Digitale soevereiniteit is een actueel thema in Europa. Maar de recente incidenten laten zien dat ook bij gebruik van Europese cloudleveranciers je kwetsbaar kan zijn. Soevereiniteit maakt organisaties daarom niet automatisch digitaal weerbaar.
RDI roept organisaties dan ook op in te zetten op het krijgen van grip op de afhankelijkheden en risico’s en daarmee digitaal weerbaar te worden. Bovendien is dat waar ook de Cyberbeveiligingswet op inzet.
Veel organisaties focussen op cloudsoevereiniteit: het idee dat digitale gegevens alleen veilig zijn als ze volledig onder eigen controle en binnen Nederland of de EU blijven. Maar de werkelijkheid is complexer…
Die werkelijkheid wordt onder andere gevormd door de Cyberbeveiligingswet (Cbw). Die focust op het daadwerkelijk zicht hebben op je digitale afhankelijkheden, of risico’s in beeld zijn en of je zelf in control bent over je data en processen. De RDI gaat toezicht houden op de Cbw.
De Cbw stelt in het bijzonder drie fundamentele eisen aan gebruikers van clouddiensten.
Risicoanalyse en informatiebeveiliging
De eisen hebben allereerst betrekking op risicoanalyse en informatiebeveiliging. Organisaties moeten begrijpen waar ze afhankelijk van zijn en daarom alle risico’s die gepaard gaan met hun cloudgebruik in kaart brengen. Een organisatie die gebruik maakt van de cloud moet bijvoorbeeld weten waar zijn data fysiek opgeslagen is, wie er toegang toe heeft en hoe snel systemen hersteld kunnen worden bij een verstoring. Als deze informatie ontbreekt, is de risicoanalyse onvoldoende. De RDI ziet erop toe dat organisaties de risico’s van hun cloudkeuze kennen, dat ze weten hoe deze de continuïteit van hun bedrijfsvoering eventueel kunnen beïnvloeden en dat er strategieën zijn voorbereid voor onverhoopte incidenten.
Risico’s in de toeleveringsketen
Vaak liggen risico’s ook buiten de eigen organisatie, bijvoorbeeld bij je cloudleveranciers. Daarom moeten organisaties ook actief sturen op grip over hun cloudafhankelijkheden; weten welke cloudleveranciers toegang hebben tot hun kritische systemen, wat er in de contracten is vastgelegd in geval van incidenten en welke onderleveranciers er betrokken zijn bij je cloudinfrastructuur.
Beleid moet in de praktijk werken
Tot slot: beleid moet in de praktijk ook echt werken. De RDI onderzoekt of organisaties aantoonbaar goede criteria hanteren bij het selecteren van hun cloudleverancier en of ze ook daadwerkelijk en periodiek hun cloudleveranciers evalueren, incidenten goed afhandelen en concrete exit-strategieën hebben.
RDI-directeur Digitale Weerbaarheid Jasper Nagtegaal: “Organisaties die grip hebben, zijn weerbaar. En organisaties die die grip missen, blijven kwetsbaar, zelfs in een ‘soevereine’ omgeving”.
De RDI stelt dus dat digitale weerbaarheid het echte doel is. En die begint bij één principe: grip op afhankelijkheden. Een niet-Europese leverancier kan acceptabel zijn, mits de risico's beheerst zijn. En een Europese provider kan onveilig en onacceptabel zijn, als die controle ontbreekt.
De RDI roept cloudgebruikers op zich te richten op een gedegen risicoanalyse, sterk ketenbeheer en leveranciersmanagement. Die zijn essentieel in de voorbereiding op de Cbw en voorwaardelijk om te kunnen voldoen aan de eisen van deze wet. Ze geven inzicht, brengen grip en zijn de weg naar digitale weerbaarheid.