Global
Africa
South Africa
Albania
Australia
Austria
Belgium
Bosnia Herzegovina
Bulgaria
Canada
Canada FR
Croatia
Czech Republic
Denmark
Estonia
Finland 
Finland (English)
France
Germany
Hong Kong
Hungary
Iceland
India
Indonesia
Ireland
Israel
Italy
Kosovo
Latvia
Lithuania
Malaysia
Middle East
Montenegro
New Zealand
North Macedonia
Norway
Philippines
Poland
Portugal
Romania
Saudi Arabia
Serbia
Singapore
Slovakia
Slovenija
Spain
Sweden
Switzerland DE
Switzerland FR
Thailand
Turkey
USA
Ukraine
United Kingdom
Vietnam
NIS2, DORA en 50 tinten compliance
Tanium is een realtime endpoint communicatieplatform dat is ontworpen om grote ondernemingen te helpen met constante veranderingen en onderbrekingen van IT processen, op ongeëvenaarde omvang en snelheid. Tanium geeft ‘s werelds grootste ondernemingen en organisaties de unieke kracht om miljoenen endpoints in de hele wereld te beveiligen, controleren en beheren binnen enkele seconden. Met de ongekende snelheid en eenvoud van Tanium hebben security en IT teams nu volledige en accurate informatie over de status van endpoint, om ze zo efficiënter te beschermen tegen moderne bedreigingen.
Europese regelgeving interpreteren is een taaie klus. Dat geldt ook voor de regels van DORA en NIS2. Deze nieuwe regelingen moeten worden vertaald naar concrete maatregelen die IT- en securityteams moeten nemen. Net zoals elk bedrijf zijn eigen invulling geeft aan GDPR, dreigen ook NIS2 en DORA vele varianten te kennen in hun toepassing. Toch zijn er een aantal zaken die zeker moeten gebeuren.
DORA, NIS2, GDPR… De Europese regelgevers zijn al even verslingerd aan vierletterwoorden als de it-sector zelf. Dora staat voor Digital Operational Resilience Act en wil de cybersecurity en digitale weerbaarheid van financiële dienstverleners verhogen. NIS2 is een uitbreiding van de Network and Information Systems directive die sinds 2016 van kracht is. Deze maatregel kijkt naar alle kritieke infrastructuur. Naast de financiële sector zijn dat straks ook sectoren als transport, energievoorziening, gezondheidszorg en publieke dienstverlening. Bij NIS2 gaat het dus om meer sectoren en meer bedrijven.
“Uiteraard heeft geen enkele organisatie gewacht op DORA en NIS2 om een aantal beschermingsmaatregelen te nemen”
Uiteraard heeft geen enkele organisatie gewacht op DORA en NIS2 om een aantal beschermingsmaatregelen te nemen. De nieuwe regelgeving komt echter met nieuwe verplichtingen, verantwoordelijkheden en ook boetes. Vergeet ook niet dat de Corporate Goverance Code bestuurders van bedrijven kan bestraffen voor het niet naleven van security-regels. Het komt er dus op aan de regels goed toe te passen, al is de vertaalslag van juridische teksten naar IT- en securitytaken niet altijd makkelijk. Toch zijn er vijf belangrijke stappen die je kan nemen.
- Leg rollen, verantwoordelijkheden en prioriteiten vast
NIS2 en DORA zijn, net als GDPR, niet alleen een IT- of security-aangelegenheid; alle afdelingen binnen een organisatie zijn erbij betrokken. Een team samenstellen is dus een eerste stap, de taken en verantwoordelijkheden binnen dat team vastleggen een tweede. Vervolgens moet de organisatie inzicht krijgen in de huidige stand van zaken. Pas dan wordt duidelijk wat er als gevolg van de komst van DORA en NIS2 moet verbeteren. Op die manier zijn ook de prioriteiten te bepalen die leiden naar compliance. Het draaiboek dat hier het gevolg van is, moet een holistisch beeld geven van alle onderdelen die onder de nieuwe wetgeving vallen.
- Zorg voor zicht op hele infrastructuur
Veel bedrijven voerden de investeringen in cybersecurity de laatste jaren al op. Dat gebeurde niet alleen omwille van de regelgeving, maar simpelweg omdat het aantal aanvallen toeneemt. Toch zijn er maar weinig organisaties die een totaaloverzicht hebben over alle apparatuur die toegang heeft tot hun netwerken. De tools die ze gebruiken, zitten vaak verspreid over IT- en securityteams. Veel van deze tools kunnen bovendien geen informatie met elkaar uitwisselen, waardoor het lastig is een uniform zicht te hebben over het hele it-landschap. Bovendien zijn de tools niet altijd geschikt om te verifiëren of alle geplande software-updates en -upgrades ook daadwerkelijk uitgevoerd en geslaagd zijn. Daar ligt een belangrijke taak bij het naleven van NIS2 en DORA.
- Verbeter en automatiseer het risicobeheer
Het is natuurlijk niet genoeg om te weten welke endpoints eventueel een ‘patch-dinsdag’ gemist hebben, of helemaal niet beheerd worden. Je moet er ook voor waken dat het voortaan wél gebeurt, en dan nog liefst geautomatiseerd ook. Rol patches dus centraal uit, controleer of dat gebeurd is, en remedieer meteen indien een update of upgrade niet is geslaagd.
- Denk aan hele supply chain
Organisaties maken tegenwoordig deel uit van een ecosysteem waarbinnen data uitgewisseld worden en toepassingen via api’s met elkaar verbonden zijn. Dat zorgt voor een acceleratie van de samenwerking tussen bedrijven, maar ook voor een exponentiële groei van mogelijke kwetsbaarheden. Je kan dan wel zelf alles goed geregeld hebben, als een belangrijke partner zijn zaakjes niet op orde heeft, ben je zelf ook kwetsbaar. Een keten is zo sterk als de zwakste schakel. Ga dus na of je toeleveranciers, dus ook eventuele it-outsourcingpartners, ook de nodige voorzorgen nemen. Bedenk dat het hier niet alleen gaat over technische kwetsbaarheden en alle schade die hierdoor kan ontstaan. In veel gevallen is onze eigen organisatie én ons eigen management ook nog eens juridisch aansprakelijk voor eventuele kwetsbaarheden bij supply chain-partners.
- Stroomlijn incident response
Hoe goed je ook beschermd bent, er kan nog steeds een incident plaatsvinden. Daarom is het belangrijk te weten hoe te reageren op een incident: welke maatregelen moeten we meteen nemen? Welke instanties moeten gewaarschuwd worden bij een datalek? Maak ook hier een draaiboek voor dat aangeeft wie voor wat verantwoordelijk is in elk denkbaar scenario. Een incident is slecht nieuws, maar meteen ook een kans om mogelijke pijnpunten weg te werken.
Geen last maar kans
NIS2, DORA en andere regelgevingen worden te vaak gezien als een extra last. Niemand zit te wachten op nog meer regels, nog meer rapportageverplichtingen, nog meer controle. Daar staat tegenover dat deze nieuwe regels ook een prima gelegenheid zijn om een stap terug te doen en een holistische blik te werpen op onze volledige it-omgeving.
Als alle organisaties hun veiligheidsbeleid op orde hebben, kunnen we ook veel incidenten voorkomen. En daar wordt iedereen beter van. Maak dus van de nood een deugd. NIS2 en DORA zijn in dat opzicht juist een kans
De voordelen van werken met Tanium
Financiële dienstverleners moeten samenwerken met Tanium om te voldoen aan DORA vanwege de enorme hoeveelheid werk die moet worden gedaan om te voldoen aan DORA. IT-afdelingen moeten hun activiteiten en processen eenvoudig kunnen automatiseren en opschalen en Tanium is de enige technologie die dat betrouwbaar en veerkrachtig kan doen voor alle bedrijfsmiddelen met één enkel platform. Tanium biedt direct inzicht in de IT-infrastructuur, waardoor bewaking en detectie van bedreigingen in realtime mogelijk zijn. De uitgebreide controlemogelijkheden zorgen voor een efficiënt beheer van bedrijfsmiddelen, configuraties en kwetsbaarheden. De ongeëvenaarde schaalbaarheid zorgt voor een naadloze uitbreiding in verschillende omgevingen. De ongeëvenaarde snelheid van Tanium maakt een snelle reactie op beveiligingsincidenten en compliance-eisen mogelijk. De platformtechnologie en meerdere integraties met gevestigde leveranciers zorgen voor gestroomlijnde procesoperaties. Door samen te werken met Tanium krijgen financiële dienstverleners een allesomvattende oplossing die hun compliance-behoeften aanpakt met efficiëntie, flexibiliteit en verbeterde beveiliging.
Wilt u meer informatie over het Tanium portfolio of wenst u een offerte? Neem dan contact op met Exclusive Networks om te sparren over hoe Tanium u kan helpen om maximale waarde uit uw ServiceNow-investering te halen. Bel of mail Exclusive Networks via +31 (0)499 462121 of info@exclusive-networks.nl
