Ga naar de inhoud

Waarom compliance alleen niet voldoende is voor digitale weerbaarheid

Voldoen aan NIS2 of ISO 27001 betekent niet automatisch dat je organisatie digitaal weerbaar is. Echte weerbaarheid ontstaat wanneer techniek, processen en mensen samen zorgen dat je cyberincidenten niet alleen voorkomt, maar ook snel herkent, beheerst en ervan leert.

Compliance kijkt naar het verleden en het heden. Het is gebaseerd op ‘best practices’ die zijn geformuleerd naar aanleiding van incidenten uit het verleden. Digitale weerbaarheid kijkt naar de toekomst. Het erkent dat een aanval vroeg of laat zal plaatsvinden en richt zich op het minimaliseren van de impact. Voor de digitale veiligheid van Nederland is inzet van alle bedrijven en organisaties noodzakelijk, niet alleen vanwege de continuïteit van de eigen dienstverlening maar ook vanwege de mogelijk bredere negatieve effecten voor afnemers, toeleveranciers of anderen. De Rijksoverheid stimuleert organisaties een basisniveau van maatregelen te implementeren om zo bij te dragen aan de digitale weerbaarheid van organisaties. De overheid werkt ook aan veiligere ICT-producten en -diensten op Europees niveau om organisaties te stimuleren en faciliteren om hun eigen verantwoordelijkheid te kunnen nemen. Van organisaties binnen de vitale infrastructuur en de overheid wordt een hoog niveau van digitale weerbaarheid verwacht en dit wordt ook opgelegd. Maar hoe voldoe je daaraan? En hoe voorkom je dat je toch weer vooral met compliance bezig bent?

Waarom de compliance-valkuil ontstaat

Waarom staren zoveel organisaties zich dan toch blind op compliance? Dat heeft te maken met de menselijke behoefte aan meetbaarheid en zekerheid. Een auditrapport met een voldoende is tastbaar. Het kan worden getoond aan aandeelhouders, klanten en toezichthouders. Het suggereert dat ‘alles op orde is’. Dit leidt tot de zogenaamde compliance-valkuil:

  1. De illusie van veiligheid (Paper Security)
    Een organisatie kan op papier perfect compliant zijn, terwijl de praktijk gaten vertoont. Als het beleid voorschrijft dat medewerkers sterke wachtwoorden moeten gebruiken, is de organisatie compliant zodra dit beleid is ondertekend. Maar als medewerkers in de praktijk hun wachtwoorden op post-its schrijven of hergebruiken voor privé-accounts, is de daadwerkelijke veiligheid nul.
  2. Hackers lezen de checklists ook
    Wet- en regelgeving is openbaar. Criminelen weten exact aan welke minimale eisen een ISO-gecertificeerd of NIS2-compliant bedrijf moet voldoen. Zij zoeken niet naar de deuren die volgens de regels zijn afgesloten; zij zoeken naar de onvoorziene kieren en gaten die buiten de scope van de audit vielen. Compliance creëert een voorspelbaar verdedigingslinie, en voorspelbaarheid is een geschenk voor een hacker.
  3. Wetgeving loopt altijd achter de feiten aan
    Het wetgevingsproces is traag. Tegen de tijd dat een nieuwe cybersecurity-richtlijn is ontworpen, goedgekeurd en geïmplementeerd, is het cyberlandschap alweer drastisch veranderd. Denk aan de exponentiële opkomst van generatieve AI (zoals deepfakes en AI-gedreven phishing). Een organisatie die alleen doet wat de wet voorschrijft, loopt per definitie achter de feiten aan.

De menselijke factor en cultuur

Compliance richt zich sterk op processen en technologieën: firewalls installeren, policies schrijven en logbestanden bijhouden. Maar de zwakste schakel in cybersecurity is zelden de techniek; het is de mens.

Een medewerker die onder druk staat en snel op een malafide link klikt, heft in één seconde miljoenen euro’s aan technologische beveiliging op. Compliance lost dit niet op met een jaarlijkse, verplichte e-learning van twintig minuten die medewerkers snel doorklikken om van het gezeur af te zijn.

Digitale weerbaarheid vereist een cultuurverandering. Het gaat erom dat medewerkers niet alleen de regels kennen, maar ook begrijpen waarom die regels er zijn. Een weerbare organisatie stimuleert een open cultuur waarin medewerkers fouten durven toe te geven. Als iemand op een verdachte link heeft geklikt, moet diegene zich veilig voelen om dit direct te melden bij de IT-afdeling, in plaats van het uit angst te verzwijgen. Die tijdwinst is cruciaal om een netwerkinfiltratie in de kiem te smoren.

Van ‘Assumed Security’ naar ‘Assume Breach’

Een fundamenteel onderdeel van digitale weerbaarheid is de mindset van Assume Breach. Waar traditionele compliance vaak uitgaat van het bouwen van een onneembare vesting (als we de regels volgen, komt er niemand binnen), gaat digitale weerbaarheid er direct vanuit dat de aanvaller al binnen is, of binnenkort binnenkomt.

Als we die realiteit accepteren, verschuift de prioriteit van voorkomen naar detecteren en herstellen. Vragen die een weerbare organisatie zichzelf stelt, zijn:

  • Hoe snel merken we het op als een hacker zich in onze systemen bevindt?
  • Kunnen we onze kritieke bedrijfsprocessen handmatig voortzetten als het netwerk platligt?
  • Hoe snel kunnen we back-ups terugzetten, en zijn die back-ups wel echt veilig voor ransomware (immutable back-ups)?
  • Wie belt wie in het holst van de nacht als alle communicatiesystemen (inclusief e-mail en Teams) zijn gijzelt?

Het beantwoorden en testen van deze vragen overstijgt de standaard compliance-audits. Dit vraagt om regelmatige ‘Red Teaming’-oefeningen (waarbij ethische hackers de organisatie proberen aan te vallen zonder dat het IT-team dit weet) en crisissimulaties met het crisisteam.

Hoe bouw je aan echte digitale weerbaarheid?

Het is belangrijk om te benadrukken dat compliance niet nutteloos is. Het is een uitstekend vertrekpunt. Het dwingt organisaties om een basisniveau van hygiëne te hanteren. Maar om de stap te zetten van compliance naar weerbaarheid, zijn de volgende acties noodzakelijk:

  • Maak cybersecurity een business-risico, geen IT-feestje:
    Beveiliging hoort thuis bij de directie. Het moet gekoppeld worden aan de strategische doelstellingen van het bedrijf. Welke data of processen zijn de ‘kroonjuwelen’? Als die wegvallen, stopt het bedrijf met bestaan. Focus de weerbaarheid dáárop.
  • Investeer in detectie en respons (XDR/SOC):
    Voorkomen is beter dan genezen, maar snelle detectie voorkomt dat een incident een catastrofe wordt. Zorg voor continue monitoring van het netwerkverkeer.
  • Train op scenario’s, niet op regels:
    Organiseer tabletop-oefeningen voor het management. Confronteer hen met een gesimuleerde ransomware-aanval waarbij gevoelige klantgegevens op straat dreigen te belanden. Hoe reageert PR? Wat doet Legal?
  • Ketenweerbaarheid (Supply Chain Security):
    Je kunt je eigen zaakjes perfect op orde hebben, maar als je IT-leverancier of marketingbureau wordt gehackt, ligt je data alsnog op straat. Weerbaarheid kijkt verder dan de eigen muren en eist ook weerbaarheid van partners.

Conclusie

Compliance is een statisch vinkje; digitale weerbaarheid is een continu proces. In een wereld waarin cyberdreigingen zich sneller ontwikkelen dan de wetgever kan bijbenen, is blind vertrouwen op compliance een vorm van structurele nalatigheid.

Regelgeving zoals NIS2 en DORA moet niet worden gezien als het eindstation, maar als de minimale ondergrens. Pas wanneer een organisatie de wetgeving gebruikt als springplank naar een proactieve, risico gestuurde veiligheidscultuur – waarin men uitgaat van het onvermijdelijke incident – is er sprake van échte digitale weerbaarheid. Wees niet alleen compliant op papier, maar wees voorbereid in de praktijk.atie. Compliance betekent bewijzen dat je systeem eerlijk is.

Van Dam Datapartners en veilig werken met data

Bij Van Dam Datapartners geloven we sterk in de kracht van data en technologie om maatschappelijke organisaties zoals gemeenten te ondersteunen bij datagedreven werken. Onze adviseurs en consultants bieden praktische kennis en heldere inzichten om gemeenten te helpen veilig en verantwoord met data en AI te starten en verder te gaan. Compliance en digitale weerbaarheid zijn daar een essentieel onderdeel van. Meer weten over de manieren waarop wij gemeenten en andere maatschappelijke organisaties hierbij helpen? Neem eens een kijkje tussen onze klant cases of kijk een van onze webinars terug. We gaan uiteraard ook graag met je in gesprek!

Ga voor verdere verdieping

Duik in onze kennisbank voor nog meer artikelen, klant cases, whitepapers en webinars over dit onderwerp of ga direct met een expert in gesprek.

Geïnspireerd om een volgende datastap te zetten?

Wil je zelf ook verder met data, maar weet je niet waar je moet beginnen? In zulke situaties helpt het om eerst helder te krijgen waar je staat en wat je nodig hebt om verder te komen. Daarom werken wij met drie focusgebieden. Ze helpen je om je vraagstuk te kaderen en je koers te bepalen. Waar ligt jouw focus?

Veranderen en ontwikkelen met data en AI →
Grip op data en processen →
Inzicht en sturen door data en AI →
Waar ben je naar op zoek?