Nieuws
image

Minister kondigt ontwikkeling van cyberkeurmerk voor ict-leveranciers aan

donderdag 23 februari 2023, 16:19 door Redactie, 10 reacties

Dit jaar zal er worden gestart met de ontwikkeling van een cyberkeurmerk voor ict-leveranciers, zodat mkb-bedrijven de juiste partij voor hun cybersecurity kiezen en niet bij een beunhaas uitkomen. Dat heeft minister Adriaansens van Economische Zaken bekendgemaakt. Vorig jaar nam de Tweede Kamer een door de VVD ingediende motie aan waarin de regering werd verzocht om in overleg te treden met het Digital Trust Center (DTC) en betrokken brancheorganisaties om te komen tot een eenduidig keurmerk om mkb-bedrijven beter te ondersteunen bij hun cybersecurity (pdf).

"Mkb'ers en met name het kleine mkb hebben vaak niet de kennis, kunde of capaciteit in huis om hun informatiebeveiliging zelfstandig op orde te krijgen. Ze krijgen om die reden ook vaak hulp van externe it-leveranciers die kunnen helpen bij hun cybersecuritybeleid, maar de huidige wildgroei aan it-leveranciers en keurmerken kan het heel lastig maken om goed te kunnen inschatten of iemand nou goed werk levert of dat je te maken hebt met een beunhaas", zo liet VVD-Kamerlid Rajkowski over het keurmerk weten.

"We moeten ondernemers helpen om het kaf van het koren te scheiden. Daarom wil de VVD dat er een cyberkeurmerk komt voor it-leveranciers voor het mkb, in samenwerking met het Digital Trust Center. Honderd procent veiligheid bestaat niet, dus dat willen we ook niet garanderen, maar we kunnen er wel alles aan doen om ondernemers waar mogelijk zo veel mogelijk te ondersteunen en te stimuleren om digitale deuren op slot te houden", ging ze verder tijdens een debat dat afgelopen november plaatsvond.

Minister Adriaansens van Economische Zaken liet toen weten dat ze een fan is van keurmerken. "Ik denk dat duidelijkheid, zeker in dit soort situaties, heel erg kan helpen. Het is van oudsher echter wel aan het bedrijfsleven om marktinstrumenten zoals keurmerken, labels, certificeringen en dergelijke te ontwikkelen. Maar goed, gezien de economische en veiligheidsbelangen die hier wel degelijk spelen, wil het kabinet ook zelf de ontwikkeling van dit instrumentarium stimuleren."

Vandaag meldt de minister dat er afspraken zijn gepland met de relevante partijen die reeds hebben nagedacht over een dergelijk keurmerk of kennis hebben van bestaande Nederlandse en Europese wetgeving en certificeringschema’s. Het DTC zal zich hier echter niet mee gaan bezighouden. "Aangezien een keurmerk (of certificering) een instrument is van en voor marktpartijen, is het DTC als overheidsorganisatie hier niet voor geschikt", legt Adriaansens uit.

De minister merkt op dat er in de uitwerking wordt nagedacht over twee mogelijke sporen, namelijk aan de ene kant een mkb-keurmerk voor bedrijven, gericht op de eigen digitale weerbaarheid, aan de andere kant een keurmerk voor ict-dienstverleners gericht op de cybersecurity van de ict-producten en diensten die zij aanbieden. "Op basis van de inventarisatie en consultatie met brancheorganisaties naar de behoeften in de markt, zal dit jaar worden gestart met de publiek-private ontwikkeling van het keurmerk", aldus Adriaansens.

Reacties (10)
23-02-2023, 16:29 door Anoniem
Honderd procent veiligheid bestaat niet, dus dat willen we ook niet garanderen, maar we kunnen er wel alles aan doen om ondernemers waar mogelijk zo veel mogelijk te ondersteunen en te stimuleren om digitale deuren op slot te houden"
Klinkt onschuldig, maar de digid was oorspronkelijk ook gestart als een projectje bedoeld voor slechts enkele overheid diensten zoals de belastingdienst. Kijk hoe de digid nu is gevorderd, tot iets waar je haast niet meer omheen kan wil je bij de overheid iets "regelen", dan zie je wat er met dat cyberkeurmerk ook dreigt te gebeuren. Namelijk, uit zijn verband en proporties groeien.
23-02-2023, 20:19 door Anoniem
Dus naast een ISO 27001 certificaat, een NEN 7510 certificaat, een ISAE 3402/ SOC 1 rapportage en een ISAE / SOC 2 rapportage hebben de serieuze partijen straks nog een certificaat erbij.

Daarbij biedt enkel een certificaat geen zekerheid als enkel het serverbeheer wordt uitbesteed dan kan er via het netwerk dat de klant zelf beheerd nog steeds een hack plaatsvinden.

Inzetten op educatie i.p.v. nog een nieuw keurmerk zou een betere optie zijn.
23-02-2023, 23:18 door Anoniem
En dan juist de VVD die daarmee komt, wat een k*t partij is het toch geworden.
24-02-2023, 06:16 door Anoniem
"... de huidige wildgroei aan it-leveranciers en keurmerken kan het heel lastig maken om goed te kunnen inschatten of iemand nou goed werk levert of dat je te maken hebt met een beunhaas"
[...]
Daarom wil de VVD dat er een cyberkeurmerk komt
Geweldig, de wildgroei aan keurmerken bestrijden door een keurmerk toe te voegen. Waar doet me dat aan denken? O ja, hieraan:
https://xkcd.com/927/
24-02-2023, 09:31 door Anoniem
Door Anoniem: Dus naast een ISO 27001 certificaat, een NEN 7510 certificaat, een ISAE 3402/ SOC 1 rapportage en een ISAE / SOC 2 rapportage hebben de serieuze partijen straks nog een certificaat erbij.

Daarbij biedt enkel een certificaat geen zekerheid als enkel het serverbeheer wordt uitbesteed dan kan er via het netwerk dat de klant zelf beheerd nog steeds een hack plaatsvinden.

Inzetten op educatie i.p.v. nog een nieuw keurmerk zou een betere optie zijn.

Eens, geen van deze certificaten bieden een technische beveiliging van het netwerk...
24-02-2023, 10:54 door Anoniem
Een certificaat is alleen zo goed als de auditor die de certificering doet.
Heb te vaak gezien dat een ISO 27001 auditor was die tijdens een audit vroeg om het beveiligingsbeleid van het bedrijf en deze liet zien dat ze deze hadden... de auditor skimde het document en vond het goed...
Hij keek niet of wat erin stond en of het voldeed aan de eisen van dit beleid...
Het beleid was een nutteloos document dat 8 jaar geleden was opgesteld en nooit meer naar gekeken was. Informatie was niet meer actueel en had geen enkel verband meer met de huidige werkzaamheden binnen het bedrijf.
Auditors hebben vaak dus niet de juiste kennis om de vereiste goed te beoordelen omdat ze alleen kennis van het doen van audits, maar niet van het vakgebied zelf.
Geeft goed aan waarom certificering alleen zo goed zijn als de auditor die de audit doet.
24-02-2023, 12:16 door Anoniem
https://www.cisecurity.org/cis-securesuite/pricing-and-categories/product-vendor/cis-benchmark-configuration-certification

Alsjeblieft, overheid voer dit maar in. Geen reuze tender nodig.
Deze oplossing zorgt dat het technisch ook goed geregeld is.
24-02-2023, 16:50 door Anoniem
Door Anoniem: Een certificaat is alleen zo goed als de auditor die de certificering doet.
Heb te vaak gezien dat een ISO 27001 auditor was die tijdens een audit vroeg om het beveiligingsbeleid van het bedrijf en deze liet zien dat ze deze hadden... de auditor skimde het document en vond het goed...
Hij keek niet of wat erin stond en of het voldeed aan de eisen van dit beleid...
Het beleid was een nutteloos document dat 8 jaar geleden was opgesteld en nooit meer naar gekeken was. Informatie was niet meer actueel en had geen enkel verband meer met de huidige werkzaamheden binnen het bedrijf.
Auditors hebben vaak dus niet de juiste kennis om de vereiste goed te beoordelen omdat ze alleen kennis van het doen van audits, maar niet van het vakgebied zelf.
Geeft goed aan waarom certificering alleen zo goed zijn als de auditor die de audit doet.
Ik herken dat helemaal, maar het zegt ook misschien wel iets over de personen aan de andere kant van de tafel die het in praktijk beter voor elkaar hebben dan op papier en dat de auditors dit ook wel in de gaten hebben.
Neemt niet weg dat het idee achter ISO 27001 helemaal niet zo slecht is omdat het een bewustwordingsproces in werking zet bij de bedrijven.
26-02-2023, 16:01 door Anoniem
Door Anoniem: https://www.cisecurity.org/cis-securesuite/pricing-and-categories/product-vendor/cis-benchmark-configuration-certification

Alsjeblieft, overheid voer dit maar in. Geen reuze tender nodig.
Deze oplossing zorgt dat het technisch ook goed geregeld is.

Na, veel te efficient.
Politicy moet altijd iets hebben waaraan hun vriendjes veel kunnen verdienen, bijvoorbeeld met het geven van adviezen of uitgeven van certificaten.
28-02-2023, 11:15 door Anoniem
Door Anoniem: Een certificaat is alleen zo goed als de auditor die de certificering doet.
Heb te vaak gezien dat een ISO 27001 auditor was die tijdens een audit vroeg om het beveiligingsbeleid van het bedrijf en deze liet zien dat ze deze hadden... de auditor skimde het document en vond het goed...
Hij keek niet of wat erin stond en of het voldeed aan de eisen van dit beleid...
Het beleid was een nutteloos document dat 8 jaar geleden was opgesteld en nooit meer naar gekeken was. Informatie was niet meer actueel en had geen enkel verband meer met de huidige werkzaamheden binnen het bedrijf.
Auditors hebben vaak dus niet de juiste kennis om de vereiste goed te beoordelen omdat ze alleen kennis van het doen van audits, maar niet van het vakgebied zelf.
Geeft goed aan waarom certificering alleen zo goed zijn als de auditor die de audit doet.

Heb zelf in een bedrijf gewerkt wat iso certificaat software ontwikkelde. Onder andere mijn backup document was alleen de titel met inleiding (goedgekeurd door alle management lagen gezien ik een super admin account had) en alles was in orde.

Op de vraag hoe raak kan je je iso certifcaat weer kwijt raken was het antwoord, dat heb ik nog nooit meegemaakt. Je krijgt maatregelen ter verbetering en dat kan je jaren rekken.

Daarna was hij verbaast dat we het certificaat niet wilden hebben omdat we dan met allerlei papier werk opgezadeld werden waar in de praktijk niemand wat mee doet. Die hele iso meuk is een papieren tijger.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search