecontroleerd. In een zero-trust model moeten gebruikers en apparaten zich continu authenticeren en autoriseren op basis van de context van hun verzoek, zoals locatie, apparaatstatus en gedrag.

Zero-trust in de praktijk

Voor jou als IT-dienstverlener betekent de implementatie van een zero-trust model dat je je klanten moet helpen bij het herontwerpen van de netwerkinfrastructuur en het beveiligingsbeleid. Dit is best complex, vooral voor mkb-klanten die gewend zijn aan een simpele traditionele firewall. Maar zero-trust biedt belangrijke voordelen, zoals het minimaliseren van laterale bewegingen van aanvallers en een betere bescherming tegen insider threats. Een van de nieuwste trends binnen zero-trust is de integratie van geautomatiseerde beveiligingstools. Deze tools kunnen afwijkend ge-

drag in realtime detecteren en onmiddellijk maatregelen nemen, zoals het blokkeren van verdachte gebruikers of het beperken van toegang tot gevoelige systemen.

2Biometrische

authenticatie: niet te vervalsen

Het grote voordeel van biometrische authenticatie is dat het vrijwel niet kan worden vervalst. Vingerafdrukken, gezichten en irissen zijn nu eenmaal (nog) niet na te maken. Veel moderne apparaten, zoals smartphones en laptops, zijn tegenwoordig al uitgerust met biometrische authenticatiemogelijkheden. Windows Hello is bijvoorbeeld een populaire oplossing voor gezichtsherkenning en vingerafdrukken op Windows-apparaten. Maar ook biometrie kent uitdagingen. Een van de belangrijkste problemen is dat biometrische gegevens niet gewijzigd kunnen worden, zoals wachtwoorden dat wel kunnen. Als deze gegevens eenmaal zijn gestolen, is het lastig om maatregelen te nemen. Je kunt niet zomaar een medewerker een ander gezicht of vingerafdrukken geven. Het is dus belangrijk dat biometri-

Tekst: Marcel Debets

sche gegevens veilig worden opgeslagen, bijvoorbeeld met behulp van hardware-oplossingen zoals de Trusted Platform Module (TPM, zie verderop).

3Multi-FactorAuthenticatie: de basis van moderne authenticatie

Multi-factor authenticatie (MFA) bestaat al best lang, maar het blijft een van de meest effectieve methoden om ongeautoriseerde toegang tot systemen te voorkomen. MFA combineert verschillende vormen van authenticatie. Het is meestal een combinatie van iets wat de gebruiker weet (een wachtwoord), iets wat de gebruiker heeft (een telefoon of token) en iets wat de gebruiker is (een gezicht of vingerafdruk). Een van de meest recente ontwikkelingen in MFA is de opkomst van passwordless authenticatie. Dit betekent dat gebruikers geen wachtwoorden meer hoeven te ont-

houden, maar in plaats daarvan toegang krijgen via biometrie of een fysieke token. Dit biedt een betere beveiliging, want het onthouden van een wachtwoord (en het stelen ervan) vormt de zwakste plek in de verdediging.

Pushmeldingen en tijdgebonden codes

Een andere trend binnen MFA is het gebruik van pushmeldingen en tijdgebonden codes. Dit betekent dat gebruikers een melding op hun te-

lefoon ontvangen om in te loggen of een eenmalige code invoeren die slechts enkele seconden geldig is. Dit verlaagt de kans op aanvallen zoals man-in-the-middle, waarbij aanvallers proberen inloggegevens te onderscheppen.

4Hardware-gebaseerde authenticatie: ‘fort Knox’

Hardware-gebaseerde authenticatie kennen we ook al langer. Hierbij

worden fysieke apparaten, zoals USB-tokens of smartcards, gebruikt om een gebruiker te verifiëren. Deze hardwaretokens bevatten cryptografische sleutels die op het apparaat zelf zijn opgeslagen, waardoor ze veel moeilijker te compromitteren zijn dan wachtwoorden of zelfs softwarematige MFA-oplossingen. Een van de interessante innovaties van de laatste jaren is de Trusted Platform Module (TPM). TPM-chips, die je in veel moderne laptops en desktops vindt, slaan cryptografische sleutels veilig op in de hardware. Essentieel is dat de TPM volledig afgesloten is van de rest van het systeem. Je kunt er niet in, niet via de BIOS en ook niet als root-gebruiker. Dit maakt het moeilijk voor aanvallers om toegang te krijgen tot gevoelige gegevens, zelfs als ze fysieke controle over het apparaat hebben. Bij Apple heet dit de ‘secure enclave’ en is het onderdeel van Apple’s eigen processoren. Op deze secure enclave staan ook de biometrische gegevens. De TPM kan een onderdeel zijn van een meerlagige beveiligingsstrategie, vooral waar het gaat om gevoelige gegevens zoals in de gezondheidszorg of de financiële sector. ◾

CLARANET OVER DE ROL VAN HET SECURITY OPERATIONS CENTER

Claranet organiseert live Cyber Security crisisoefening

Ontruimingsoefeningen kennen we allemaal wel, maar het live simuleren van een security-incident gebeurt minder vaak. Claranet organiseert het tijdens hun aankomende Cyber Security Event, en belicht daarnaast ook de rol van een SOC. Tekst: Mels Dees

Als mensen spreken over cybersecurity wordt de rol van een Security Operations Center (SOC) vaak verkeerd begrepen, stelt Henk Liebeek, Product Manager bij Claranet Benelux. “Bedrijven zien het SOC als de instantie die alles oplost. In de beeldvorming zijn een SOC en verschillende XDR-oplossingen immers nauw met elkaar verweven. En in de afkorting XDR zit nu eenmaal de R van Response. Maar in werkelijkheid vervult het SOC vooral een monitoringrol. Bij incidenten neemt het SOC de regiefunctie, het signaleert iets en zal snel de relevante stakeholders informeren, zoals de klant of een serviceprovider.”

Nu kan een SOC wel degelijk direct actie ondernemen, weet Liebeek. “Als je kijkt naar Endpoint Detection and Response (EDR), daar zit wel iets meer remediatie in vanuit het SOC. Vaak omdat het daarin al simpeler is, want je kunt bijvoorbeeld vanuit het SOC, als je ziet dat iets heel erg fout gaat, een gebruiker al eventjes uit het netwerk gooien en blokkeren, maar de daadwerkelijke oplossing ligt vaak buiten hun ver-

antwoordelijkheid,” gaat Liebeek verder. “Het is een coördinerende rol, waarbij andere partijen worden ingeschakeld voor de daadwerkelijke incidentresponse. En ook dat kan heel ver gaan, zeker bij een groot incident, dan zal een SOC snel opschalen, maar ze zijn niet degene die de echte remediatie gaan doen, en zeker niet bij MDR, waar de M immers staat voor managed”.

Realistisch beeld

Claranet organiseert vaker evenementen om security-uitdagingen onder de aandacht te brengen. Liebeek: “Tijdens ons Cyber Security event op 14 november aanstaande willen we de rol van het SOC nadrukkelijk nader toelichten.” Een ander onderdeel van de bijeenkomst is een interactieve Cyber Security crisisoefening, die te vergelijken is met een ontruimings- of brandoefening. Het team van Claranet voert deze uit samen met partner S-RM, specialist op gebied van incident Response. “We geven deelnemers een beeld van wat er gebeurt tijdens een cyberincident, en hoe belangrijk de

Henk Liebeek

Ready to be HACKED?

Het jaarlijkse Claranet Cyber Security Event staat dit jaar in het teken van Ready to be HACKED? Organisaties krijgen handvatten aangeboden waarmee ze zich kunnen voorbereiden op een criminele cyberaanval. Wat zijn de grootste gevaren anno 2024? Wat kun je daartegen doen? Hoe kun je je voorbereiden? En wat doe je als de aanval succesvol is, en je daadwerkelijk in een ‘cybercrisis’ terechtkomt?

Het event vindt plaats op donderdag 14 november, vanaf 13:00 uur bij Valk Exclusief - Hotel Eindhoven-Best, vlak naast de A2/A50. Zie voor meer informatie claranet.com.

samenwerking tussen verschillende stakeholders is.” Het zal volgens Liebeek een heel interactieve sessie worden.

Defensief en offensief

Naast het SOC en Incident Response besteedt Claranet tijdens het evenement ook aandacht aan de bredere cybersecuritypropositie van het bedrijf. “Die behelst zowel defensieve als offensieve maatregelen,” legt de Product Manager uit. Defensief gaat het uiteraard om zaken als een SOC, firewalls en antivirussoftware, maar ook om meer geavanceerde diensten zoals Endpoint Detection and Response (EDR). “Een cruciaal onderdeel van deze verdediging is ook het bewustzijn van medewerkers, omdat zij vaak een kwetsbare schakel vormen in de keten.” De meeste cyberincidenten, zeker negentig procent, komen ten slotte voort uit e-mails. En daar is het toch de medewerker die op een link klikt of een bestand opent. En daarom is e-mailbeveiliging, zoals door oplossingen als Mimecast, essentieel. Daarmee kun je al veel schadelijke berichten tegenhouden voordat ze in de mailbox van de gebruiker landen.”

Ook aan de offensieve kant is Claranet actief, onder meer met een heel uitgebreide groep ethisch hackers en pentesters. “We hebben een breed team in verschillende landen, waaronder India, Verenigd Koninkrijk, Frankrijk en Portugal die gezamenlijk ruim 10.000 pentestdagen per jaar voor hun rekening nemen. De echte winst daarin zit in de combinatie van de ethische hackers aan de offensieve kant en de defensieve kant met het SOC. Door het

bij het updaten ervan treden vaak veranderingen op. Als je dat steeds moet laten pentesten loop je uit de planning én het budget.”

Hiervoor ontwikkelde het bedrijf een dienst. “We maken daarbij gebruik van automatisering van de testtools, maar er kijken ook altijd nog mensen naar. De automatische scanning is natuurlijk mooi, maar een professional met diepgaande kennis én ervaring is hierin onvervangbaar. De werkelijkheid in se-

“Een cruciaal onderdeel van verdediging is het bewustzijn van de medewerkers”

voortdurend uitwisselen van kennis en ervaringen zie je beide teams groeien in hun rol en kunnen ze een echte meerwaarde bieden aan onze klanten.

Mens wordt niet vervangen

Daarnaast biedt Claranet, als internationaal opererend bedrijf, ook Continuous Security Testing (CST). Liebeek: “Dat is in eerste instantie bedoeld voor webapplicaties. Bij de bouw van applicaties, en nog meer

curity is vaak niet zwart-wit, dus menselijke expertise blijft gewenst.” Wat Claranet hiermee wil bereiken is duidelijk voor Henk Liebeek. “Er zijn steeds weer onderzoeken waaruit blijkt dat het een maand tot 200 dagen duurt voordat aanvallen ontdekt én geregistreerd worden. Het exacte aantal dagen is niet zo relevant voor ons: je wilt het hebben over uren, niet over dagen. Incidenten moeten snel ontdekt en verholpen worden.” ◾

Eoin McGrath

Dimitri van Zantvliet

ISACA Barcelona

Chapter President

ISACA Barcelona Chapter President

Solutions Engineer ThreatLocker

Accountmanager

Public-Private Partnerships

Digital Crime at Dutch Police

Ramsés Gallego

Accountmanager

Public-Private Partnerships

Digital Crime at Dutch Police

New announced keynote speakers for Cybersec Netherlands

Ramsés Gallego

This session explores how malware is created, emphasizing the importance of Zero Trust principles in defending against human and AI-generated attacks, ensuring data protection and operational continuity in a threat-ﬁlled environment.

Ramsés Gallego

Change is constant, and organizations must adapt to stay competitive. In a world driven by technology, success requires embracing time-to-value strategies. Attendees will learn the importance of adaptability in shaping business strategies for the future.

Iris Koster

Eoin McGrath

Director Cybersecurity/ CISO

Dutch Dutch Railways

Dutch Railways integrates cybersecurity into its ten safety domains, focusing on its evolution, the CISO’s strategic roadmap, and how AI is expected to signiﬁcantly reshape their digital resilience and security landscape.

New announced keynote speakers for Cybersec Netherlands

Director Cybersecurity/ CISO Dutch Dutch Railways

Caity Randall

Brenno

Iris Koster

Iris

This session covers "Operation Stargrew: the rise of cybercrime as a service," focusing on the Dutch National Police's takedown of LabHost, a phishing-as-aservice platform. Attendees will learn how cybercrime as a service operates and why collaboration is crucial to combat it, even for those outside the cybersecurity industry.

Director Cybersecurity/ CISO Dutch Dutch Railways

Accountmanager Public Private Partnerships at Dutch Police

Iris Koster

Koster

Taco Mulder

Accountmanager Public-Private Partnerships Digital Crime at Dutch Police

Taco Mulder

The session covers Belgium's NIS2 implementation, effective October 18, 2024, focusing on security standards for businesses and government entities, with an approach emphasizing compliance through robust security practices.

Dimitri van Zantvliet

Dimitri van Zantvliet

The keynote, tied to The Validation Crisis book release, explores cybersecurity's evolving challenges, focusing on cultural gaps, AI-related risks, and the growing complexity of technology. It emphasizes aligning security practices across organizational levels for effectiveness.

Accountmanager Public Private Partnerships at Dutch Police

Join us on 6 - 7 November, 2025, in Jaarbeurs, Utrecht for cutting-edge cybersecurity insights.

cybersec-netherlands.com

de Winter 6 - 7 November, 2024 | Jaarbeurs, Utrecht

Brenno de Winter

secure?

If you're interested in joining us as an exhibitor, please reach out to us through our website for more information and to secure your spot. Visit cybersec-netherlands.com to get started.

Join us on 6 - 7 November, 2025, in Jaarbeurs, Utrecht for cutting-edge cybersecurity insights.

If you're interested in joining us as an exhibitor, please reach out to us through our website for more information and to secure your spot. Visit cybersec-netherlands.com to get started.

CISO - FOD BOSA

ISACA Barcelona Chapter President

Dimitri van Zantvliet

CISO - FOD BOSA

COLUMN | JASPER HULSEBOSCH

Jasper Hulsebosch is een ervaren advocaat met een internationale praktijk op het gebied van IE/IT en met een focus op het gebied van privacy, cybersecurity, anti-piracy en brand protection. Hij is partner bij De Vos & Partners Advocaten.

De zorgplicht van IT-dienstverleners

Ms(s)p? Maak je vooral op voor NIS2

DEen cyberaanval kan grote schadelijke gevolgen hebben, waaronder het verlies of tijdelijke onbeschikbaarheid van (kostbare) gegevens voor bedrijven. Beveiliging van IT - inclusief het maken van back-ups - is dan ook van groot belang. Het is niet altijd duidelijk wie daarvoor verantwoordelijk is. Het kan voorkomen dat partijen geen concrete afspraken maken hierover, en de IT-leverancier volgens het contract of de algemene voorwaarden niet verplicht is zorg te dragen voor adequate beveiliging. Niettemin kan onder omstandigheden de zogenoemde ‘zorgplicht’ met zich meebrengen dat hoewel partijen dat niet contractueel zijn overeengekomen, van de IT-leverancier toch kan worden verlangd dat zij zorgdraagt voor een adequaat beveiligingsen back-upsysteem.

e Europese richtlijn NIS2 stelt zoals bekend strenge regels aan bedrijven uit diverse sectoren. Op grond van de NIS2 heeft een bedrijf van een bepaalde omvang de zorgplicht om zijn IT-omgeving passend te beveiligen. Dit gaat aan de hand van technische, organisatorische en operationele maatregelen. De NIS2 is ook van toepassing op managed service providers en managed security service providers als zij kwalificeren als een middelgrote of grote organisatie. Concreet betekent dit dat msp’s of mssp’s met minder dan 10 miljoen omzet en minder dan 50 werknemers niet onder de NIS2 en de Nederlandse uitvoering daarvan, de Cyberbeveiligingswet, gaan vallen en dus niet direct gebonden zijn aan de strenge cybersecurityregels. Dat lijkt dus duidelijk, maar kleine bedrijven die managed (security) services aanbieden, krijgen wel degelijk via een achterdeur te maken met de NIS2.

Supply chain

Dit is bevestigd in een recente uitspraak van de rechtbank Overijssel (zie https://bit.ly/3NFSUfT). Eiseres in deze zaak was slachtoffer van een ransomware-aanval, waarbij zij een groot aantal producten sfeerfoto’s is kwijtgeraakt. Zij heeft haar IT-leverancier aansprakelijk gesteld voor de geleden schade omdat laatstgenoemde de IT-infrastructuur had aangelegd en deze onvoldoende zou hebben beveiligd (onder meer zou geen volledige back-ups zijn gemaakt van de servers).

Zorgplicht

Bij zulke bedrijven is er namelijk altijd een zorgplicht wanneer ze zaken doen met bedrijven die gebonden zijn aan de NIS2: de supply chain. De Europese Commissie heeft afgelopen zomer een zoheten ‘uitvoeringshandeling’ gepubliceerd waarin ook de regels omtrent de supply chain security nog eens worden benadrukt. De concepttekst is nog niet goedgekeurd, maar het geeft wel een inkijkje in welke maatregelen de

De rechtbank stelt vast dat partijen niet specifiek hadden afgesproken dat de IT-leverancier zou zorgdragen voor adequate beveiliging. Maar wel is gebleken dat de IT-dienstverlener een volledige infrastructuur zou aanleggen (een ‘totaalpakket’ leverde). Volgens de rechtbank

NIS2 waarschijnlijk gaat verlangen voor de beveiliging van de toeleveranciersketen.

is moeilijk voor te stellen dat beveiliging daar niet onder valt. De IT-dienstverlener mocht er dus niet zomaar vanuit gaan dat haar klant (eiseres) geen prijs stelde op adequate beveiliging als onderdeel van het door haar afgenomen totaalpakket. Ook is niet gebleken dat eiseres zelf zou hebben gezegd dat beveiliging niet belangrijk was. Indien de ITleverancier dat anders zag, had zij dat als IT-deskundige moeten laten weten aan de klant (wat zij niet heeft gedaan). In dat geval had eiseres de beveiliging namelijk in ieder geval nog zelf kunnen regelen via een andere partij.

Kortom, de rechter oordeelt dat in deze zaak eiseres als afnemer erop mocht vertrouwen dat de ITleverancier ook zou zorgen voor adequate beveiliging (inclusief maken van volledige back-ups). Hoewel contractueel dus niet afgesproken, brengt de zorgplicht van de IT-dienstverlener met zich mee dat in die zaak die verplichting er dus wel is. De rechter begroot de schade wegens verlies foto’s op 7.000 euro en bepaalt dat de IT-dienstverlener dat bedrag betaalt als schadevergoeding.

Goede afspraken

Wanneer jouw klanten onder de NIS2 vallen dan moeten ze een supply chain-securitybeleid opstellen en hanteren. Daarin staat onder andere dat toeleveranciers (jij dus) voldoen aan hun cybersecurity vereisten. Niet zo gek dus dat ze vooraf criteria moeten vaststellen op grond waarvan ze hun leveranciers kiezen (jij dus) en dat ook in het contract vast moeten leggen. Natuurlijk houdt het daar niet op. Periodiek moeten ze kijken of alles goed is gegaan en nog steeds gaat. Daarvoor moeten ze ook jouw cyberbeveiligingspraktijk monitoren. Om het nog ingewikkelder te maken, moeten jouw klanten (die onder NIS2 vallen) een register bijhouden, met daarin de contactgegevens van jouw toeleveranciers en een lijst van IT-producten, -diensten en -services die die leveranciers aanbieden.

Dus je krijgt vrijwel zeker te maken met de NIS2, tenzij je alleen zakendoet met de onderkant van het mkb. Gelukkig heeft de Nederlandse Cyberbeveiligingswet vertraging opgelopen tot het derde kwartaal volgend jaar, dus je hebt nog even.

Maar ik zou er toch snel aan beginnen als ik jou was.

Conclusie: indien uit het contract zelf niet duidelijk blijkt of de IT-dienstverlener ook moet zorgdragen voor passende beveiliging en back-ups, doen ITdienstverleners er in ieder geval verstandig aan om dat nog wel te bespreken met hun klanten. Bijvoorbeeld per e-mail goed vastleggen dat beveiliging (en/of maken van volledige back-ups) geen onderdeel is van de offerte en eventueel tegen meerprijs kan worden afgenomen. Het door IT-leveranciers onbespreekbaar laten van beveiligingsmaatregelen (zoals maken back-ups) is mede gelet op de zorgplicht gewoon geen optie.

‘Met

NIS2 zet de BV Nederland een stap in de goede richting’

Belangrijke wetgeving werpt vaak zijn schaduw vooruit. Dat geldt zeker voor NIS2. Over de impact van de wet, die nog niet aangenomen is maar waarvan op 17 oktober de Nederlandse interpretatie ingevoerd had moeten zijn, gingen op uitnodiging van André Hiddink, Product Manager IT bij Rittal, vijf specialisten met elkaar in gesprek tijdens een Grotetafeldiscussie.

Tekst: Mels Dees | Foto’s: iMediate/ZB Jasper Bosman

Stelling 1: NIS2 zal onze wereld een stuk veiliger maken

Henk Bijsterbosch, verantwoordelijk voor alle kennispartners bij het platform Samen Digitaal Veilig, reageert als eerste. “In Nederland zijn er meer dan 200.000 bedrijven die meer dan drie werknemers hebben. Als die bedrijven dankzij de wet straks tot een basisniveau aan security komen dan zorgt NIS2 ervoor dat het volwassenheidsniveau van, zoals dat heet, de BV Nederland een enorme stap in de goede richting maakt.”

Thimo Keizer, consultant bij RisicoRegisseurs, reageert op de uitleg van Bijsterbosch met een vraag. “Als je kijkt naar NIS2, dan hebben we het daar over essentiële en belangrijke entiteiten. Die ondernemer met drie man zal vaak geen belangrijke entiteit zijn. Maakt Samen Digitaal Veilig daar nog onderscheid in vanuit het platform?”

Bijsterbosch antwoordt dat de NIS2-compliancy waarschijnlijk in de keten verder naar beneden wordt gebracht, beginnend bij de grote essentiële en belangrijke bedrijven. “Dus hoe klein je ook bent: haast iedereen krijgt ermee te maken.”

Gezien de achtergrond van André Hiddink bij Rittal volgt uit zijn mond dan ook de vraag of Samen Digitaal Veilig kijkt naar de fysieke omgeving en de beveiliging daarvan. “Die twee kun je niet los zien van elkaar,” reageert Bijsterbosch. “Als iedereen gewoon de serverruimte binnen kan lopen is de situatie er beslist niet veilig.”

Mikael Engels, interim IT Manager bij Reliables, keert terug naar de stelling dat NIS2 onze wereld veiliger maakt. “Ja, antwoord ik daarop. En ik denk dat het ook het verdienmodel van Nederland beschermt, en onze innovatieve bedrijven.” De vraag komt op of Engels bij het bezoek aan bedrijven ook aandacht schenkt aan fysieke beveiliging van, bijvoorbeeld, die serverruimte. “Dat is natuurlijk een thema. Zeker bij kleinere organisaties wordt die ruimte nogal eens als opslag gebruikt.”

Opnieuw stelt Keizer een vraag. “Zie je in de praktijk dat die fysieke risico’s afnemen nu we meer in de cloud werken?” Engels ziet zeker een verschuiving. “Maar we doen niet alles in de cloud, je zult je netwerk-kerninfrastructuur moeten blijven beschermen.”

Keizer geeft zelf een andere reactie op de stelling. “NIS2 is voor veel ondernemers te vaag en te algemeen om de wereld echt veiliger te maken. Het kan ook nog eens

“NIS2 is voor veel ondernemers te vaag en te algemeen om de wereld echt veiliger te maken”

Thimo Keizer

zorgen voor een zekere schijnveiligheid, als we NIS2 reduceren tot een te simpel afvinklijstje. Dan halen we doel en middel door elkaar.”

Bijsterbosch (Samen Digitaal Veilig) vraagt zich af wat er mis is met een afvinklijstje. “Als dat ertoe leidt dat er eindelijk interesse voor het onderwerp is ontstaan waardoor mensen ermee bezig gaan. Zeker bij kleinere bedrijven is dan al veel te winnen.” Dat punt wordt algemeen erkend aan tafel, waarbij de maatregelen die bijvoorbeeld ISO 27001 stelt wel heel concreet zijn, en NIS2 juist geen concrete doelen stelt. Keizer (RisicoRegisseurs): “Je hoeft die ISO certiﬁcering niet te halen, maar kunt wel een aantal van de basisstappen zetten.”

Bert Duijndam van Stichting Security Expert Register Nederland: “We praten nu over een afvinklijstje. In de post-HBO-opleiding voor DHM Security Management hebben we zo’n afvinklijstje en die noemen we de globale security-check. Hiermee neem je vlot, in vijf minuten, verschillende vragen door: wat heb ik als ondernemer gedaan? Waar ligt mijn verantwoordelijkheid? Wat moet ik doen? Dus een afvinklijstje kan heel goed zijn.” Dat staat echter voor hem los van NIS2. “Zoals de richtlijn nu is opgesteld is zo’n afvinklijstje er niet. Het ontbreekt aan coherentie met de CER richtlijn en aan een referentiekader.” Er is geen ‘Security als Proces’, zoals DHM Security Management daar beeldvorming aan geeft.

En áls er al een afvinklijstje is, dan zal NIS2 niet echt zorgen voor meer aandacht voor fysieke security, vermoedt Hiddink (Rittal). “De fysieke omgeving wordt een keer of negen genoemd, maar is net zo weinig concreet als de rest van de conceptwet.” Toch onderkent hij de intentie van NIS2: “de bedoeling is wel degelijk de wereld veiliger te maken, maar daar zullen zeker de kleinere bedrijven IT-partners en consultants bij nodig hebben.”

Stelling 2: Op 17 oktober zou NIS2 ingaan, Nederland haalde dat niet. Wat is de consequentie?

Bijsterbosch (Samen Digital Veilig) weet uit ervaring wat de consequenties zijn. “We overleggen met 83 branches die meedoen aan ons platform en die in totaal 140.000 bedrijven representeren.” Hij weet dat brancheverenigingen bij elke nieuwe wet of regel duidelijkheid willen. “Als ze een concrete datum hebben dan gaan ondernemers plannen, en budget en mensen alloceren.” De verenigingen spelen een belangrijke rol bij deze processen. “Wij zorgen ervoor dat die verenigingen de nodige informatie krijgen in begrijpelijke taal.”

Al lang was duidelijk dat Nederland ver achter liep op de planning. “Wij communiceren al langere tijd 1 juli 2025 als meest waarschijnlijke ingangsdatum. Dat betekent dat ondernemers nu hun planning gaan voorbereiden. De essentie is wel dat de overheid snel met een deﬁnitieve datum komt.”

Een actuele uitdaging is echter dat een aantal Europese landen wel op tijd is met de wetgeving. “Dus bedrijven in die landen komen nu met eisen naar onze mkb’ers.” Duijndam (Security Expert Register Nederland) onderschrijft dit. “Kijk naar België, waar toch ook veel Nederlandse ondernemers zaken mee doen. Dat land heeft NIS2 al in een wet aangenomen.”

Stelling 3: NIS2 geeft onvoldoende specifieke aandacht aan fysieke beveiliging

Hiddink vraag zich af wat het e ect is als elk land een eigen invulling geeft aan NIS2.

Mikael Engels (Reliables) wijst erop dat dit niet alleen het geval is bij NIS2, maar ook bij de Europese richtlijn

GDPR die bij ons AVG heet. “De Duitsers hebben de DSGVO, dat is de strengste van Europa. En dan zie je dat veel bedrijven zich richten naar die strengste versie.” Dit herkent Hiddink – hij werkt immers voor een Duitse ﬁrma. “Dat betekent dat men ofwel inderdaad de strengste volgt, of continu moet nagaan welke regels overlappen en welke niet.” Duijndam is het daarmee eens. “Elk land mag een invulling geven, wat ertoe kan leiden dat wie internationaal zaken doet de regels met elkaar moet vergelijken.”

Dat is in grote lijnen ook wat Samen Digitaal Veilig doet, vertelt Bijsterbosch. “We hebben de richtlijn gepakt die in 2022 is uitgevaardigd door Europa. Daar-

van hebben we een vertaalslag gemaakt naar bepaalde normeringen die er al zijn. Voor zover mogelijk, natuurlijk: we weten immers nog niet alles.”

Mikael Engels (Reliables) vraagt zich af of dat zo erg is. “Een heleboel van de zaken die in de richtlijn staan, zijn voor IT’ers eigenlijk common sense om te doen.”

Hij denkt aan MFA, back-ups en patchen. “Dat is toch gewoon normale dagelijkse praktijk, dat hoort bij het werk. Dus als je daar alvast mee begint hebben we al veel gewonnen tot 1 juli, als de wet dan in zou gaan…”

“…met een overgangstermijn, want zo loopt het altijd,” vult Duijndam namens Stichting Security Expert Register Nederland aan.

Keizer (RisicoRegisseurs) knikt bevestigend. “Wat je net common sense noemde is in feite Good Governance risicomanagement. Gewoon maatregelen nemen en toezicht houden. Heb je basis op orde. Dan voorkom je al veel ellende.”

Stelling 4: NIS2 legt de verantwoordelijkheid te veel bij de leverancier neer

Hiddink (Rittal) licht de stelling toe met een praktijkvoorbeeld. “Op het moment dat jij IT-apparatuur levert, of dit nu actieve apparatuur betreft, of fysieke apparatuur, bijvoorbeeld een device voor toegangscontrole, dan maakt software daar deel van uit.” Het schrijven en testen van die software is een taak van de leverancier, die ook verantwoordelijk is voor bug-ﬁxing en updates. “De leverancier moet zijn installed base op orde hebben, of in elk geval in staat zijn de eindklanten te informeren. Proactief te benaderen.”

In feite, zegt Mikael Engel (Reliables), is dat een vorm van leveranciersmanagement. “Klanten kijken dus ook zo naar leveranciers: wie neemt zijn verantwoordelijkheid en wie niet? Met die laatstgenoemde partijen wil men dan al snel geen zaken meer doen. Dat is een vorm van marktwerking.”

Volgens Keizer (RisicoRegisseurs) staat dit aspect los van NIS2, maar is het inderdaad vooral leveranciersmanagement.

Deelnemers:

Bert Duijndam, aanwezig namens Stichting Security Expert Register Nederland

Henk Bijsterbosch, Manager Kennispartners bij Samen Digitaal Veilig

André Hiddink, Product Manager IT bij Rittal

Mikael Engels, Interim IT Manager bij Reliables

Thimo Keizer, Consultant bij RisicoRegisseurs

‘De bedoeling is de wereld veiliger te maken, maar daar zullen de kleinere bedrijven ITpartners bij nodig hebben’

André Hiddink

Stelling 5: NIS2 geeft onvoldoende specifieke aandacht aan fysieke beveiliging

Fysieke beveiliging is een belangrijk onderwerp voor Hiddink van Rittal, dat immers fysieke oplossingen voor onder meer serverruimtes levert. “Op het moment dat er een richtlijn of wet komt, zoals NIS2, dan hoop ik dat erin staat waaraan men moet voldoen.” Hiddink heeft het idee dat het nu te vrijblijvend is: “We hebben toch behoefte aan houvast.”

De consequentie is dat je volgens hem afhankelijk wordt van derde partijen die jou als ondernemer bij de hand nemen en het beleid positioneren naar wat de gemiddelde veiligheidscriteria zijn voor die branche. “Dat geldt overigens voor zowel fysieke als cybersecurity: het zijn allemaal onderwerpen waar mensen een beetje van weg willen blijven, want het is ingewikkeld en het is geen onderdeel van lekker ondernemen.”

Duijndam valt hem bij en stelt dat de tekst van NIS2 in veel opzichten ondoorzichtelijk is. “Het is lastig opgeschreven en

Stelling

je moet goed vakinhoudelijk op de hoogte zijn met alle ins en outs van de overheid. Daarom heeft SERN voor zowel de NIS2 als CER richtlijnen, en voor de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten de inhoudsopgaven gemaakt. Zo is er meer structuur. En voor wat betreft wetgeving, security, juridica…dat is nog een ﬂinke klus. Vandaar mijn punt. Nogmaals, er is geen sprake van coherente aanpak tussen NIS2 en CER. En dat is wel de opdracht die in de NIS2-richtlijn staat.” Hij wijst er op dat als je met de zoekfunctie de aanduiding CER “EU 2022/2557” intikt bij de NIS2, dat je dan wel veel verwijzingen naar fysieke beveiliging in de CER richtlijn ziet. “Dus impliciet geeft NIS2 voldoende aandacht aan fysieke beveiliging, maar je moet het wel blootleggen.”

6: Ketenverantwoordelijkheid is het doorschuiven van verantwoordelijkheid

in de keten

Praktisch gezegd: Rittal levert onder andere intelligente componenten voor het beveiligen van IT-racks, en via verschillende stappen in de supply chain wordt die oplossing uiteindelijk gebruikt door een eindgebruiker. Hoe beweegt de verantwoordelijkheid zich door de keten? Hiddink gaat erop in: “We weten als fabrikant gewoon niet waar de producten terecht komen. Iedereen kan hier, of in het buitenland onze oplossingen kopen.” Bij de productie voldoet het aan richtlijnen en normeringen. “Vervolgens gaat het de keten in en die eerdergenoemde oplossing komt dan bijvoorbeeld bij een kritische entiteit terecht. En dan gaat er in een keer een ketenverantwoordelijkheid spelen die dan onderdeel wordt van de oplossing van de fabrikant. Hoe werkt dat, zeker, zoals we al bespraken, gezien mijn vestiging in Nederland onderdeel is van een Duits bedrijf.”

Keizer (RisicoRegisseurs) vraagt zich of die ketenverantwoordelijkheid zich niet veel meer richt op diensten, of in het

“Wij communiceren al langere tijd 1 juli 2025 als meest waarschijnlijke ingangsdatum. Dat betekent dat ondernemers nu hun planning gaan voorbereiden “

Henk Bijsterbosch

geval van software, updates. “Rittal levert iets en als iemand dat ding op z’n kop installeert dan is dat niet de verantwoordelijkheid van Rittal.”

Duijndam (Stichting Security Expert Register Nederland) stelt dat die verantwoordelijkheid dan ook niet per se bij de eindgebruiker ligt, als een reseller als installateur optrad. Er is dan dus sprake van gedeelde verantwoordelijkheid

Toch vermoedt Hiddink dat de eindgebruiker lijnen moet gaan uitzetten naar al zijn leveranciers. “Dat is nogal wat, daar heb je een complete afdeling voor nodig.”

Duijndam stelt dat de wet schrijft dat partijen datgene moeten doen wat redelijkerwijs noodzakelijk te achten is. “Er zijn dus zaken die een eindgebruiker niet rechtstreeks bij een fabrikant kan eisen.”

Bijsterbosch brengt de vraag nog eens in kaart. “Rittal maakt een product, dat gaat naar een distributeur en die levert het aan een IT-dienstverlener in Groningen. Die laatste installeert het als onderdeel van een grotere oplossing bijvoorbeeld bij de Universiteit in die stad. Hiddink bevestigt dit. “En mijn vraag is: hoever gaat de verantwoordelijkheid van die Universiteit voor de keten die NIS2 noemt?”

Mikael Engels (Reliables) krijgt die vraag vaak van eindgebruikers. “Wat we dan meestal afspreken is dat wij met die aanbieder, dus die IT-partner, een afspraak maken dat zij hun eigen leveranciers managen. Dit om te voorkomen dat je een eindeloze reeks krijgt. “Anders moet Universiteit Groningen tot de schroefjesfabriek gaan die producten aan Rittal levert.” Duijndam (Stichting Security Expert Register Nederland)

legt zijn vinger nog eens op de richtlijn. “In de richtlijn staat nu inderdaad dat je redelijkerwijs moet kijken, maar ook naar de keten achter jouw aanbieder als je daar grip op hebt.”

Waarop Hiddink (Rittal) terugkeert naar een eerder onderwerp in de discussie: dat je dan als leverancier echt heel precies moet weten waar en in welke conﬁguratie jouw producten bij eindgebruikers terecht komen. Engels: “Het is niet zo dat Rijksuniversiteit Groningen hier een audit komt doen. Maar ze kunnen wel een audit doen bij de IT-dienstverlener en kijken of die de boel op orde heeft.”

Keizer (RisicoRegisseurs) maakt de vergelijking met de AVG, waar verwerkers en een keten van soms meerdere subverwerkers van, bijvoorbeeld, persoonsgegevens aan onderworpen zijn. “De bovenste partij spreekt die eronder aan en zo verder in de keten. En uiteindelijk ga je dus met elkaar afspreken van oké, dit zijn mijn eindgebruikerseisen. Die gaat naar een installateur of naar allerlei partijen.” Volgens Bijsterbosch is dat de kern van wat NIS2 voorschrijft. “Het gaat er straks om dat je een soort verwerkingsovereenkomst doorgeeft in de keten. En dat je verantwoordelijkheden afdicht in subcontracten.”

Dit is ook wat Samen Digitaal Veilig doet. “We willen brancheverenigingen en leden op weg helpen. Dus wij hebben met een afvaardiging van de NEVI, de Nederlandse Vereniging van Inkopers, en verschillende juristen bij elkaar gezeten en een aantal inkoopvoorwaarden opgesteld die partijen als addendum kunnen toevoegen aan bestaande contracten. En waarin je dus eigenlijk al een aantal NIS2 elementen juridisch dekt.”

Samenvattend vindt Bijsterbosch de invoering van NIS2 een goede stap. “De eerste versie van NIS gold alleen maar voor een klein aantal essentiële entiteiten. Energie, water, ziekenhuizen, et cetera.” Het feit dat we nu met z’n allen in de markt aan het praten zijn over security noemt Bijsterbosch (Samen Digitaal Veilig) een grote vooruitgang. “Cybercriminaliteit als industrie is geëxplodeerd. En de grootste trend die zich afgelopen jaar heeft afgespeeld, is dat het allemaal via de supply chain gebeurt.” Voorheen kwamen cybercriminelen via de voordeur binnen. Dat werd echter steeds moeilijker en geavanceerder. “Maar nu proberen ze via allerlei achterdeurtjes binnen te komen, lees: de supply chain. En dat onderkent NIS2 en schenkt er aandacht aan.”

De heren aan tafel zien wat dat betreft een herhaling van de invoering van de AVG: die zorgde ook voor veel meer bewustwording als het gaat om privacy en het veilig delen van data. Duijndam (Stichting Security Expert Register Nederland): “AVG is inderdaad uitgegroeid tot een kernbegrip in onze maatschappij. Dus iedereen is ervan op de hoogte.”

Uiteindelijk gaat het, net als bij de AVG om de naleving van NIS2. Duijndam (Security Expert Register Nederland): “Gaan de toezichthouderes invulling geven aan het toezicht en de handhaving volgens de indertijd opgestelde Nalevingsstrategie (NLS)? Nu geeft de NIS2 aan dat toezichthouders gehouden zijn informatie te verstrekken en opleidingen te geven.” Uiteindelijk zal het geheel qua organisatie (systeemverantwoordelijkheid van de overheid) ABBBproof moeten zijn, dus conform de Algemene Beginselen van Behoorlijk Bestuur.

Keizer (RisicoRegisseurs) vraag zich af of het feit dat door NIS2 eisen door de hele keten worden opgelegd er uiteindelijk toe kan leiden dat kleine ondernemingen en zzp’ers die dit niet kunnen bolwerken uiteindelijk zullen verdwijnen.

De conclusie aan tafel is, dat NIS2 in dat opzicht tot een consolidatie kan leiden.

Duijndam (Security Expert Register Nederland) biedt aan om over de coherente aanpak van NIS2 en CER een tweede Dermatelogische dag “Coherent Corporate Security” met de tafelsprekers te organiseren.