In een tijd waarin digitale veiligheid inmiddels enorm belangrijker is, is het cruciaal om op de hoogte te zijn van de nieuwste ontwikkelingen die je organisatie kunnen beschermen. Eén van die ontwikkelingen is het VMC en GMC (Verified Mark Certificate en Government Mark Certificate), een innovatie die de manier waarop we e-mailverkeer beveiligen, verbetert.
Wat is een VMC?
Een Verified Mark Certificate, kortweg VMC, is een digitaal certificaat dat ervoor zorgt dat e-mails afkomstig van jouw organisatie visueel herleidbaar zijn door de ontvanger. Dit wordt gedaan door het weergeven van een geregistreerd bedrijfslogo (merk) in de inbox van de ontvanger, waardoor direct duidelijk is dat de e-mail authentiek is. Dit biedt niet alleen extra bescherming tegen phishing en spam, maar versterkt ook het vertrouwen in jouw merk en zorgt ervoor dat email niet als spam worden gezien. Kortom, de afzender voldoet aan strenge beveiligings- en authenticatievereisten.
Hoewel het momenteel nog geen wettelijke verplichting is om een VMC te gebruiken, wordt het wél sterk aanbevolen, zeker nu de normen voor digitale veiligheid steeds strenger worden. Met name overheidsinstellingen maar ook groot gebruiken kijken al naar mogelijkheden om VMC’s te implementeren als een manier om hun e-mailcommunicatie te beveiligen en te verifiëren.
Kijk maar eens hoe bijvoorbeeld een mail van KPN, Coolblue of Bol in je mailbox eruit ziet. Dat het logo getoond wordt, kan alleen omdat er allerlei harde controles zijn gedaan qua mailinstellingen en qua geregistreerd merk. Pas als aan de voorwaarden is voldaan, wordt er een beeldmerk weergegeven.
De stelling is zelfs dat ‘als een VMC of GMC’ in gebruik is genomen er geen phishing mails van die e-mailadressen verstuurd kunnen worden. Dat is nogal een uitspraak! Een uitspraak waar PKIpartners, als leverancier van vertrouwensdiensten, meer van wil weten. Wordt vervolgd!
Het GMC: speciaal voor overheidsorganisaties
Naast het VMC is er ook het Governmen Mark Certificate (GMC). Dit certificaat is specifiek ontworpen voor overheidsorganisaties, zowel op centraal als decentraal niveau. Het GMC werkt op een vergelijkbare manier als het VMC, maar is afgestemd op de unieke behoeften en eisen van de publieke sector. Dit zorgt ervoor dat ook overheidsinstellingen hun e-mailverkeer kunnen beveiligen en het vertrouwen van burgers in hun communicatie kunnen versterken.
Waarom zijn VMC en GMC belangrijk voor jouw organisatie?
Met de toenemende dreiging van cyberaanvallen, zoals ransomware, en de groeiende behoefte aan digitale zekerheid, is het cruciaal om e-mailverkeer zo betrouwbaar en veilig mogelijk te maken. Een VMC of GMC kan hierin een sleutelrol spelen door ervoor te zorgen dat ontvangers direct weten dat een e-mail afkomstig is van een betrouwbare bron.
Bovendien kan het implementeren van een VMC en GMC een strategisch voordeel bieden. Het is niet alleen een instrument voor IT-beveiliging, maar ook een krachtig marketingmiddel. Door een VMC en GMC te gebruiken, laat je zien dat je als organisatie vooruitstrevend bent op het gebied van digitale veiligheid, wat de reputatie en het vertrouwen in je merk ten goede komt.
Veilig en vertrouwd aan de slag: wat nu?
Hoewel het gebruik van VMC en GMC nog niet verplicht is, is het verstandig om nu al te overwegen deze certificaten te implementeren. Zo ben je niet alleen voorbereid op mogelijke toekomstige regelgeving, maar zorg je er ook voor dat jouw e-mailverkeer nu al optimaal beveiligd is.
PKIpartners staat klaar om je te ondersteunen bij het verkrijgen en implementeren van een VMC of GMC. Neem contact met ons op om te ontdekken hoe we jouw organisatie kunnen helpen met deze en andere digitale beveiligingsoplossingen.
Graag delen we, als vervolg op het congres, het relevante materiaal met je:
Op de hoogte blijven van ontwikkelingen over PKI, PKIoverheid, eHerkenning en eiDAS? We delen binnenkort ook de resultaten rondom de BIO2.0 en certificaten vanuit een onderzoek dat we hebben uitgevoerd voor de waterschappen en provincies. Weten hoe het zit? Abonneer dan hier op de PKIupdates.
De belangrijkste verschillen tussen Domain, Organization, Extended en QWAC-certificaten vind je op deze pagina in een handig overzicht, met koppelingen naar de specifieke uitleg-pagina’s over DV-, OV-, EV- en QWAC-certificaten.
Heldere instructies over hoe je een website-certificaat kunt ‘lezen’, vind je op onsYouTube-kanaal. Naast uitleg over certificaten staat er ook uitleg over rechtsgeldig ondertekenen van documenten in Acrobat Reader.
Het volledige rapport met voorwoord van Logius en handige tips downloaden? De kosteloze 0-meting kun je hier aanvragen.
Waardevolle deelname aan Overheid360
Ton: ‘Onze deelname aan Overheid360 bleek waardevol voor zowel PKIpartners als de bezoekers. We genereerden veel leads, ontvingen tal van bezoekers en deelden onze kennis effectief. Onze presentaties trokken veel belangstelling en boden deelnemers de tools om zelf te bepalen wat ze moeten doen en vastleggen om te voldoen aan de Baseline Informatiebeveiliging Overheid (BIO2.0).
Van groeistuip naar groeispurt
‘Persoonlijk zie ik dit als het begin van een groeispurt in de gemeentemarkt. De huidige ontwikkelingen bevestigen dat we op de juiste weg zijn om verder te groeien en onze positie te versterken.’
Abonneer je op PKIupdates of boek een workshop
Vergeet niet om je te abonneren (eerdere PKIupdates bekijk je hier) en mocht je interesse hebben in een workshop voor je eigen organisatie en collega’s in een workshop? Neem dan gerust contact met ons op.
Bas von Barnau Sythoff, Sales Director bij KeyTalk IT Security Software en Ton Oosterwijk Directeur van PKIpartners
Automatisering in beheer voor PKI certificaten wordt een múst.
‘De wereld van digitale zekerheid heeft met regelmaat te maken met een veranderend landschap, mede vanuit het EU-normenkader en het normenkader vanuit de toezichthouder op het internet het CA/B forum.
Dit betekent onder meer dat de gebruikers van publieke PKIcertificaten (websites/apps) de nodige uitdagingen te verduren krijgen in de nabije én verdere toekomst. Het gevolg? Automatisering, waaronder het geautomatiseerd beheer, uitgifte en intrekken van certificaten worden een múst.’
Dat zegt Ton Oosterwijk, oprichter en eigenaar van PKIpartners. ‘Dit geldt overigens niet voor de PKIoverheid klanten die we mogen helpen, zoals de boekhouders en dergelijke die Digipoort gebruiken voor hun communicatie met onder meer de Belastingdienst of de PKIoverheid certificaten voor de koppelingen met en tussen overheden onderling. Dit geldt wél voor de publieke toepassingen van websites, apps, e-mail et cetera.
Niet voor niets gaan PKIpartners en KeyTalk IT Security Software samenwerken, ook zij bevinden zich in de niche binnen de niche, maar wat ze écht bijzonder maakt is tweeledig. Ze zijn van Nederlandse oorsprong en zowel voor de groot- als de kleingebruiker beschikbaar. Ook zij bevinden zich in de niche binnen de niche, maar wat ze écht bijzonder maakt is de tweeledigheid. Ze zijn van Nederlandse oorsprong en zowel voor de groot- als de kleingebruiker beschikbaar.’
Van handmatige naar geautomatiseerde certificaatvervanging
Bas von Barnau Sythoff, Sales Director bij KeyTalk IT Security Software vult aan: ‘In de praktijk zie je dat geautomatiseerde certificaatvervanging nog niet de norm is.
Veel organisaties doen dit nog manueel, handmatig dus. Lastig, want het aanvraagproces en alles wat daarmee samenhangt is bijzonder complex. Bovendien is het onderwerp PKI, zelfs binnen IT-afdelingen, vaak een ondergeschoven kindje. Men doet het er zo’n beetje bij. En dat levert afbreukrisico en een verhoogde foutgevoeligheid op. Zeker als je praat over honderden of zelfs duizenden certificaten die in een steeds hogere frequentie vervangen moeten worden.
Vandaar dat er zoveel vraag is naar ons automatiseringsaanbod, onder meer vanuit De Nederlandsche Bank, KPN, het RDW en Het Kadaster. Gezien de kennis, kunde en het complementaire karakter van PKIpartners op dit vlak, is het niet meer dan logisch dat wij met veel enthousiasme een samenwerking met hen zijn aangegaan.’
Bas von Barnau Sythoff, Sales Director KeyTalk IT Security Software
Gereedschap dat geautomatiseerd werkt
Ton Oosterwijk: ‘(PKI) certificaten zijn cruciaal in elke vorm van dienstverlening. Tegelijkertijd is kennis en kunde schaars en dit wordt nog veel schaarser. Ontzorging mét kennis en kunde door PKIpartners en hun strategische partners is dus zeer van belang.
Het is belangrijk om je te beseffen dat er ontwikkelingen gaande zijn die niet zonder automatiseringsgereedschap kunnen.
Want: wat gebeurt er als je 100 certificaten hebt die door het hele jaar heen vernieuwd moeten worden. (En dus maar niet maar ééns per jaar zoals dat nu het geval is?) Maar élke 90 dagen, zoals de norm in de nabije toekomst zal worden.
En dat geldt ook voor bijvoorbeeld je wifi-certificaat. Dat soort wijzigingen in termijn en in aantal kán simpelweg niet meer met de hand.’
Ton Oosterwijk, directeur PKIpartners
Schakel hulp in van PKIpartners en KeyTalk
Ben je nu als IT-manager of andere IT-rol belast met bovenstaand en is het je al langer een doorn in het oog? Of is het zelfs al een misgegaan als gevolg van handmatige verlenging? En wil je nu écht eens geautomatiseerd aan de slag sámen met een partner die tot in detail op de hoogte is van dit complexe proces?
Vertrouwen komt te voet en gaat te paard. Dat was vroeger al zo en zal niet snel veranderen. En het vakgebied waar ik me op focus? Dat gaat over vertrouwen pur sang.
Vroeger was het relatief gemakkelijk om iemand te vertrouwen. Want je zag elkaar, kwam op visite, had een band met een individu en schudde handen waardoor je wist met wie je zakendeed. Tegenwoordig ligt de hele wereld binnen handbereik én wordt een groot deel daarvan digitaal georganiseerd. De hamvraag is dus niet alleen hoe je dit vertrouwen (ook internationaal) gaat organiseren, maar ook hoe je dit aantoont en borgt. Dát is mijn passie.
Nederland is een van de weinige landen in Europa waar een publiek private samenwerking rondom Public Key Infrastructure (PKI) voor de overheid is georganiseerd en is samengevat in een stelsel (PKIoverheid). Daarbij wordt samengewerkt met Qualified Trust Service Providers (QTSP-en), toezichthouders en overige belanghebbenden om de betrouwbaarheid van de digitale communicatie tussen de overheden, bedrijfsleven en burgers te waarborgen. In Amerika, Afrika en Azië kennen we soortgelijke constructies van Federale overheids PKI’s waarin een publiek-private samenwerking plaatsvindt.
Als Policy Autoriteit (PA) speel je een sleutelrol als het gaat om vertrouwen. Mijn rol komt vooral neer op het bewaken van de samenhang qua wetgeving, het maken van beleid en het toezichthouden op het stelsel van PKI. Om dat goed te doen kijken we naar alle wetgevingen, naar standaarden en naar bewegingen die zich plaatsvinden (nationaal en internationaal).
Over certificaten, cryptografie en quantumcomputers
Met de komst van Quantum computers die in potentie veel meer verwerkingskracht kennen dan traditionele computers (meerdere taken gelijktijdig kunnen uitvoeren) kunnen in de toekomst nieuwe toepassingen worden ontwikkeld op het gebied van medicijnen, energie, gezondheidszorg en financial services.
Dat levert, naast de genoemde kansen ook potentiële bedreigingen op, namelijk dat deze quantumcomputers de bestaande cryptografietechnieken de we gebruiken kunnen kraken. PKI heeft veel raakvlakken met cryptografie omdat certificaten hier gebruik van maken om digitale communicatie te beveiligen. Denk bijvoorbeeld aan digitale encryptie, de digitale handtekening of andere vormen van digitale authenticatie. Alle zaken die je digitaal doet en beveiligd worden met cryptografie kunnen, vooralsnog in theorie, in de toekomst gekraakt worden met een quantumcomputer. Ook dat is een reden waarom je je nú al bewust moet zijn van dit soort zaken, zodat je tijdig kunt reageren. Een voorbeeld hiervan is Apple die onlangs bekend heeft gemaakt dat hun berichtenapp iMessage inmiddels als quantumproof kan worden beschouwd door het aanpassen van Quantum Safe cryptografie (PQ3).
Het gaat om bewustzijn én actie
Uiteindelijk, en daar levert dit whitepaper een bijdrage aan, gaat het erom dat men zich bewust is van de dreigingen die met dit soort ontwikkelingen gemoeid gaan. Dat betekent ook dat je na moet denken over welke acties je kunt organiseren. En dat is waar we vanuit de overheid dag in, dag uit mee bezig zijn. Vanuit mijn rol werk ik samen met organisaties als TNO, CWI, Microsoft en veel andere partijen. Zo ook in HAPKIDO, een Hybrid Approach-oplossing om organisaties te helpen met de transitie richting quantumveilige PKI’s. Ook neem ik deel aan de post quantum werkgroepen van het PKI-consortium, het programma Quantumveilige Cryptografie van de rijksoverheid en ben ik enthousiast driver en medeorganisator van het Post Quantum congres. Tot slot zijn we ook betrokken bij PKIoverheid producenten, waar veel mooie ontwikkelingen gaande zijn. Uitdagingen zijn er ook: de veranderende wet- en regelgeving en de policy-wijzigingen vanuit de browserpartijen, de NIS2 en de nieuwe versie van de eIDAS-verordening die op stapel staat, waarin onder meer remote identification een rol speelt. Kortom, er is beleid nodig: wéér een raakvlak met het whitepaper dat voor je ligt.
Het digitaal waarborgen van vertrouwen: dáár gaat het om
Bij PKI-landschappen is het belangrijk dat je een drietal zaken structureel in ogenschouw houdt: veiligheid, soevereiniteit en interoperabiliteit. Dat laatste zegt iets over hoe goed er onderling samengewerkt wordt, het gaat over helder communiceren en over kwalitatieve gegevensuitwisseling. In die drie pijlers wil je een balans vinden.
Dit betekent dat je rekening houdt met elkaars belangen, zowel internationaal als nationaal. Nederland is een handelsnatie: we richten ons volop op digitaal zakendoen met de wereld om ons heen. We hebben de plicht om dit als overheid zo veilig mogelijk te kunnen waarborgen. Daarom werken we vanuit beleid en houden we toezicht. Maar het is uiteindelijk aan de lokale overheden zélf om aan de slag te gaan.
En werk aan de winkel in bredere zin is er continu: ook rondom de opleidingen en audits. Zo merk ik bijvoorbeeld dat er een onderscheid is tussen de eisen die voortvloeien vanuit de wetgeving en de technische eisen. De technische eisen, die bijvoorbeeld gaan over hoe je een PKI opzet, die zijn anders dan de eisen die aan de processen gesteld worden. Het is belangrijk om die twee samen te brengen. Een PKI-omgeving opzetten is op zich zo gebeurd, maar het gaat erom dat je volledig vertrouwen kan hebben in het gehele systeem.
Over Europa en eIDAS
Verder zijn er verschillende initiatieven rondom digitaal samenwerken: EU-burgers moeten eenvoudig grensoverschrijdend kunnen werken. Stel dat iemand bij een instantie in het buitenland inzage nodig heeft in een bepaald register, dan kan dat bijvoorbeeld goed geregeld worden met een EU-wallet die toegang verleent. Dit soort ontwikkelingen vergemakkelijken het om digitaal zaken te kunnen doen, dit betekent ook dat bedrijven digitaal moeten kunnen ondertekenen. De grondlegging voor een dergelijke wallet is, hoe kan het ook anders, het certificaat. Wederom geldt dat het ecosysteem zo veilig mogelijk gehouden moet worden. Hoe je dat doet? Door goed te kijken naar de balans tussen de drie termen die ik eerder noemde: veiligheid, soevereiniteit en interoperabiliteit.
Nationale beweging de BIO2.0, de Baseline Informatiebeveiliging Overheid
Veiligheid is minstens zo belangrijk als de mogelijkheid hebben om interoperabel met elkaar te zijn. Dat geldt natuurlijk ook voor overheden die nauwe relaties hebben met haar burgers en bedrijfsleven. Daarvoor is een elektronische identificatie noodzakelijk. Je wilt uiteindelijk onomstotelijk vast kunnen stellen met wie je zakendoet.
Zo is er voor overheidsorganen een nieuwe handreiking ontwikkeld (de BIO2.0), de Baseline Informatiebeveiliging Overheid. Daarin wordt bijvoorbeeld gesteld dat de minimale vereiste om certificaten in zetten die van het niveau Organization Validated (OV) moeten zijn. Concreet betekent dit dat de organisaties gevalideerd dienen te worden en ingeschreven staan bij de Kamer van Koophandel en de informatie zichtbaar wordt meegenomen in het certificaat. Hiermee is het voor eenieder zichtbaar dat het om vertrouwde partijen gaat. Naast OV-certificaten zijn er ook nog DV-certificaten (Domain Validated), EV-certificaten (Extended Validated) en QWAC- certificaten. (Qualified Web Authentication). Je leest er meer over in dit whitepaper.
Goed huisvaderschap onmisbaar
Samenvattend, het belangrijkste is dat je de zaken goed organiseert, je processen in kaart brengt, dat je weet wat je doet en beseft waar je afhankelijkheden liggen. En dat je in staat bent om op een veilige manier digitaal zaken te doen en daarop toetst. Pas goed op jezelf, zou ik willen zeggen! Het tonen van goed huisvaderschap, met oog voor due dilligence en due care is onlosmakelijk verbonden met goed op jezelf passen.
Vertrouwen komt te voet en gaat te paard
Het in Nederland ontworpen PKIoverheid -stelsel is erg krachtig en we genieten, met ons land, volop vertrouwen en hebben met dit stelsel internationaal naamsbekendheid. Het stelsel werd al ontwikkeld voordat de eIDAS-verordeningen zijn intrede deed. Dat zegt wel wat. Met eIDAS (Electronic Identification and Trust Services) wil Europa bijdragen aan het wegnemen van digitale grenzen tussen landen uit de Europese Economische Ruimte. Zo kan de veiligheid van digitale systemen gewaarborgd worden en de privacy van mensen beschermd.
Het is zaak dat er, met de komst van alle nieuwe ontwikkelingen en eventuele bijbehorende eisen er continue gekeken wordt of je eraan voldoet om daarmee het aantoonbaar vertrouwen te genieten. En de oplossing? Die is simpel: beleid. Je past toe óf je legt uit waarom dit niet nodig is. Meer info in het whitepaper.
Ik opende dit voorwoord met een spreekwoord en sluit daar ook graag mee af: vertrouwen komt te voet en gaat te paard. En geloof mij, het is beter om aan te tonen dat hetgeen je zegt en biedt écht klopt, dan dat je klant, relatie of collega er maar op moet vertrouwen dat het zo is.
Albert de Ruiter
Policy Authority PKIoverheid, Logius Dienst Digitale Samenleving Ministerie van Binnenlandse Zaken en Koninkrijksrelaties
‘Sinds kort werk ik, met als specialisatie eHerkenning, in het team van PKIpartners. In eerste instantie zal ik veel samen met Ton optrekken om het bedrijf, de klanten en de werkprocessen goed te leren kennen. In die periode schrijven we een plan van aanpak waarbij de focus ligt op eHerkenning, kort samengevat de DigiD voor het bedrijfsleven. De toepassing van dit inlogmiddel is heel breed: je logt als bevoegd persoon in bij een ander bedrijf of specifieke instantie. Bijvoorbeeld bij de Kamer van Koophandel om jaarstukken te deponeren of bij het UWV om een werknemer ziek te melden of zwangerschapsverlof aan te vragen. En dat zijn slechts enkele voorbeelden. Maar eHerkenning is voor de grotere bedrijven een lastig onderwerp. Het levert veel frustratie, zowel bij de beheerders als de medewerkers die met deze inlogtool werken.’
Het ‘er even bij doen’ werkt niet
Rajiv: ‘In de praktijk zie je namelijk dat de beheerders binnen bedrijven de activiteiten die bij eHerkenning horen er zo’n beetje bijdoen. En dat werkt niet: zij zijn immers niet aangenomen om de beheerder van eHerkenning te zijn. Ze krijgen het er zomaar op hun bordje bij en dat geeft stress. Stel je maar eens voor dat een collega niet in kan loggen, terwijl dit wél direct nodig is. Als de beheerder in een meeting zit en niet gestoord kan worden staan de werkzaamheden van die betreffende collega stil. Ook kan er sprake van een storing zijn, waarbij de beheerder contact met de betrokken helpdesk op moet nemen om dit op te lossen. Maar hij is ongetwijfeld niet de enige die belt. En terwijl hij in een (soms lange) wachtrij staat, kunnen de collega’s niet vooruit. Dat kost geld, tijd en energie. En los daarvan zie je dat de structuur op procesniveau nogal eens ontbreekt zodat collega’s bijvoorbeeld bij (privacygevoelige) gegevens kunnen die niet voor hen bestemd zijn.’
Ingrijpende gevolgen
‘Maar de gevolgen zijn soms nog ingrijpender. Toen corona ons samenleving binnenkwam moesten veel bedrijven in kunnen loggen bij de Rijksdienst voor Ondernemend Nederland (beter bekend als het RVO), zodat zij compensatie aan konden vragen vanuit de coronaregelingen. Omdat veel bedrijven nog niet over eHerkenning beschikten, wat wél nodig was om in te loggen bij het RVO, werd dit massaal aangevraagd. Dat zorgde dan weer voor veel drukte bij bedrijven die eHerkenning aanboden. Kortom, dat proces verliep verre van soepel.’
Externe omstandigheden ongrijpbaar
‘Een ander voorbeeld komt uit de verzekeringswereld waar tot een tijd geleden nog ingelogd kon worden met een gebruikersnaam en wachtwoord. Dat was niet veilig genoeg en toen dat omgezet werd naar inloggen via eHerkenning ontstond er volop overbelasting bij de betrokken partijen. Zo zie je dat je het zélf wel allemaal op de rit kunt hebben (wat in de praktijk overigens vaak niet zo is) maar dat externe omstandigheden je zomaar voor een voldongen feit kunnen stellen waardoor je planning anders uitpakt dan verwacht.’
Oplossing: simpel en doeltreffend
‘Gelukkig is er ook goed nieuws, want de oplossing voor dit alles ligt eigenlijk voor de hand. Door het beheer van eHerkenning uit te besteden aan PKIpartners, kan de beheerder zich weer op zijn eigen taken richten. Omdat de lijntjes met alle partners (zoals onder meer Digidentity) kort zijn, kunnen we vanuit óns bedrijf bij storingen veel sneller acteren omdat we niet in ellenlange wachtrijen terechtkomen. Bovendien zijn we zo goed bekend met deze complexe materie, dat we precies weten met welke vragen we waar moeten zijn. Alleen al dat gegeven helpt mee om een storing snel op te kunnen lossen.’
Breng het plezier op de werkvloer terug
‘Dat zijn zo enkel van de voordelen van de (strategische) partnerships die zijn aangegaan met de belangrijkste partijen in de keten. Er, wanneer je er heel nuchter naar kijkt, verminder je door te kiezen voor PKIpartners voor het beheren van je eHerkenning-zaken, direct de druk op de beheerder, worden de collega’s razendsnel geholpen bij problemen én wordt het een stuk gezelliger op de werkvloer’, besluit Rajiv.
Ook aan de slag met rust brengen rondom eHerkenning in je organisatie? Neem rechtstreeks contact op met Rajiv voor een gratis en vrijblijvend gesprek. Je bereikt hem op 06 273 879 79 of rajiv@pkipartners.nl of via het contactformulier.
‘De grootste verandering sinds de laatste keer dat we elkaar over het digitaal veiliger maken van Nederland spraken? Dat is zonder twijfel de komst van de EU-richtlijn NIS2.’ Aan het woord is Ronald Driehuis, ICT-auditor. ‘De verwachting is dat deze nieuwe wetgeving in Q1 al in consultatie gebracht wordt, waarbij wordt beoogd dat deze in oktober van dit jaar daadwerkelijk in werking treedt. Dit is op het gebied van informatiebeveiliging, zeker binnen bepaalde sectoren, een serieuze aangelegenheid die veel gevolgen met zich meebrengt.’
Vrijblijvendheid voorbij
‘Nu biedt de huidige NIS-richtlijn (denk aan de Baseline Informatiebeveiliging Overheid, kortweg de BIO) toch nog een bepaalde mate van vrijblijvendheid, terwijl bedrijven en (lokale) overheden straks daadwerkelijk onder toezicht komen te vallen. De audits die hiermee gepaard gaan lijken zwaar en uitgebreid te worden. Er zijn nogal wat zaken waaraan men moet gaan voldoen om te voorkomen dat de toezichthouder op de stoep staat’, aldus Ronald. ‘Aan de andere kant, als je nu al goed met de BIO bezig bent en je hebt je risicomanagement op orde, dan hoeft het allemaal niet zo’n probleem te zijn. Maar uit de praktijk weten mijn collega’s en ik dat bij veel gemeenten, bedrijven en andere organisaties op dit moment al genoeg uitdagingen leven om ervoor te zorgen er überhaupt aan de BIO voldaan wordt.’
NIS2: aangescherpte versie van NIS
‘Wat de situatie verder compliceert is dat men in het kader van NIS niet alleen naar kantoorautomatisering kijkt, maar ook naar OT: operational technology. Denk bijvoorbeeld aan iets specifieks als gemalen, pompen, sluizen en andere systemen die soms ook op afstand bediend worden. Die vallen op dit moment niet onder de audit, maar daar zal straks wel naar gekeken worden. Is het op afstand bedienen bijvoorbeeld wel veilig genoeg ingeregeld? Wie kan er allemaal bij deze systemen? En is er überhaupt een pentest uitgevoerd om kwetsbaarheden naar boven te halen? Dát zijn zo van die vragen die straks in een audit terugkomen. De NIS2 is feitelijk een verscherping van de eerder ingevoerde NIS waarin nog te veel hiaten aanwezig waren.’
Goed beschreven; slecht geregeld?
‘In het algemeen kan ik stellen dat sommige bedrijven, gemeenten of andere organisaties toch wel moeite hebben met het inspelen op en doorvoeren van verandering. Dat zie ik in de praktijk rondom aanpassingen in normenkaders zoals recentelijk met de invoering van norm B.01 bij de DigiD-audit’, vervolgt Ronald. ‘Ik vind het bovendien nog altijd een gemiste kans dat norm B04 niet in de audit is gekomen, want een goed certificaat op je website in combinatie met een goed beheerproces is een belangrijk aspect. Daar waar beleidsnorm B01 alleen maar toetst of je beleid hebt staan, lijkt het mij belangrijker om te kijken of het ook echt veilig is ingericht.’
ICT-auditor: weg met de papieren tijgers
‘Door te kiezen voor B01 en niet te kiezen voor de meer praktische norm als het toetsen van het certificaatbeheer, zijn we weer bezig met het creëren van een papieren tijger. Bij het opzetten van een normenkader moeten we juist kijken of het in de praktijk goed gaat. Het is dus wel goed dat we bij de DigiD gaan beginnen met het toetsen op de werking’, vervolgt Ronald. ‘Het gaat erom dat we kijken naar wat bijdraagt aan de veiligheid van ons land en wanneer we dan een audit gaan inrichten moeten de normen daarop gericht zijn. Uiteraard is het handig om vooraf na te denken over de juiste maatregelen en dat vastleggen, maar uiteindelijk is het veel belangrijker om deze maatregelen geïmplementeerd te hebben.’
Ensia als ambtelijk gedrocht
‘Het is, los van de komst van NIS2, sowieso wenselijk om te onderzoeken of we de audit-methodiek een stuk gemakkelijker kunnen maken. Zo denk ik bijvoorbeeld aan Ensia, wat staat Eenduidige Normatiek Single Information Audit en staat voor eenmalige informatieverstrekking en eenmalige IT-audit. Dit is ingesteld omdat gemeentes in eerste instantie vanuit allerlei ministeries vragen op zich af zagen komen rondom controles op Basisregistratie Personen (BRP), de paspoorten en Nederlandse identiteitskaarten, de DigiD en meer. Wat we in de praktijk zien is dat dit oorspronkelijk goede idee om zaken samen te voegen tóch weer tot een ambtelijk gedrocht is geworden, want het aantal vragen dat gemeenten inmiddels moeten beantwoorden is opgelopen tot een aantal van ruim 1000 (!) stuks. Dat kan veel helderder.’
Ronald Driehuis werpt een blik op de toekomst
‘Wanneer ik vooruitkijk naar 2024 dan verwacht ik dat organisaties het zwaar gaan krijgen met de nieuwe NIS2-richtlijn. Dat gaat, vanuit verschillende invalshoeken, tijd, geld en veel organisatiekracht kosten. Mijn advies is dan ook om vooral niet af te wachten tot oktober, maar om al zoveel mogelijk in te spelen op dat wat er komen gaat. Want ook hiervoor geldt: een goed begin is het halve werk. Werk dat bovendien niet vrijblijvend is in geval van NIS2.’ aldus Ronald Driehuis.
