Technische innovaties en wetgeving, zoals NIS2, verhogen de cyberweerbaarheid. In de praktijk echter beïnvloeden organisatorische en culturele factoren de weerbaarheid van organisaties het sterkst.
Dit blijkt uit onderzoek van Stratix naar de digitale weerbaarheid van ecosystemen. De Rijksinspectie Digitale Infrastructuur (RDI) gaf opdracht tot dit onderzoek.
Cloud, digitale service-providers, software en applicaties: bedrijven en organisaties zijn afhankelijk van digitalisering. Volgens de RDI geldt dit voor de eigen bedrijfsvoering van ondernemingen. Het heeft echter ook impact op de samenwerking met vele andere partijen die nodig zijn in productieketens. Denk daarbij aan toeleveranciers, logistieke partners, brancheorganisaties en afnemers.
Nieuwe risico’s
Deze onderlinge verwevenheid biedt kansen, stelt de RDI. Maar het leidt ook tot nieuwe risico’s en maakt de impact van eventuele verstoringen nog minder voorspelbaar. Daarom liet de Rijksinspectie onderzoek doen naar de digitale weerbaarheid van ecosystemen. Dit zijn stelsels van bedrijven, netwerken, apparaten, en leveranciers die onderling verbonden en wederzijds afhankelijk zijn en die vanuit gemeenschappelijk belang digitale informatie uitwisselen.
Vier factoren
Het onderzoek laat zien dat de digitale weerbaarheid van een ecosysteem wordt beïnvloed door vier type factoren. Die zijn respectievelijk technisch, organisatorisch, cultureel en wetgevend van aard.
Van deze vier zijn vooral organisatorische en culturele factoren van belang voor een goede cyberweerbaarheid. Goede samenwerking vraagt wel het initiatief en een voortrekkersrol van een of enkele (grotere) partijen. Bovendien speelt het onderling vertrouwen een grote rol bij succesvolle samenwerking in ecosystemen. Vooral door informeel contact tussen de verschillende partijen kan dit vertrouwen worden versterkt.
Twee benaderingen cyberweerbaarheid
Het onderzoek laat zien dat er grofweg twee manieren zijn om cyberweerbaarheid binnen het ecosysteem te benaderen, hoewel veel organisaties een combinatie van beiden hanteren.
Aan de ene kant zijn er organisaties die een cultuur kennen van hoge standaarden rondom veiligheid (bijvoorbeeld de energiesector). Zij gaan op een vergelijkbare wijze om met hun cyberveiligheid en werken met een ‘zero trust’ benadering. Aan de andere kant onderscheidt het rapport ‘jongere’ sectoren. Hier werken bedrijven meer samen om weerbaarheid te verhogen. Ze maken onderling afspraken over maatregelen en kennen meer onderling vertrouwen.