Duw op enter om te zoeken

GRC in België: Waarom IDENTIFY de basis vormt van cyber resilience

Author Avatar
Driek Desmet
System Engineer

In veel organisaties wordt cybersecurity nog steeds gezien als een technisch domein. Iets dat eigendom is van IT, gedreven wordt door tools en enkel wordt aangepakt wanneer nodig. Maar onder NIS2 volstaat die visie niet langer.

In ons vorige artikel over GRC in België en hoe organisaties controle behouden, gingen we dieper in op hoe bedrijven omgaan met een steeds complexer regelgevend en dreigingslandschap. Eén conclusie werd duidelijk: cybersecurity draait niet langer alleen om bescherming; het is een kwestie van governance geworden.

Om dit concreet te maken, delen we NIS2 op in zes kernpijlers die samen een veerkrachtige cybersecuritystrategie vormen:

  • Govern
  • Identify
  • Protect
  • Detect
  • Respond
  • Recover

Elke pijler speelt een cruciale rol in het versterken van de weerbaarheid van organisaties.

 NIS2 pillars - Identify (2) 

Dit artikel focust op IDENTIFY, de pijler die de zichtbaarheid biedt die nodig is om elke andere beveiligingsbeslissing zinvol te maken.

En binnen die zichtbaarheid speelt één element een centrale rol: identiteit. Want uiteindelijk gaat het bij het begrijpen van je omgeving niet alleen om systemen en data, maar om weten wie en wat ermee interageert.

1. Identify: Complexiteit omzetten in duidelijkheid

Voordat een organisatie kan beschermen, detecteren of reageren, moet ze eerst haar omgeving begrijpen.

IDENTIFY is de functie die een complexe, vaak gefragmenteerde omgeving omzet in een gestructureerd en bruikbaar overzicht.

Ze beantwoordt fundamentele vragen zoals:

  • Op welke assets vertrouwen we?
  • Waar bevinden zich onze kritieke systemen en processen?
  • Hoe stroomt data doorheen onze organisatie?
  • Welke afhankelijkheden kunnen onze werking beïnvloeden?
  • Wie (of wat) heeft toegang tot deze systemen?

Zonder duidelijke antwoorden op deze vragen blijft cybersecurity gebaseerd op aannames in plaats van feiten.

👉 Je kan niet beschermen wat je niet begrijpt.

2. Identiteit als kerncomponent van Identify

Wanneer organisaties aan IDENTIFY denken, ligt de focus vaak op assets: servers, applicaties, data en infrastructuur.

Maar er is een tweede dimensie die minstens even belangrijk is: identiteit.

Elke interactie binnen je omgeving is gekoppeld aan een identiteit:

  • Gebruikers die systemen benaderen
  • Administrators die omgevingen beheren
  • Applicaties die met elkaar communiceren
  • Geautomatiseerde processen die taken uitvoeren

IDENTIFY brengt dus niet alleen in kaart wat er bestaat, maar ook wie en wat ermee interageert.

Dit maakt identiteit een cruciale laag in het opbouwen van een volledig en accuraat beeld van je organisatie.

👉 Zichtbaarheid draait niet alleen om assets, maar om toegang.

3. Scope uitbreiden: voorbij IT en organisatorische grenzen

Een van de belangrijkste veranderingen onder NIS2 is de uitbreiding van de scope.

IDENTIFY beperkt zich niet langer tot traditionele IT-omgevingen, maar omvat ook:

  • Operationele technologie (OT)
  • Fysieke processen en faciliteiten
  • Cloudplatformen en gedeelde omgevingen
  • Externe leveranciers en partners

Daarnaast overstijgt het ook organisatorische en geografische grenzen.

Gedeelde platformen, internationale tenants en uitbestede diensten brengen afhankelijkheden met zich mee die in kaart moeten worden gebracht.

Dit omvat onder andere:

  • Grensoverschrijdende systemen en datastromen
  • Gedeelde identityplatformen tussen entiteiten
  • Externe hostingomgevingen
  • Toegang van derden tot kritieke systemen

Vanuit risicoperspectief is eigenaarschap minder belangrijk dan impact.

👉 Als het je continuïteit kan beïnvloeden, hoort het binnen je scope.

4. Van aannames naar risicogebaseerd inzicht

IDENTIFY gaat verder dan het opstellen van een inventaris.

Het draait om het omzetten van informatie in inzicht.

Dit betekent:

  • Kritieke assets en processen identificeren
  • Afhankelijkheden tussen systemen begrijpen
  • Datastromen en toegangsrechten in kaart brengen
  • Kwetsbaarheden en potentiële dreigingen analyseren

Ook hier speelt identiteit een sleutelrol.

Risico’s hangen namelijk niet alleen samen met systemen, maar ook met hoe toegang wordt verleend, gebruikt en beheerd.

👉 Door asset-zichtbaarheid te combineren met inzicht in identiteit, evolueren organisaties van versnipperde kennis naar een gestructureerd, risicogebaseerd beeld.

 

5. De vijf domeinen van IDENTIFYIdentify 5 domains

Om deze zichtbaarheid te structureren en bruikbaar te maken, is IDENTIFY opgebouwd rond vijf onderling verbonden domeinen.

Deze domeinen brengen niet alleen assets en risico’s in kaart, maar bepalen ook hoe identiteiten en toegangsrechten worden begrepen binnen de organisatie.

5.1 Asset Management (ID.AM)

Organisaties moeten een volledig overzicht hebben van hun assets: hardware, software, data, gebruikers, cloudplatformen, OT-componenten en externe systemen.

Dit gaat verder dan een eenvoudige lijst. Het omvat ook het in kaart brengen van interacties, afhankelijkheden en kritieke elementen.

Zonder deze basis wordt elke beveiligingsbeslissing giswerk.

5.2 Governance (ID.GV)

IDENTIFY bepaalt ook hoe cybersecurity binnen de organisatie is georganiseerd.

Dit omvat beleid, verantwoordelijkheden en de vertaling van regelgeving naar dagelijkse werking.

Duidelijke governance voorkomt onduidelijkheid en zorgt voor consistente toepassing van beveiliging.

5.3 Risk Assessment (ID.RA)

Risicoanalyse geeft context aan zichtbaarheid.

Door dreigingen, kwetsbaarheden, impact en waarschijnlijkheid te analyseren, krijgen organisaties inzicht in waar de echte risico’s zich bevinden.

Zo kunnen inspanningen gericht worden ingezet.

5.4 Risk Management Strategy (ID.RM)

Na het identificeren van risico’s moeten organisaties bepalen hoe ze ermee omgaan.

Dit omvat het definiëren van risicobereidheid, prioriteiten stellen en risicogebaseerde beslissingen integreren in de werking.

Een duidelijke strategie zorgt voor afstemming tussen technische maatregelen en bedrijfsdoelstellingen.

5.5 Supply Chain Risk Management (ID.SC)

Moderne organisaties zijn sterk afhankelijk van externe partijen.

IDENTIFY kijkt daarom ook naar het bredere ecosysteem.

Want uiteindelijk is je beveiliging maar zo sterk als de zwakste schakel in je keten.

6. De realiteit: waar Identify vaak tekortschiet

In de praktijk hebben veel organisaties moeite met de IDENTIFY-pijler.

Typische uitdagingen zijn:

  • Onvolledige of verouderde assetinventarissen
  • Beperkt zicht op wie toegang heeft tot wat
  • Onduidelijke afhankelijkheden tussen systemen en processen
  • Gebrek aan inzicht in risico’s binnen de supply chain
  • Geen gestructureerde aanpak voor risico-identificatie

Deze hiaten maken het moeilijk om prioriteiten te stellen en vergroten de kans op blinde vlekken.

👉 In cybersecurity zijn blinde vlekken de plaatsen waar risico’s zich opstapelen.

7. Een sterke Identify-basis opbouwen

Een sterke IDENTIFY-functie zorgt voor duidelijkheid, structuur en richting.

Organisaties die klaar zijn voor NIS2:

  • Hebben een actuele en volledige inventaris van hun assets
  • Brengen identiteiten en toegangsrechten duidelijk in kaart
  • Begrijpen afhankelijkheden tussen IT, OT en externe diensten
  • Evalueren risico’s op basis van impact en waarschijnlijkheid
  • Actualiseren continu hun inzicht naarmate de omgeving evolueert

Zo creëren ze een fundament dat alle andere cybersecurityfuncties ondersteunt.

👉 Wanneer zichtbaarheid helder is, worden beslissingen eenvoudiger en effectiever.

Duidelijkheid als fundament van security

In essentie draait IDENTIFY om duidelijkheid: Niet alleen weten wat er bestaat, maar begrijpen hoe alles met elkaar verbonden is; van assets en systemen tot identiteiten en toegang.

In een landschap dat gekenmerkt wordt door complexiteit en afhankelijkheden volstaan aannames niet langer.

De organisaties die slagen, zijn niet degene met de meeste tools, maar degene met het duidelijkste inzicht in hun omgeving.

Die duidelijkheid maakt van cybersecurity geen reactieve inspanning, maar een gecontroleerde strategie.

⏭️  Volgende stap: PROTECT 

Als IDENTIFY zorgt voor inzicht in je assets, identiteiten en afhankelijkheden, dan is PROTECT de fase waarin je die inzichten omzet in concrete maatregelen.

In ons volgende GRC-artikel bekijken we hoe je je beveiliging versterkt via onder andere toegangscontrole, endpoint security en netwerksegmentatie.

Want zodra je weet wat belangrijk is, moet je ervoor zorgen dat het ook effectief beschermd wordt.

NIS2 pillars - Protect (2)

 

 Hoe Easi jouw GRC-traject ondersteunt

Bij Easi helpen we organisaties om te evolueren van beperkte zichtbaarheid naar een gestructureerd en volledig inzicht in hun omgeving.

Dit omvat:

  • Het in kaart brengen van assets, systemen en afhankelijkheden (IT & OT)
  • Inzicht bieden in identiteiten en toegangsrechten
  • Risicoanalyses uitvoeren volgens NIS2-vereisten
  • Hiaten identificeren en duidelijke verbetertrajecten definiëren

Zichtbaarheid is slechts de eerste stap.
Het omzetten ervan in actie zorgt voor echte weerbaarheid.

👉 Ontdek meer over onze GRC-diensten, inclusief NIS2:
https://easi.net/nl/services/security/governance-risk-and-compliance.

 👉 Plan een 60-minuten NIS2 scope-check:
https://easi.net/nl/services/security/governance-risk-and-compliance/NIS2-scope-check 
GRC NIS2

Vacatures

Wij zijn voortdurend op zoek naar nieuwe collega's!

Als je onze waarden deelt en op zoek bent naar een uitdagende job in België's Best Workplace, bezoek dan onze website.

Solliciteer nu

Schrijf je in voor onze nieuwsbrief

Follow us
  

Recent posts
GRC in België: Waarom IDENTIFY de basis vormt van cyber resilience

GRC in België: Waarom IDENTIFY de basis vormt van cyber resilience

Behoud de controle over uw aankoopfacturen met de scorecard

Behoud de controle over uw aankoopfacturen met de scorecard "Factuuropvolging"

Onze Adfinity-klantenondersteuning: efficiëntie, menselijkheid en expertise ten dienste van uw ervaring

Onze Adfinity-klantenondersteuning: efficiëntie, menselijkheid en expertise ten dienste van uw ervaring

Deel dit artikel
  

Andere artikels
Lees alle blog artikels
GRC in België: Waarom IDENTIFY de basis vormt van cyber resilience

GRC in België: Waarom IDENTIFY de basis vormt van cyber resilience

In veel organisaties wordt cybersecurity nog steeds gezien als een technisch domein. Iets dat...

Lees meer
GRC in België: hoe organisaties het overzicht bewaren in een groeiend regelgevend landschap

GRC in België: hoe organisaties het overzicht bewaren in een groeiend regelgevend landschap

De voorbije jaren is digitale regelgeving in Europa in een stroomversnelling gekomen. Nieuwe kaders...

Lees meer