NIS2 centraal thema tijdens ronde-tafel-bijeenkomst van Cohesity en Dutch IT Channel

Cohesity is specialist in backup en recovery. Maar het ziet zichzelf daarnaast vooral als onderdeel van het grotere geheel dat cybersecurity heet. En dus was het niet meer dan logisch dat Cohesitiy met Dutch IT Channel een ronde-tafel-bijeenkomst over security organiseerde.

Aan tafel zaten securityexperts van toonaangevende partijen in het Nederlandse IT-kanaal, zowel leveranciers, distributeurs als verschillende soorten IT-partners. Meerdere daarvan zou je als directe concurrent van elkaar kunnen zien, maar dat was op geen enkele manier merkbaar. Juist als het om security gaat is het belangrijk om samen te werken. Tijdens het introductierondje zei iemand al: “Security is een gezamenlijk probleem. Het is echt een varkentje dat we samen moeten wassen. Er zijn veel klanten die met meerdere partners samenwerken, voor verschillende aspecten van de totale securitypuzzel.” De Engelse term coopetition, een samenvoeging van cooperation (samenwerken) en competition (concurrentie), is volgens hem goed van toepassing.

Alles geregeld?

De discussie, onder leiding van moderator Danny Frietman, spitste zich eerst vooral toe op de rol van de eindgebruiker. Die is namelijk cruciaal. Iemand zei: “Criminelen zoeken de zwakste plek op en dat is toch nog altijd de mens.” De algemene opinie was dat de bewustwording bij eindgebruikers stijgt, maar dat er ook nog stappen te maken zijn. Het feit dat eindgebruikers te maken krijgen met beperkingen en minder rechten, zorgt bijvoorbeeld vaak voor weerstand. Dat geldt ook voor de invoering van two-factor-authentication. Het is aan de IT-partner om klanten goed voor te lichten over het belang van dat soort maatregelen.

Klanten hebben vaak een te positief beeld van hoe goed ze alles op securitygebied geregeld hebben, zo zeiden meerdere deelnemers. Dat geldt zeker voor bedrijven die gebruik maken van de public cloud. Goede voorlichting van een partner over waar de verantwoordelijkheden precies liggen is daarbij van groot belang. Klanten moeten hun security ook goed blijven testen. Ook bedrijven met een complexe securityomgeving doen dat niet altijd vaak genoeg. Updates worden ook niet altijd uitgevoerd. Het is voor partners belangrijk om klanten duidelijk op te wijzen.

Er werd nog even kort ingegaan op de krapte op de arbeidsmarkt en hoe de IT-bedrijven daar mee te maken hebben. Iemand gaf nadrukkelijk de tip om op het gebied van security niet alleen naar HBO’ers, maar ook naar MBO’ers te kijken. “Ze hebben in de beginfase gemiddeld gezien wat meer begeleiding nodig, maar over het algemeen zijn ze ook meer betrokken bij het bedrijf en blijven ze langer in de organisatie. HBO’ers zijn zelfstandiger, maar zijn ook veel sneller weer weg.”

NIS2

Halverwege de avond bracht Danny Frietman NIS2 ter sprake, maar de term was toen al meerdere keren gevallen. Al in het voorstelrondje stipte meerdere deelnemers het aan, omdat het de laatste tijd vaak op tafel komt bij de gesprekken die worden gevoerd. Iemand trok de vergelijking met zijn boekenlijst op de middelbare school: bedrijven stellen het uit. Dat terwijl er een deadline ligt, want op 17 oktober 2024 moeten de afzonderlijke landen de richtlijn in hun nationale wetgeving opgenomen hebben. Het is dus belangrijk dat partners hun klanten daarop wijzen, aangezien veel bedrijven direct of indirect onder NIS2 gaan vallen.

De deelnemers waren overwegend positief over de introductie van de richtlijn. “NIS2, maar ook DORA (Digital Operational Resilience Act, red.) kan er voor zorgen dat de CISO’s bij bedrijven écht op het C-level komen te zitten”, gaf iemand aan. Een ander zei: “Ik ben normaal gesproken geen voorstander van te veel regelgeving vanuit de overheid, maar NIS2 is een goede stap.” Vooral ook, zo voegde iemand toe, omdat het naar de hele keten kijkt. “Veel bedrijven die niet rechtstreeks onder NIS2 vallen, krijgen er vanwege een ketenparter wel indirect mee te maken. Dat is goed, want cybercriminelen zoeken naar de zwakste schakel in een keten.”

Belonen

De richtlijn is wel behoorlijk onduidelijk, zo vonden veel deelnemers. En de informatievoorziening vanuit de overheid schiet momenteel tekort en juist dat zorgt ervoor dat bedrijven nog niet doorhebben wat er precies moet gebeuren. Iemand zei ook: “Zoals vaker voor security geldt, is het lastig te vertalen in waarde voor de business. Security wordt nog altijd vaak gezien als een vervelende kostenpost en dat geldt zeker ook voor NIS2. Ik snap goed dat klanten de relevantie nog niet zien, maar het wordt binnenkort wel over ze uitgestort.” Het is aan partners om ze daarbij te helpen, door de juiste focus aan te brengen, zo werd gezegd. Het zou ook goed zijn als de overheid naast de NIS2-richtlijn ook meer investeert in het stimuleren en belonen van goede security, vond iemand. “Er moet een incentive zijn.”

De belangrijke rol die partners hebben werd tot slot nogmaals aangestipt. Het is niet gek dat klanten zich focussen op hun corebusiness en dat security geen topprioriteit heeft. Het is belangrijk dat partners hun klanten helpen door security holistisch te benaderen. Dat moet gebeuren zonder veel over producten en techniek te praten. Partners moeten de aanwezige kwetsbaarheden in kaart brengen en zonder bangmakerij uitleg geven over bedrijfsrisico’s en kansen.

Na ongeveer twee uur werd de ronde-tafel-sessie afgerond. De aanwezigen namen nog een kop koffie en praten nog een behoorlijke tijd na over security, maar ook over onderwerpen zoals voetbal. Zowel Cohesity als Dutch IT Channel keken terug op een zeer waardevolle avond.

Bekijk ook de video: Dutch IT Channel & Cohesity security round table in beeld

Door: Johan van Leeuwen