RDI onderzoekt assetmanagement bij digitale infrastructuur
De Rijksinspectie Digitale Infrastructuur (RDI) gaat de komende maanden onderzoeken hoe bedrijven in de digitale infrastructuur met assetmanagement omgaan. Zo wordt gekeken organisaties inzicht hebben in hun vitale infrastructuur, oftewel de assets die essentieel zijn voor de levering van hun diensten. "Als je niet weet wat je hebt, kan je het ook niet beheersen", aldus de toezichthouder. Het kan dan gaan om vulnerability scans, waarmee kwetsbaarheden in systemen en applicaties kunnen worden gevonden.
Volgens de RDI lijken veel bedrijven op papier hun assetmanagement op orde te hebben, maar blijkt uit eerdere inspecties dat er vaak nog verbeterpunten zijn in de praktijk. Tijdens de inspecties wordt ook op locatie beoordeeld hoe processen en procedures daadwerkelijk worden toegepast. "Dit houdt in dat we nagaan of concrete assets, zoals firewalls, correct zijn geregistreerd. We onderzoeken niet alleen of een asset in de systemen is opgenomen, maar ook of de geregistreerde assets daadwerkelijk bestaan", legt de toezichthouder uit.
De RDI maakt gebruik van een toetsingskader gebaseerd op de best practice ISO 27001. Hierbij ligt de nadruk op verschillende elementen, zoals het beheer van bedrijfsmiddelen, beveiliging in leveranciersrelaties, systeem- en netwerkbeveiliging en het beheer van dreigingen en kwetsbaarheden. De resultaten van de inspecties worden in het eerste kwartaal van vorig jaar gedeeld en kunnen als leidraad dienen voor verdere verbetering in de sector.
Overigens, vooral de praktijk zaken, doen ze meer dan de meeste ISO27001 auditors van geaccrediteerde clubs. Die kijken alleen maar naar wat er in de norm staat en of het er is, papieren tijger audits dus.
Leuk voorzetje ook voor de CER en NIS2 richtlijnen. Waar de RDI overigens als handhaver totaal niet in het plaatje voor komt.
Overigens, vooral de praktijk zaken, doen ze meer dan de meeste ISO27001 auditors van geaccrediteerde clubs. Die kijken alleen maar naar wat er in de norm staat en of het er is, papieren tijger audits dus.
Leuk voorzetje ook voor de CER en NIS2 richtlijnen. Waar de RDI overigens als handhaver totaal niet in het plaatje voor komt.
Toezicht – Organisaties die onder de richtlijn vallen, krijgen ook verplicht toezicht. De NIS2-richtlijn schrijft voor dat een onafhankelijk toezichthouder (niet te verwarren met interbestuurlijk toezicht in het geval van medeoverheden) kijkt naar de naleving van de verplichtingen uit de richtlijn, zoals de zorg- en meldplicht. Voor de overheid wordt de Rijksinspectie Digitale Infrastructuur (RDI) aangewezen als toezichthouder. De RDI maakt voor het toezicht op NIS2 voor de overheid gebruik van bestaande verantwoordingsstructuren. Dit om mogelijke administratieve lasten van het toezicht tot een minimum te beperken.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.