Cyberverzekeringen en NIS2: Waarom Privileged Access Management essentieel is
24 november 2024
Volgens een recent rapport van Microsoft worden er dagelijks ongeveer 600 miljoen cyberaanvallen uitgevoerd, wat neerkomt op ca. 7.000 aanvallen per seconde. Dit is bijna een verdubbeling ten opzichte van vorig jaar, toen het aantal aanvallen nog op 345 miljoen per dag stond. Volgens datalekt zijn er al meer dan 65 bekende datalekken in Nederland geregistreerd dit jaar, wat het topje van de ijsberg is van het totaal.
Organisaties van alle groottes worden geconfronteerd met toenemende dreigingen, wat de noodzaak van cybersecuritymaatregelen voor iedere organisatie benadrukt. Een van de belangrijkste aspecten van een effectief cybersecurityprogramma is het verkrijgen en behouden van een cyberverzekering. Wat veel organisaties zich niet realiseren, is dat Privileged Access Management (PAM) een cruciale rol speelt in zowel het verkrijgen van deze verzekeringen als het voldoen aan de NIS2-richtlijn. In dit artikel gaan we in op de rol van cyberverzekeringen en waarom PAM een essentiële component is voor zowel de verzekering als NIS2.
De rol van cyberverzekeringen
Cyberverzekeringen zijn er om organisaties te helpen met het herstellen van financiële gevolgen van cyberaanvallen. Ze bieden dekking voor kosten zoals gegevensherstel, juridische kosten, en schadeclaims.
Verzekeringsmaatschappijen worden steeds strenger in hun eisen. Ze willen er zeker van zijn dat organisaties proactieve maatregelen nemen om hun beveiliging te versterken. En hier komt PAM om de hoek kijken.
Waarom PAM essentieel is voor cyberverzekeringen
- Bescherming tegen identiteits- en privilege schendingen: Identiteits- en privilege schendingen vormen 47% van de aanvallen die leiden tot verzekeringsclaims. PAM helpt bij het beheren en beveiligen van privileged accounts, waardoor de kans op dergelijke schendingen aanzienlijk wordt verminderd.
- Voldoen aan verzekeringsvereisten: Meer dan 40% van de verzekeringsmaatschappijen vereist autorisatiecontroles en het principe van ‘least privilege’ voordat ze een polis verstrekken. Dit betekent dat organisaties moeten aantonen dat ze strikte toegangscontroles hebben om in aanmerking te komen voor een verzekering.
- Investeren in identity security: In Amerika moeten organisaties investeren in identity securityoplossingen voordat ze een cyberverzekering kunnen verkrijgen. Dit toont aan dat verzekeraars verwachten dat organisaties proactief maatregelen nemen om hun securitypositie te versterken. In Nederland speelt dit ook al met het ‘afdwingen’ van Endpoint Detection & Response (EDR) oplossingen.
- Premieverlaging: De helft van de Amerikaanse organisaties gebruikt AI-ondersteunde threatdetectie en monitoring om hun cyberverzekeringspremies te verlagen. AI helpt bij het snel opsporen en reageren op bedreigingen, waardoor de risico’s en de verzekeringskosten afnemen. In Europa stijgen de kosten fors – jaar op jaar – en worden de regels ook steeds strenger. Je krijgt de beste ‘deal’ door je zaken op orde te hebben voordat je de dialoog met de verzekeringsmaatschappij begint.
NIS2 en de noodzaak van PAM
Naast de eisen van verzekeringsmaatschappijen, is er ook de NIS2-richtlijn (Network and Information Security), die in de Europese Unie (EU) in oktober 2024 van kracht is gegaan. De verwachting is dat de nationale wetgeving; de Cyberbeveiligingswet (Cbw/NIS2) in het derde kwartaal van 2025 in Nederland in werking zal treden.
Deze richtlijn stelt strengere beveiligingsvereisten voor netwerken en informatiesystemen in de EU. PAM speelt een cruciale rol in het voldoen aan deze richtlijn:
- Bescherming van privileged gebruikers: PAM richt zich specifiek op het beschermen van toegang voor gebruikers met uitgebreide rechten, de zogenaamde privileged gebruikers. Deze gebruikers zijn vaak doelwitten van cyberaanvallen vanwege hun uitgebreide toegang en controle.
- Naleving van securityvereisten: De NIS2-richtlijn stelt strengere securityvereisten en controles in, waaronder het beheer van privileged toegang. PAM-oplossingen helpen organisaties om te voldoen aan deze vereisten door uitgebreide zichtbaarheid en controle te bieden over privileged toegang tot netwerken en informatiesystemen.
- Incidentrespons en crisisbeheer: NIS2 vereist verbeterde incidentrespons- en crisisbeheerprocedures. PAM-oplossingen kunnen helpen bij het detecteren van inbreuken en het coördineren van een effectieve reactie, wat essentieel is voor het minimaliseren van de impact van cyberincidenten.
Conclusie
Het is duidelijk dat PAM niet alleen essentieel is voor het verkrijgen en behouden van cyberverzekeringen, maar ook voor het voldoen aan de NIS2-richtlijn. Door te investeren in PAM-oplossingen kunnen organisaties hun beveiligingspositie versterken, voldoen aan wettelijke vereisten, en hun risico’s op cyberaanvallen verminderen.
Voor meer gedetailleerde aanbevelingen en om je privileged access risico’s te evalueren en te verminderen, kun je via Access42 een uitgebreide checklist – de Cyber Insurance Assessment Readiness checklist – aanvragen. Stuur een mail naar sales@access42.nl, een beller is sneller via: 088 0002000.