In 2019 hernieuwde DNS Belgium haar ISO 27001 certificatie. Dit jaar brengen we een update van het CENTR beveiligingsmaturiteitsmodel. Beide kaderen in een Europese langetermijnstrategie rond cybersecurity.
Europese regelgeving
Europa heeft een langetermijnstrategie rond informatiebeveiliging en cybersecurity. Een eerste onderdeel van deze strategie was GDPR dat in 2018 van kracht werd. In 2019 kwamen daarbij de Directive on Security of Network and Information Systems (de zogenaamde NIS-richtlijn) en de EU Cybersecurity Act.
De NIS-richtlijn voorziet in wettelijke maatregelen om het algemene niveau van cybersecurity in de EU te verhogen. Dat doet de richtlijn o.a. door
- te zorgen voor samenwerking tussen de lidstaten;
- een cultuur van veiligheid te helpen scheppen in sectoren die van vitaal belang zijn voor onze economie en samenleving en bovendien sterk afhankelijk zijn van ICT.
De EU Cybersecurity Act bracht op zijn beurt een breed certificatiekader voor cybersecurity van digitale producten, diensten en processen.
De Cybersecurity Act creëert een kader voor cybersecurity certificatie. Maar we willen vermijden dat elke land zijn ding doet of dat organisaties aan certificaatshopping gaan doen. CENTR wil daarom een voortrekkersrol spelen op Europees vlak en goede werkwijzes aanbevelen. DNS Belgium en DENIC, de registry voor .de in Duitsland, nemen een leidende rol op in het project.
Voor GDPR en de Cybersecurity Act kregen alle EU-lidstaten dezelfde spelregels. Voor de NIS-richtlijn is dat niet het geval. Lidstaten kunnen dus zelf een concrete invulling geven aan de Europese richtlijn. ‘De Cybersecurity Act creëert een kader voor cybersecurity certificatie. Maar we willen vermijden dat elke land zijn ding doet of dat organisaties aan certificaatshopping gaan doen’, zegt Kristof Tuyteleers, Security Officer bij DNS Belgium. ‘CENTR wil daarom een voortrekkersrol spelen op Europees vlak en goede werkwijzes aanbevelen. DNS Belgium en DENIC, de registry voor .de in Duitsland, nemen een leidende rol op in het project.’
Security Maturity Model
In 2017 heeft CENTR, op initiatief van DNS Belgium, al een beveiligingsmaturiteitsmodel ontwikkeld waarmee ondernemingen op vijf domeinen hun maturiteitsniveau op het vlak van informatiebeveiliging kunnen controleren. Dit jaar publiceren we een update van het maturiteitsmodel. Nadat je het model hebt doorlopen, krijgt je de statistieken van je onderneming te zien en worden die afgezet tegenover geanonimiseerde resultaten van anderen. ‘De bedoeling daarvan is om mensen die in organisaties verantwoordelijk zijn voor informatiebeveiliging wat extra ‘munitie’ te geven wanneer ze naar hun management stappen om meer inspanningen te vragen op het vlak van security’, zegt Kristof. ‘We willen de resultaten daarnaast ook gebruiken om als community te groeien op vlak van cybersecurity en elkaar te versterken.’
Hernieuwde ISO-certificatie
Onze inspanningen op het vlak van cybersecurity blijken ook uit onze hernieuwde ISO-certificatie. Het managementsysteem voor informatiebeveiliging (ISMS) van DNS Belgium is sinds begin juli 2016 officieel ISO 27001 gecertificeerd en werd in 2019 opnieuw gecertificeerd. Dit ISMS is afgestemd op de risico’s omtrent gegevensbeveiliging binnen onze organisatie. Het is een procesmatige benadering van planning, implementatie, evaluatie en continue verbetering van het beheer van de informatiebeveiliging. Aan de certificering ging een strenge audit vooraf.
We zijn al meer dan vier jaar ISO-gecertificeerd. We hebben daar geen enkel commercieel belang bij. Maar we wilden het certificaat toen al halen om o.a. aan de buitenwereld te laten zien hoe belangrijk we informatiebeveiliging vinden door een onafhankelijke, externe entiteit onze inspanningen op dat vlak te laten vaststellen. We willen aantonen dat we op een verantwoorde en veilige manier bezig zijn met de diensten die we aanbieden, los van of bovenop wettelijke verplichtingen.
Europese puzzel
Het lijkt logisch om het beveiligingsmaturiteitsmodel te koppelen aan de audit voor ISO-certificering en de Europese wetgeving om het vlak van cybersecurity. Maar zo ver zijn we nog niet. Organisaties die niet onder de NIS-richtlijn vallen, implementeren certificatieschema’s die onder de Europese Cybersecurity Act ontwikkeld werden, momenteel op vrijwillige basis. In 2023 gaat Europa beslissen wat verplicht wordt voor welke sectoren en diensten. ‘Europa zit dus niet stil, maar wij willen toch proactief en vooruitstrevend zijn. Anticiperen geeft je immers tijd om er goed over na te denken. Met onze initiatieven leggen we samen met de 54 leden van CENTR enkele puzzelstukken uit. Europa van zijn kant doet dat ook. En uiteindelijk zullen al die puzzelstukken wel in elkaar vallen, maar dat vergt tijd en overleg.’