Ongeacht de reikwijdte van de meldplicht datalekken hoort elk datalek bij de directie thuis. Dat stelt de Cyber Security Raad, een strategisch adviesorgaan van het kabinet, naar aanleiding van berichtgeving over de verplichting voor bedrijven om digitale inbraken te melden.
Bedrijven zouden straks verplicht worden om in het geval van datalekken met ernstige gevolgen getroffen gebruikers in te lichten. Voor het voorkomen van datalekken zijn er operationele IT-standaarden, zoals ISO 27001. Deze standaarden richten zich met name op technische maatregelen in organisaties om cyber security te borgen, waardoor het voornamelijk als een IT-aangelegenheid wordt gezien.
"Maar dat is al lang niet meer genoeg. Op strategisch niveau is voor dit thema meer aandacht en samenhang nodig, zodat datalekken worden voorkomen in plaats van gemeld", stelt de Raad. Daarom moeten datalekken ook aandacht van de directie krijgen.
Omdat het aantal cyberincidenten en de impact daarvan blijven stijgen dringt de Cyber Security Raad er bij het bedrijfsleven op aan om strategische kwaliteitsnormen in te zetten om het algehele niveau van cyber security te verhogen, zowel operationeel als strategisch. Met name de nieuwe Europese standaard PAS 555 krijgt daarbij de voorkeur.
De Raad stelt dat er diverse standaarden zijn, zoals een aantal ISO-normen en good practises, die helpen bij het borgen van cyber security in organisaties. "Maar dat is op operationeel niveau en met name gericht op technische maatregelen", waarschuwt de Raad. "Effectieve cyber security kan alleen bereikt worden als de complete bedrijfsvoering gericht is op het voorkomen van cyberincidenten. Cyber security is dus niet alleen een IT-probleem."
In tegenstelling tot de operationele standaarden zou de vorig jaar gepubliceerde en uit Engeland afkomstige PAS 555 standaard al deze onderwerpen beslaan. "Daarmee is het een goede norm voor een brede aanpak van cyber security", aldus de Raad.
Deze posting is gelocked. Reageren is niet meer mogelijk.