In veel organisaties wordt cybersecurity nog steeds gezien als een technisch domein. Iets dat eigendom is van IT, gedreven wordt door tools en enkel wordt aangepakt wanneer nodig. Maar onder NIS2 volstaat die visie niet langer.
In ons vorige artikel over GRC in België en hoe organisaties controle behouden, gingen we dieper in op hoe bedrijven omgaan met een steeds complexer regelgevend en dreigingslandschap. Eén conclusie werd duidelijk: cybersecurity draait niet langer alleen om bescherming; het is een kwestie van governance geworden.
Om dit concreet te maken, delen we NIS2 op in zes kernpijlers die samen een veerkrachtige cybersecuritystrategie vormen:
Elke pijler speelt een cruciale rol in het versterken van de weerbaarheid van organisaties.
Dit artikel focust op IDENTIFY, de pijler die de zichtbaarheid biedt die nodig is om elke andere beveiligingsbeslissing zinvol te maken.
En binnen die zichtbaarheid speelt één element een centrale rol: identiteit. Want uiteindelijk gaat het bij het begrijpen van je omgeving niet alleen om systemen en data, maar om weten wie en wat ermee interageert.
Table of contents: |
Voordat een organisatie kan beschermen, detecteren of reageren, moet ze eerst haar omgeving begrijpen.
IDENTIFY is de functie die een complexe, vaak gefragmenteerde omgeving omzet in een gestructureerd en bruikbaar overzicht.
Ze beantwoordt fundamentele vragen zoals:
Zonder duidelijke antwoorden op deze vragen blijft cybersecurity gebaseerd op aannames in plaats van feiten.
👉 Je kan niet beschermen wat je niet begrijpt.
Wanneer organisaties aan IDENTIFY denken, ligt de focus vaak op assets: servers, applicaties, data en infrastructuur.
Maar er is een tweede dimensie die minstens even belangrijk is: identiteit.
Elke interactie binnen je omgeving is gekoppeld aan een identiteit:
IDENTIFY brengt dus niet alleen in kaart wat er bestaat, maar ook wie en wat ermee interageert.
Dit maakt identiteit een cruciale laag in het opbouwen van een volledig en accuraat beeld van je organisatie.
👉 Zichtbaarheid draait niet alleen om assets, maar om toegang.
Een van de belangrijkste veranderingen onder NIS2 is de uitbreiding van de scope.
IDENTIFY beperkt zich niet langer tot traditionele IT-omgevingen, maar omvat ook:
Daarnaast overstijgt het ook organisatorische en geografische grenzen.
Gedeelde platformen, internationale tenants en uitbestede diensten brengen afhankelijkheden met zich mee die in kaart moeten worden gebracht.
Dit omvat onder andere:
Vanuit risicoperspectief is eigenaarschap minder belangrijk dan impact.
👉 Als het je continuïteit kan beïnvloeden, hoort het binnen je scope.
IDENTIFY gaat verder dan het opstellen van een inventaris.
Het draait om het omzetten van informatie in inzicht.
Dit betekent:
Ook hier speelt identiteit een sleutelrol.
Risico’s hangen namelijk niet alleen samen met systemen, maar ook met hoe toegang wordt verleend, gebruikt en beheerd.
👉 Door asset-zichtbaarheid te combineren met inzicht in identiteit, evolueren organisaties van versnipperde kennis naar een gestructureerd, risicogebaseerd beeld.
Om deze zichtbaarheid te structureren en bruikbaar te maken, is IDENTIFY opgebouwd rond vijf onderling verbonden domeinen.
Deze domeinen brengen niet alleen assets en risico’s in kaart, maar bepalen ook hoe identiteiten en toegangsrechten worden begrepen binnen de organisatie.
Organisaties moeten een volledig overzicht hebben van hun assets: hardware, software, data, gebruikers, cloudplatformen, OT-componenten en externe systemen.
Dit gaat verder dan een eenvoudige lijst. Het omvat ook het in kaart brengen van interacties, afhankelijkheden en kritieke elementen.
Zonder deze basis wordt elke beveiligingsbeslissing giswerk.
IDENTIFY bepaalt ook hoe cybersecurity binnen de organisatie is georganiseerd.
Dit omvat beleid, verantwoordelijkheden en de vertaling van regelgeving naar dagelijkse werking.
Duidelijke governance voorkomt onduidelijkheid en zorgt voor consistente toepassing van beveiliging.
Risicoanalyse geeft context aan zichtbaarheid.
Door dreigingen, kwetsbaarheden, impact en waarschijnlijkheid te analyseren, krijgen organisaties inzicht in waar de echte risico’s zich bevinden.
Zo kunnen inspanningen gericht worden ingezet.
Na het identificeren van risico’s moeten organisaties bepalen hoe ze ermee omgaan.
Dit omvat het definiëren van risicobereidheid, prioriteiten stellen en risicogebaseerde beslissingen integreren in de werking.
Een duidelijke strategie zorgt voor afstemming tussen technische maatregelen en bedrijfsdoelstellingen.
Moderne organisaties zijn sterk afhankelijk van externe partijen.
IDENTIFY kijkt daarom ook naar het bredere ecosysteem.
Want uiteindelijk is je beveiliging maar zo sterk als de zwakste schakel in je keten.
In de praktijk hebben veel organisaties moeite met de IDENTIFY-pijler.
Typische uitdagingen zijn:
Deze hiaten maken het moeilijk om prioriteiten te stellen en vergroten de kans op blinde vlekken.
👉 In cybersecurity zijn blinde vlekken de plaatsen waar risico’s zich opstapelen.
Een sterke IDENTIFY-functie zorgt voor duidelijkheid, structuur en richting.
Organisaties die klaar zijn voor NIS2:
Zo creëren ze een fundament dat alle andere cybersecurityfuncties ondersteunt.
👉 Wanneer zichtbaarheid helder is, worden beslissingen eenvoudiger en effectiever.
In essentie draait IDENTIFY om duidelijkheid: Niet alleen weten wat er bestaat, maar begrijpen hoe alles met elkaar verbonden is; van assets en systemen tot identiteiten en toegang.
In een landschap dat gekenmerkt wordt door complexiteit en afhankelijkheden volstaan aannames niet langer.
De organisaties die slagen, zijn niet degene met de meeste tools, maar degene met het duidelijkste inzicht in hun omgeving.
Die duidelijkheid maakt van cybersecurity geen reactieve inspanning, maar een gecontroleerde strategie.
⏭️ Volgende stap: PROTECTAls IDENTIFY zorgt voor inzicht in je assets, identiteiten en afhankelijkheden, dan is PROTECT de fase waarin je die inzichten omzet in concrete maatregelen. In ons volgende GRC-artikel bekijken we hoe je je beveiliging versterkt via onder andere toegangscontrole, endpoint security en netwerksegmentatie. Want zodra je weet wat belangrijk is, moet je ervoor zorgen dat het ook effectief beschermd wordt. |
Bij Easi helpen we organisaties om te evolueren van beperkte zichtbaarheid naar een gestructureerd en volledig inzicht in hun omgeving.
Dit omvat:
Zichtbaarheid is slechts de eerste stap.
Het omzetten ervan in actie zorgt voor echte weerbaarheid.
👉 Ontdek meer over onze GRC-diensten, inclusief NIS2:
https://easi.net/nl/services/security/governance-risk-and-compliance.
👉 Plan een 60-minuten NIS2 scope-check:
https://easi.net/nl/services/security/governance-risk-and-compliance/NIS2-scope-check