CyberCERT - Smart Certificering Cybersecurity (2014)
Voor informatie/toelichting: info@cybercert.nl

November 2013



Onvoldoende aandacht voor cybersecurity kan een behoorlijke impact hebben. Niet alleen voor het bedrijf zelf, maar ook voor klanten en relaties, alsook een soms aanzienlijke maatschappelijke impact. Meer aandacht voor cybersecurity risico's is dan ook niet verkeerd. Ook vanuit de overheid en brancheorganisaties wordt het belang van maatregelen benadrukt. Voorbeelden zijn de 'ICT-beveiligingsrichtlijnen voor webapplicaties' of de 'Handreiking Cybercrime' van het Nationaal Cyber Security Center (NCSC, voorheen GovCert). Bedrijven hebben veelal ook al wel maatregelen getroffen. Maar wanneer heeft u voldoende maatregelen getroffen? Producten en oplossingen voor een betere cybersecurity zijn er wel, maar voor welke probleem bieden die dan een oplossing? Ook zijn de vele oplossingen voor en adviezen over cybersecurity niet goed met elkaar te vergelijken zijn. Richtlijnen en handreikingen zijn er wel, maar deze zijn te algemeen, te weinig concreet en te vrijblijvend. Daarbij komt dat cybersecurity-risico's dynamisch zijn en maatregelen die gisteren en vandaag goed genoeg waren, kunnen morgen zo lek als een mandje zijn.

Al met al is er sprake van een onoverzichtelijke situatie, waarbij er wel sprak is van genomen maatregelen, maar waarbij onduidelijk is in welke mate de getroffen maatregelen ook daadwerkelijk effectief zijn. Er is daardoor ook geen stimulans om meer te doen. Immers wat moet ik dan doen? Doe ik dan wel voldoende? En vooral waarom zou ik (nog meer) investeren in maatregelen waarvan het effect onduidelijk is!

    Met de door CyberCERT beoogde certificeringsregeling wordt een concrete en operationele basis gerealiseerd waarmee aangetoond kan worden (objectief en onafhankelijk getoetst) dat voldoende aandacht is geschonken aan de risico's van cybersecurity:
  • overheden (breder dan alleen de centrale overheid), maatschappelijke organisaties en brancheorganisaties kunnen concreet naar de certificeringsregeling verwijzen als noodzakelijk (minimum) niveau voor bedrijven en organisaties om aan te voldoen;
  • bedrijven en organisaties kunnen die maatregelen treffen die passen bij hun eigen bedrijfsvoering en middels de certificering aantonen dat hun maatregelen ook voldoende zijn.