CISO Vladimir Cibic van KPN over cybersecurity

Cybersecurity is het heetste hangijzer in elke IT-omgeving en elke medewerker krijgt er vrijwel dagelijks mee te maken. De Chief Information Security Officer, ofwel CISO, is de specialist van de organisatie die alle neuzen in de juiste richting moet krijgen bij het borgen van de cyberveiligheid. InfoSecurity spreekt met Vladimir Cibic die als CISO van KPN verantwoordelijk is voor het definiëren en implementeren van het securitybeleid.

De digitale evolutie maakt IT een steeds belangrijkere bouwsteen in onze maatschappij. Zonder IT werkt niets. CrowdStrike heeft dat recent meer dan ooit zichtbaar gemaakt. Het incident was weliswaar een patchfout bij de leverancier en geen hack, maar zorgde ervoor dat veel cruciale processen wereldwijd uitvielen. Vliegvelden gingen dicht, ziekenhuizen vielen stil en betaalsystemen werden ontregeld. Het was daarmee ook het moment waarop veel CIO’s met de neus op de feiten werden gedrukt: hebben we onze cybersecurity wel op orde? Wat is de impact van serviceproviders (SaaS-providers) op onze interne processen? Is Business Continuity Management goed ingeregeld? Is de infrastructuur van bedrijven goed geïnventariseerd en weten we wie er allemaal als toeleverancier of serviceprovider betrokken zijn bij de eigen IT? Allemaal vragen die moeten worden beantwoord om cybersecurity te doorgronden en managen.

Het gesprek met Vladimir Cibic maakt de rol van de CISO bij KPN duidelijk en hoe het cybersecuritybeleid wordt gedefinieerd. Vladimir: “Als CISO ben ik de raadgever op het gebied van cybersecurity voor onze Raad van Bestuur. De RvB is eindverantwoordelijk voor het hele cybersecurityproces en als CISO zorg ik ervoor dat we de organisatie zo inrichten dat iedereen weet wat van hem verwacht wordt om alles veilig te houden.”

Vier A’s

Om de securitydreigingen het hoofd te kunnen bieden, passen veel organisaties hun security-strategie aan. Ook KPN maakte zo’n verandering door, legt Vladimir uit. De operator is overgestapt van directief werken naar een samenwerkend concept, van puur aansturend naar begeleidend met als uitgangspunt: Security First! “Bij KPN hanteren we een aanpak met de vier A’s”, legt Vladimir uit. “Adaptive is het adequaat anticiperen op onzekerheden en securityrisico’s. Een cyberaanval is een zekerheid, het moment waarop het gebeurt een onzekerheid. Met Automate maken we veiligheid een onderdeel van alle bedrijfsprocessen en automatiseren we waar mogelijk. Aware staat voor het trainen van alle medewerkers op het risicobewustzijn. Bij iedereen moet security vanzelfsprekend zijn en als een automatisme in hun DNA gaan zitten. Assure zorgt ervoor dat beveiliging aantoonbaar is geïmplementeerd door regelgeving te volgen en audits te laten uitvoeren. Uiteindelijk hebben we een eigen raamwerk gebouwd dat structureel de compliance van de onderneming borgt en daarmee de bedrijfsstrategie is.”

Impact van regelgeving

Cybersecurity is topprioriteit en dat is te merken in de wet- en regelgeving. Network Information Security 2 (NIS2) is als opvolger van NIS uit 2016 landelijk actueel. NIS2 is een door de EU opgestelde richtlijn die als basis dient voor nationale wetgeving rondom cybersecurity. De Europese Unie wil hiermee het beveiligingsniveau en de cyberweerbaarheid in heel Europa versterken. Lidstaten moeten de lokale wetgeving en verordeningen nu regelen en bedrijven moeten daaraan gaan voldoen.

NIS2 beschrijft maatregelen die organisaties minimaal moeten nemen om hun digitale systemen te beveiligen, bepaalt op welke organisaties die richtlijn van toepassing is en welke consequenties non-compliance met zich meebrengt. Belangrijk is dat bestuurders van bedrijven hoofdelijk aansprakelijk worden voor het naleven daarvan. In Nederland is de NIS-richtlijn onderdeel van de Wbni, de wet beveiliging netwerk- en informatiesystemen.

Vladimir: “Als CISO moet ik ervoor zorgen dat we als KPN compliant zijn. De eindverantwoordelijkheid voor compliancy ligt dus bij de RvB, maar de CISO doet het uitvoerende werk. NIS2 gaat nu van start maar nog lang niet alle details zijn uitgekristalliseerd, zoals het sanctiebeleid. Elke EU-lidstaat bepaalt zelf hoe hij NIS implementeert, zolang men zich maar conformeert aan de richtlijn.”

Niet vrijblijvend

Sterke security was al nooit vrijblijvend, maar NIS2 heeft daarover iedere mogelijke twijfel weggenomen. NIS2 is van toepassing op een aantal organisaties, waaronder ‘essentiële organisaties’. KPN valt als leidende telecomprovider uiteraard in die groep. Maar ook kleinere bedrijven, waaronder nutsbedrijven, vervoerders, banken, zorginstellingen, beheerders van IT-diensten en overheden, kunnen door de aard van hun dienstverlening onder de regeling vallen. Een bedrijf kan dus toch aan de regelgeving moeten voldoen, zelfs als het minder dan 50 medewerkers heeft. Naar verwachting vallen uiteindelijk 10.000 bedrijven in Nederland onder de regeling, terwijl er dat nu nog 300 zijn.

De CISO moet dus ook daar alert op zijn, want boetes voor niet compliant zijn kunnen flink oplopen. Voor essentiële organisaties maximaal 10 miljard euro of 2 procent van de wereldwijde jaaromzet, voor belangrijke organisaties 7 miljoen euro of 1,4 procent van de wereldwijde jaaromzet. Daarmee is duidelijk dat het niet voldoen aan de NIS2 grote impact kan hebben op een bedrijf.

Hoofdelijk aansprakelijk

Vladimir: "Een opvallende toevoeging aan NIS2 is dat alle bestuurders persoonlijk verantwoordelijk en hoofdelijk aansprakelijk zijn voor de NIS2-compliance. Niemand kan zich verschuilen achter de beslissingen of nalatigheid van een ander. NIS2 is dus relevant voor de hele boardroom.”

Een uitbreiding op de richtlijnen is de implementatie van de zorg- en meldplicht. De zorgplicht houdt in dat de organisatie de nodige securitymaatregelen moet treffen gericht op het waarborgen van de digitale veiligheid en de continuïteit van de dienstverlening. De richtlijn spreekt van ‘passende en evenredige technische, operationele en organisatorische maatregelen’, en ook ‘rekening houdend met de stand van de techniek’.

Nieuw is dat NIS2 ook een meldplicht heeft gekregen. Wanneer organisaties te maken krijgen met een verstoring in de digitale dienstverlening, dan zijn ze verplicht deze te rapporteren bij de betreffende autoriteit. Deze meldplicht is vergelijkbaar met die in de AVG. Onder deze privacywet zijn organisaties verplicht ernstige datalekken te melden bij de Autoriteit Persoonsgegevens.