Hoe zet je de stap van papieren compliance naar daadwerkelijke digitale weerbaarheid? De ondersteuning van Dawn Technology is voor veel bedrijven en organisaties een eyeopener: ’Je hoeft er niet tegenop te kijken, we maken het behapbaar en houden het klein.’
‘Hoe complexer de eisen, hoe beter wij ze begrijpen’
De naderende Cyberbeveiligingswet, de Nederlandse invulling van de Europese NIS2-richtlijn, legt cyberweerbaarheid nadrukkelijk op de bestuurstafel. Voor organisaties die lang hebben afgewacht, wordt het nu urgent. ’NIS2 gaat over eigenaarschap,’ zegt Anouk van der Gracht, Director Regulatory Services bij Dawn Technology. ’Je kunt security niet doorschuiven naar je leverancier, maar als leverancier kun je ook niet achteroverleunen.’ Volgens Van der Gracht is die beweging al zichtbaar. ’NIS2-plichtige organisaties stellen steeds concretere vragen aan hun leveranciers: waar staat data, wie heeft toegang, welke software is kritisch en hoe zijn de risico’s beheerst?’ Van der Gracht signaleert dat veel partijen pas in beweging komen als de deadline dichtbij komt: ’Maar cyberweerbaarheid bouw je niet op het laatste moment. Dat moet aantoonbaar, risicogestuurd en met grip op je digitale soevereiniteit.
Security als vertrekpunt
Voor Dawn Technology is compliance geen verplichting achteraf, maar een fundamenteel onderdeel van de software-architectuur. Het bedrijf levert flexibele, toekomstbestendige softwareoplossingen en verzorgt verantwoorde AI-integratie, waarbij security en privacy by design altijd het vertrekpunt zijn. Voor onder andere de sectoren Media & Entertainment, Overheid en Zorg & Lifestyle bouwt Dawn Technology onafhankelijke bedrijfskritische systemen, zonder vast te zitten aan één partij. Van der Gracht: ’We geloven in modellen die elkaar uitdagen om steeds beter te worden. Daarom vinden we open source software ook zo interessant, die maakt je wendbaarder.’
Pragmatisch vastleggen
Vanuit Regulatory Services adviseert Van der Gracht organisaties bij het inrichten van een aantoonbaar veilige digitale infrastructuur en het borgen van IT-governance. Dan gaat het niet alleen om het structureren en verankeren van de verantwoordelijkheden (bij wie ligt de beslissingsbevoegdheid over IT, wie toetst de doelstellingen?), maar dus vooral ook om het documenteren van de IT-strategie en de risicomitigerende maatregelen. Bedrijven en organisaties kunnen daar flink tegenop zien, merkt Van der Gracht aan het begin van zo’n traject: ’Bij alle wetgeving is vaak de gedachte: het gaat allemaal om documentatie. Hoeveel extra werk gaat daar wel niet inzitten en hoe onderhouden we die taak?’ Recent werkte ze vanuit Dawn Technology voor een partij die midden in de kritieke infrastructuur zit: ’Daar hadden ze alles perfect op orde qua security. Maar we konden ze dus nog wel heel goed helpen bij het pragmatisch vastleggen zodat alles ook goed gedocumenteerd is en voldoet aan de aantoonbaarheid die de wetgeving vereist. Vaak is het een eyeopener voor onze klanten: als ik het op deze manier doe, blijft het behapbaar en kan ik het klein houden.’
Expertise
Bedrijven en organisaties adviseren en begeleiden bij het voldoen aan de regels, betekent dat je die regels ook door en door moet kennen. ’Zeker voor de medische sector ligt er een zwaar pakket aan eisen als het om security gaat. Voor medische software gelden strenge regels.’ Die wet- en regelgeving kent men bij Dawn Technology tot in detail, zegt Van der Gracht: ’Of het nou om ISO gaat, NEN of MDR: hoe complexer de eisen, hoe beter wij ze begrijpen.’ Met die expertise achter de hand probeert Dawn Technology de klant te begrijpen: ’Wat is het product of de dienst, de werkwijze? Hoe meer we weten, hoe beter we daarop kunnen aansluiten met software en compliance.
