De NIS2-richtlijn maakt dataherstel een bestuurskamerthema. In dit blog lees je waarom het van groot belang is dat naast IT, ook de directie zich met dataherstel gaat bemoeien.
Data protection werd jarenlang gezien als een kwestie van de IT-afdeling: backup draaien, licenties regelen, af en toe een audit. Met de komst van NIS2 verandert dat. De richtlijn legt de verantwoordelijkheid voor aantoonbare weerbaarheid expliciet bij het bestuur.
Voor veel directies betekent dat een ongemakkelijk gesprek: hoe groot is ons herstelvermogen eigenlijk, en kunnen we dat onderbouwen als de toezichthouder langskomt?
NIS2 vraagt om ‘passende en evenredige technische en organisatorische maatregelen’ om bedrijfscontinuïteit te waarborgen. Dat is bewust abstract geformuleerd, maar de vertaling naar de praktijk is concreet: je moet kunnen aantonen dat je maatregelen neemt, dat je die maatregelen test, en dat je leert van wat er niet werkt.
Concreet betekent dat voor data protection onder meer het vastleggen van herstelprocedures, het periodiek testen daarvan, het registreren van incidenten en het documenteren van verantwoordelijkheden. Niet een verzameling losse acties, maar een cyclus die je jaar in jaar uit kunt laten zien.
Onder NIS2 zijn bestuurders persoonlijk aansprakelijk voor het toezicht op cybersecurity-maatregelen. De directie moet kunnen laten zien dat ze weet hoe het ervoor staat, dat ze keuzes maakt op basis van informatie en dat ze middelen vrijmaakt om tekorten op te lossen.
| In de praktijk betekent dat dat dataherstel op de bestuursagenda hoort. Niet als technisch verslag, maar als strategisch onderwerp: wat zijn onze kritieke processen, hoe lang kunnen we zonder, en welke investeringen zijn er nodig om dat in lijn te krijgen met onze risicobereidheid? |
Die gesprekken zijn zelden makkelijk. Ze vragen om IT-taal die in de boardroom begrijpelijk is en bestuurstaal die de IT-realiteit serieus neemt.
De oude geruststelling luidde: we hebben een backup, we zijn veilig. Onder NIS2 is dat niet meer genoeg. Toezichthouders willen bewijs: wanneer heb je voor het laatst een restore getest, wat was de uitkomst, hoe is die gerapporteerd, wat is er met de bevindingen gedaan?
Aantoonbaarheid is het sleutelwoord. Niet alleen de maatregel, maar ook het bewijs dat hij werkt en dat je hem onderhoudt. Een backup-rapport uit je backup-tool is een begin. Een gedocumenteerd restore-rapport, ondertekend en gearchiveerd, is het niveau waar je naartoe wilt.
Handig: Interstellar heeft een checklist ontwikkeld om je weerbaarheid te testen. Inclusief passend advies.
Interstellar - IT navigator
De restore-test is misschien wel het meest onderschatte instrument van dit moment. Hij bewijst in één sessie drie dingen tegelijk: dat je backups werken, dat je procedure klopt en dat je team weet wat er moet gebeuren.
Als je die test twee keer per jaar doet, met een verslag dat kort maar specifiek is (systeem, datum, doorlooptijd, knelpunten, verbeteracties), bouw je in korte tijd een dossier op dat onder NIS2 aantoonbaar volstaat. En belangrijker: je weet ook echt of je kunt herstellen.
NIS2 vraagt niet alleen om herstel, maar ook om beheersing van dataverlies aan de voorkant. Microsoft Purview Data Loss Prevention helpt daarbij: het classificeert gevoelige informatie en voorkomt dat die ongewenst wordt gedeeld of verlaat.
In combinatie met een getest herstelvermogen ontstaat een compleet verhaal: classificatie bepaalt wat kritiek is, preventie voorkomt lekken, en herstel garandeert dat je na een incident verder kunt. Dat drieluik is precies het type maatregel dat een NIS2-audit overzichtelijk maakt.
Waar begin je als je dataherstel bestuurlijk wilt dichttimmeren? Een pragmatische route:
Wie al jaren met IT-audits werkt, herkent de vragen: is de backup-tool geconfigureerd, zijn de logs compleet, is er een 4-ogenprincipe? NIS2 voegt daar een laag bovenop: ken je als bestuurder de uitkomsten, en wat doe je met wat er niet werkt?
Het is niet genoeg om te zeggen: ‘IT heeft dat in beheer.’ Je zult moeten laten zien dat het gesprek over data protection op bestuursniveau plaatsvindt, dat beslissingen worden vastgelegd, en dat je als bestuur scherp hebt welke risico’s je accepteert. Dat is een volwassenheid die in veel MKB-organisaties nog moet groeien.
Deel artikel
