Het beschermen en veilig houden van uw informatiesystemen (cybersecurity) is vaak een hele klus. Een kwaadwillende hacker of verongelijkte medewerker hoeft slechts één kwetsbaarheid in het systeem te misbruiken en de schade voor uw organisatie kan ongelofelijk groot zijn.
Aan u dus de taak om uw organisatie weerbaar te maken tegen aanvallen, kwetsbaarheden of andere dreigingen. In de meeste gevallen laat de wetgever dat helemaal aan u; u mag uw eigen risicoafweging maken en daaraan de volgens u benodigde maatregelen koppen. Cybersecurity wordt echter steeds meer een wettelijke verplichting, waarbij de wetgever in ieder geval bepaalt welke systemen u moet beveiligen en welk niveau van beveiliging u met cybersecurity maatregelen moet nastreven.
Cybersecurity kan onderdeel zijn van algemene regelgeving die een beveiligingsverplichting oplegt aan vrijwel iedere organisatie die persoonsgegevens verwerkt (zoals de AVG).
Cybersecurity wordt echter steeds meer een onderwerp an sich: de Telecommunicatiewet, de EU Richtlijn inzake Netwerk- en Informatiebeveiliging (NIB-Richtlijn) en de EU Verordening rondom elektronische vertrouwensdiensten (eIDAS-Verordening) zijn voorbeelden van specifieke cybersecurity wetgeving voor aangewezen sectoren of organisaties.
Wanneer u bijvoorbeeld een aanbieder bent van vitale diensten, een vertrouwensdienst of een digitaledienstverlener (cloudcomputing, online marktplaats, zoekmachines) of online platform, dal zult u de komende jaren steeds meer met cybersecurity gerelateerde wetgeving worden geconfronteerd. Hoewel een deel van deze nieuwe wetgeving nog moet worden ingevuld, kun u zich daar nu al op voorbereiden.
Een onderdeel dat in de meeste cybersecurity wetgeving terug te vinden is, is de meldplicht bij cybersecurity incidenten. Deze meldplicht kan verschillen per sector en kan verschillende organisaties betreffen bij wie de melding moet worden gedaan.
Denk bijvoorbeeld aan de Autoriteit Persoonsgegevens of de sectorale toezichthouder. In sommige gevallen moet u iets wellicht dubbel of zelfs driedubbel melden. Niet melden kan leiden tot handhaving en hoge boetes. Wij helpen organisaties wegwijs te worden in deze meldplichten en uw incident response zo in te richten dat u een incident tijdig en volledig meldt.
Wilt u de uitdaging aangaan en Responsible Disclosure als beleid invoeren in uw organisatie? Of heeft u te maken met een (ethisch) hacker die een responsible disclosure melding wil doen, maar weet u niet hoe u hiermee om moet gaan? Neem dan geen onnodige risico’s. Responsible disclosure is een middel dat u kan helpen bij het bevorderen van uw cybersecurity.
Een incident response programma bevat de handvatten voor uw medewerkers om bij ieder incident de juiste personen in de organisatie te betrekken; van legal tot communicatie, van klantenservicemedewerker tot bestuurder.
Heeft u een vraag over deze of een andere dienst? Neem dan gerust contact met ons op.
Contact Bel mij terug