Hoe Commvault helpt met NIS2 en DORA

Jakub Lewandowski (Legal Director / Global Data Governance Officer) schetst de trends die hij ziet. “We zien meer ransomware-aanvallen en andere malware-incidenten. Organisaties proberen daar zo goed mogelijk mee om te gaan. Ook wetgevers, overheden en gespecialiseerde instanties zetten duidelijke stappen en leveren zo een belangrijke bijdrage. Nieuwe wetgeving heeft niet alleen gevolgen voor organisaties, maar ook voor vendoren. De DORA (Digital Operational Resilience Act, red.) is daar een goed voorbeeld van. Voor de eerste keer worden er voorwaarden direct aan ICT-vendoren gesteld die diensten leveren aan de financiële sector.”

Weerbaarheid

Hij beschrijft een andere trend qua wetgeving. “Er zijn de laatste tijd veel aanvallen geweest die waren gericht op de toevoerketen. Daar hebben wetgevers ook naar gekeken. Organisaties worden gedwongen om zich beter te wapenen tegen dat soort aanvallen. Daarnaast zie je, als je naar DORA en NIS2 kijkt, dat organisaties niet meer alleen passende en adequate maatregelen moeten nemen, maar dat ze ook moeten kunnen bewijzen dat die maatregelen werken. Dus de oplossingen die ze gebruiken moeten goed getest worden.”

“NIS2 legt een duidelijke verantwoordelijkheid bij het C-level van organisaties”, vervolgt hij. “Ze moeten risico’s inschatten, daar de juiste maatregelen voor nemen en de implementatie overzien. Er volgen sancties als ze dat niet doen. De regels zijn een soort lens waar organisaties doorheen moeten kijken naar zowel hun IT-omgeving als hun relatie met vendoren. Partners spelen in dat spel een heel belangrijke rol als schakel tussen eindklanten en vendoren.”

Volgens Ian Wood (Senior Director Sales Engineering UK/I) gaat het bij de nieuwe wetgeving eigenlijk vooral om weerbaarheid. “De letters O en R in DORA staan voor operational resilience. Dat zijn twee woorden die ik tijdens mijn hele loopbaan belangrijk heb gevonden. Het gaat erom dat je na een aanval snel weer op de been bent. Daarvoor moet je onderkennen dat je getroffen kunt worden. Of gáát worden, eigenlijk.”

Platform

Commvault lanceerde vorig jaar Commvault Cloud, ‘powered by Metallic AI’. Wood: “Daarmee kunnen organisaties schade, risico’s en downtime verlagen en hun cyberweerbaarheid verhogen.” Naast de ijzersterke recovery capaciteiten waar Commvault bekend mee is geworden, biedt Commvault Cloud nieuwe features zoals Cleanroom Recovery, dat volgens hem uniek in de markt is. Gebruikers kunnen hun gegevens op elk gewenst moment betrouwbaar, snel en probleemloos herstellen naar een geïsoleerde cleanroom in de cloud. Wood: “Het helpt bedrijven onder meer om hun recoveryproces snel en voordelig te testen en daarmee meer cyberweerbaar te worden. Bij organisaties zit er vaak nog een kloof tussen de CIO en de CISO, zo merken we. Zowel als het gaat om incident response management als ook op het gebied van recovery capability. Cleanroom Recovery geeft channelpartners de kans om die kloof bij hun klanten te verkleinen.”

Het nieuwe platform van Commvault zit daarnaast vol met slimme AI-toepassingen. “Historisch gezien hebben we veel AI-kennis. Nu hebben we die kennis gecombineerd. Zo hebben we ‘Arlie’ gelanceerd: een AI-copiloot bij wie gebruikers terecht kunnen met vragen en verzoeken. Het grootste tekort waar organisaties mee kampen als het aankomt op security, is de schaarste van technisch personeel. Arlie biedt geautomatiseerde inzichten, toont contextgevoelige walkthroughs, doet aanbevelingen over cyberweerbaarheid en schrijft op commando code. Deze en andere AI-ondersteuningen, waaronder geautomatiseerde bedreigingsanalyses en -rapporten en zoekfuncties die automatisch helpen om gevoelige data te identificeren, zijn in de dagelijkse workflow ingebakken om menselijke fouten te verminderen en personeel met minder technische kennis toegang te bieden tot de oplossing. Wat ons betreft hebben we daarmee een van de momenteel meest waardevolle use-case van AI toegepast in Commvault Cloud: je oplossing en de toepassing daarvan weerbaar en toegankelijk maken zodat meer organisaties op het gebied van bedrijfscontinuïteit vanuit het cyberdomein niks te vrezen hebben.”

Op tijd klaar?

Zijn bedrijven klaar voor NIS2 en DORA? Lewandowski: “De nieuwe vereisten zijn niet revolutionair, ze komen niet uit het niets. Als je er in detail naar kijkt, dan zie je allemaal dingen die wij bij Commvault al jarenlang roepen. Veel organisaties, zeker financiële instellingen en IT-vendoren, hebben al heel veel procedures en hulpmiddelen op dit gebied. Het grote verschil is dat wat vroeger een kwestie was van best practices en “zachte wetgeving” nu naar het niveau van EU-wetgeving is getild. En het gaat niet alleen maar om techniek. Het perspectief is breder en betrekt ook de businesskant van organisaties erbij.”

Op tijd klaar zijn voor NIS2 is nog wel een uitdaging, zegt hij. “In België is de wetgeving verder dan in veel andere EU-lidstaten. Na de afronding van het consultatieprocess weten organisaties inmiddels min of meer wat ze te wachten staat. In Nederland is dat zeker nog niet het geval. Er is straks maar weinig tijd om alles op orde te krijgen.”

Supermarktketen

Een mooie Nederlandse businesscase waar veel genoemde onderdelen samenvielen, was die bij supermarktketen SPAR. Dat had door legacy te maken met een gefragmenteerde backup, die moeilijk te onderhouden was. Dat moest beter en efficiënter, want ook dat bedrijf beseft hoe belangrijke goed backup is.

SPAR wilde daarnaast ook dat belangrijke data veiliger en bovendien makkelijker te bereiken was. Het koos voor Commvault Cloud. SPAR beschermt nu haar eigen data en die van haar retailpartners, inclusief hun mailboxen en persoonsgegevens. Het beheer van alle backup- en herstelprocessen gebeurt vanuit één plek. Authenticatie is veiliger en IT-personeel hoeft niet langer op meerdere locaties naar gegevens te zoeken.

Geen paniek

Aan het eind van de dag keken Wood en Lewandowski tevreden terug op het event in Leuven. Lewandowski: “Ik hoop dat we bezoekers hebben kunnen meegeven dat ze niet in paniek moeten raken, maar dat ze wel aan de slag moeten met hun cyberweerbaarheid. Richt je niet op de mogelijke sancties, maar focus op wat er te verbeteren valt. Weerbaarheid en security zijn iteratieve processen waar altijd ruimte zal zijn voor verbetering.” Wood: “Je moet willen voldoen aan de regelgeving, niet om boetes te ontlopen, maar omdat het een manier is om alles zo veilig mogelijk te maken. Daar helpen we met Commvault heel graag bij.”

Door: Witold Kepinski (interview) en Johan van Leeuwen (tekst)