Voldoe aan de Wwke in 4 etappes

Geef een reactie

De Wet weerbaarheid kritieke entiteiten (Wwke) verplicht organisaties in vitale sectoren om risico’s breed te analyseren, weerbaarheid te versterken en continuïteit te borgen. Dat betekent: geen focus op één type risico (zoals cyber), maar een All-Hazard benadering waarin alle relevante dreigingen worden onderzocht.

Een uitstekend startpunt hiervoor is de Leidraad All-Hazard Risicoanalyse – Zicht op veerkracht van de organisatie. Deze methode is praktisch, breed inzetbaar en goed te integreren in moderne managementsystemen.

Deze risicoanalyse biedt handvatten om de organisatie te versterken met een selectie van relevante internationale normen:

  • ISO 31000 (risicomanagement)
  • ISO 22301 (bedrijfscontinuïteit)
  • ISO 27001 (informatiebeveiliging)
  • ASIS SPC.1-2009 of NEN 7131 (organisational resilience)

Samen vormen deze standaarden een integraal raamwerk om aan de Wwke te voldoen én om een toekomstbestendige, veerkrachtige en weerbare organisatie te bouwen.

Weerbaarhei

Hierna volgt een aanpak in 4 etappes.

1. Start met een All-Hazard Risicoanalyse

De Wwke vraagt om een brede blik op risico’s en dreigingen:

  • technische risico’s
  • menselijke risico’s
  • ketenrisico’s
  • cyberdreigingen
  • natuurgeweld
  • pandemie
  • criminaliteit
  • terrorisme

De Leidraad All-Hazard Risicoanalyse biedt hiervoor een werkbare aanpak. De methode helpt om systematisch scenario’s uit te werken en prioriteiten te stellen. Daarmee leg je de basis voor de nodige mitigerende maatregelen voor voldoende weerbaarheid.

2. Borg bedrijfscontinuïteit met ISO 22301

Voor kritieke entiteiten is continuïteit essentieel. ISO 22301 helpt je een Business Continuity Management System (BCMS) op te zetten dat:

  • bedrijfsprocessen analyseert (BIA)
  • herstelstrategieën definieert
  • crisismanagement inricht
  • plannen test via oefeningen
  • continu verbetert via PDCA

ISO 22301 is de meest toegepaste standaard bij Wwke-implementaties omdat het:

  • integraal toepasbaar is
  • direct aansluit op verplichtingen uit de wet
  • organisatiebreed werkt

3. Bescherm informatie en systemen met ISO 27001

Voor vrijwel alle kritieke processen geldt: informatie = vitaal. ISO 27001 zorgt dat je een robuust Information Security Management System (ISMS) opzet.

Het helpt je o.a. bij:

  • beschermen van bedrijfs- en persoonsgegevens
  • beveiligen van OT/ICS- en SCADA-systemen
  • cyberrisico’s beheersen
  • incidentrespons en -melding opzetten

In de praktijk lopen continuïteit en informatiebeveiliging in elkaar over. De koppeling ISO 22301 + ISO 27001 versterkt beide domeinen.

4. Bouw weerbaarheid en veerkracht met ASIS SPC.1-2009 of NEN 7131

Waar ISO-normen vooral deelgebieden dekken, is Organizational Resilience Management System (de ASIS SPC.1-2009 of NEN 7131) een holistische aanpak. Deze omvat:

  • security
  • preparedness
  • crisismanagement
  • herstel
  • continuïteit
  • governance

Bovendien zijn deze aanpakken integreerbaar met alle ISO-normen. ISO 22301 + ISO 27001 + ASIS SPC / NEN7131 vormen samen één managementsysteem. Hiermee is alles geïntegreerd in één Wwke-compliant raamwerk.

Voordelen van deze geïntegreerde aanpak

✔ één raamwerk voor verschillende veiligheidsthema’s

✔ aantoonbare compliance

✔ hogere cyber- en fysieke veiligheid

✔ betere ketencontrole

✔ voorbereid op crisisrespons

✔ minder organisatorische silo’s

✔ hoge betrouwbaarheid en vertrouwen bij stakeholders.

15-jarig Jubileum

Geef een reactie

Spit Security Onderzoek en Advies viert 15-jarig jubileum met een donatie aan het Rode Kruis

jubileum Spit Security

In 2025 bestaat Spit Security Onderzoek en Advies 15 jaar. Een mijlpaal waar we trots op zijn — en die we niet ongemerkt voorbij laten gaan. Geen groots feest, geen slingers en champagne, maar wél een betekenisvolle actie waarmee we iets terug willen doen voor de maatschappij.

Om dit jubileumjaar te vieren, organiseren we een speciale donatieactie voor het Rode Kruis. In samenwerking met Heritage Auctions Europe veilen we een bijzondere partij juwelen, waarvan de volledige opbrengst naar het Rode Kruis gaat. Deze veiling vindt plaats op 12 september 2025 en wordt wereldwijd gepromoot.

Doe mee – deel in de feestvreugde

Wilt u samen met ons iets goeds doen en zo meedelen in de feestvreugde? Dan nodigen wij u van harte uit om ook bij te dragen. Via Heritage Auctions Europe kunt u zelf goederen aanbieden voor veiling, waarbij u ervoor kunt kiezen om de volledige opbrengst (zonder veilingkosten) te doneren aan het Rode Kruis.

Elke bijdrage, groot of klein, maakt een verschil.

Doneer direct aan het Rode Kruis.

of

Doneer via Heritage Auctions Europe.

Samen maken we van ons jubileumjaar een moment van geven.
Dank voor uw betrokkenheid!

Implementatie Wwke vertraagd: Wat betekent dit voor u?

Geef een reactie

De Europese richtlijn CER is op 17 oktober 2024 in de EU van kracht gegaan. Nederland heeft echter de omzetting in nationale wetgeving nog niet kunnen afronden. Hierdoor zal de beoogde Wet weerbaarheid kritieke entiteiten (Wwke) waarschijnlijk pas in het derde kwartaal van 2025 ingaan.

Tot de inwerkingtreding van deze wet geldt er geen directe verplichting voor organisaties. Een organisatie wordt pas na formele aanwijzing als ‘kritieke entiteit’ verplicht om te voldoen aan specifieke zorg- en meldplichten. Vanaf het moment van deze aanwijzing krijgen organisaties 10 maanden om te voldoen aan de nieuwe verplichtingen.

Wat kunt u doen ter voorbereiding op de Wwke?

Hoewel er nog geen verplichte naleving is, biedt de overgangsperiode een kans voor organisaties om zich voor te bereiden op de aankomende regels. Het uitvoeren van een All-Hazards risicoanalyse wordt aanbevolen. Deze analyze wort t.z.t. verplicht en moet periodiek worden geactualiseerd. Kwetsbaarheden kunnen door deze analyse aan het licht komen. Het adequaat adresseren van deze kwetsbaarheden kan niet snel genoeg gebeuren. Dit kan bovendien helpen om een vlotte aanpassing te verzekeren zodra de wet in werking treedt medio 2025.

Graag ondersteunen wij u bij het uitvoeren van een risicoanalyse.

Daarbij werken wij volgens de leidraad: Leidraad All-Hazard Risicoanalyse – Zicht op veerkracht van de organisatie

All-Hazards Risicoanalyse

Geef een reactie

De Wet weerbaarheid kritieke entiteiten (Wwke) schrijft het regelmatig uitvoeren van een All-Hazards Risicoanalyse voor. Daarmee zullen vitale organisaties in 2026 moeten beginnen en iedere vier jaar actualiseren.

All-Hazards Risicoanalyse terminologie

Het doel van een All-Hazard risicoanalyse is zicht krijgen op de weerbaarheid en veerkracht (resilience in het Engels) van organisaties. Het definiëren van realistische scenario’s is daarbij cruciaal. Een realistisch scenario zal namelijk de aandacht vestigen op organisatiebelangen die bescherming behoeven, bedreigingen die geadresseerd moeten worden en mitigerende maatregelen die getroffen kunnen worden.

Bovendien is een (All-Hazards) risicoanalyse een noodzakelijk onderdeel van ieder veiligheidsmanagementsysteem.

Zie hieronder de links naar de “Leidraad All-Hazard Risicoanalyse – Zicht op de weerbaarheid en veerkracht van de organisatie”. Een digitaal document op Books.Google .nl en een paper back op Lulu.com.

USMS Security Management Standard Digitale versie op Google Books – Leidraad All-Hazard Risicoanalyse

SMS RA lulu Hard copy via uitgeverij Lulu.com – Leidraad All-Hazard Risicoanalyse

Wwke, CER en NIS2 richtlijn

Geef een reactie

Professionele Ondersteuning voor de Implementatie van de Wet weerbaarheid kritieke entiteiten (Wwke)

Vanwege toenemende dreigingen is het noodzakelijk dat bedrijven hun weerbaarheid steeds aanpassen en voldoen aan de nieuwste regelgeving om hun belangen te beschermen. De recente herziening van de Europese NIS2 richtlijn legt strengere normen op en breidt het toepassingsgebied van de NIS(1) uit naar nieuwe sectoren. Daarnaast stelt de Wet weerbaarheid kritieke entiteiten (Wwke), de omzetting van de Critical Entities Resilience (CER) Richtlijn voor Nederland, eisen aan de weerbaarheid en veerkracht van bedrijven (kritieke entiteiten) die essentiële diensten verlenen. Zo worden onder andere periodieke All-Hazard risicoanalyses verplicht.

Wij bieden professionele ondersteuning bij de implementatie van zowel de Wwke als de NIS2 richtlijnen in uw bedrijf. Wij begrijpen dat elke organisatie uniek is. Daarom bieden wij op maat gemaakte oplossingen die aansluiten bij uw behoeften en uitdagingen.

Onze Diensten

  1. Gap Analyse: We beginnen met een evaluatie van uw huidige weerbaarheid (van locaties, belangrijke bedrijfsprocessen, afhankelijkheden, veiligheidssystemen en getroffen mitigerende maatregelen). Hiermee identificeren we eventuele lacunes in de naleving van de Wwke en NIS2-richtlijn.
  2. Strategische Planning: Op basis van deze bevindingen maken we in goed overleg een actieplan. Hiermee kunt u voldoen aan de vereisten van de genoemde regelgeving.
  3. Implementatie: Desgewenst kunnen wij u begeleiden bij de implementatie van het actieplan, inclusief het opstellen van een All-Hazard risicoanalyse, het kiezen van effectieve en efficiënte maatregelen, het afstemmen en bijstellen van maatregelen en het oefenen en testen van de veiligheidsorganisatie.
  4. Voortdurende Ondersteuning: Na de implementatie blijven we beschikbaar voor ondersteuning en advies. Hiermee blijft uw bedrijf anticiperen op veranderende dreigingen en regelgeving.

Met onze hulp kunt u erop vertrouwen dat uw bedrijf voldoet aan de Wwke en de NIS2 richtlijnen. Bovendien is uw organisatie beter voorbereid op toekomstige dreigingen. Neem vandaag nog contact met ons op om te bespreken hoe we u kunnen helpen.

Security Paradigma 4  

Geef een reactie

Ook in deze blog een veranderend Security Paradigma uit een artikel van Roger G. Johnston van Argonne National Laboratory, USA (zie ook Paradigma 1).

Beveiliging: mens versus systemen

Het oude paradigma zegt dat uitgebreide procedures en geavanceerde technologie de aanvallers zullen afschrikken en tegenhouden. Goed opgeleide security professionals implementeren en bedienen de opmaatgemaakte security systemen. Medewerkers laten zich door de professionals de regels voorschrijven, voeren deze uit en gaan weer aan het werk. De organisatie vertrouwt erop dat de professionals en hun systemen de risico’s voldoende mitigeren.   

Het nieuwe paradigma legt de nadruk voor goed risicomanagement bij de ingewerkte medewerkers van de organisatie (op alle niveaus). Medewerkers worden ondersteund door procedures en technologie om de organisatie veilig te houden. Zij zijn zelf verantwoordelijk voor de goede toepassing van beveiligingsmaatregelen. Het management ziet daarop toe. Zo wordt security ‘in de lijn’ opgepakt. Het ‘lijnmanagement’ is zelf verantwoordelijk voor de  security van de eigen afdeling, processen en belangen. Ook de zogenaamde eerstelijnscontrole vindt binnen de eigen afdeling of directie plaats. Security professionals adviseren, begeleiden en controleren de implementatie en uitvoering van de maatregelen. De zogenaamde tweedelijns controle kan bij deze professionals worden neergelegd of bijvoorbeeld bij een auditafdeling.

In deze benadering van Security Risk Management denkt en doet de hele organisatie mee aan risicobeheersing.      

Onderzoek naar Security Management Systemen

Geef een reactie

In 2020 hebben studenten van Safety & Security LAB van Hogeschool Saxion een onderzoek ingesteld naar Security Management Systemen. De Nationale Denktank Integrale Beveiliging (NDIB) van de VBN had hiertoe de volgende vraag geformuleerd:

Wat zijn de meest voorkomende Security Management Systemen in Nederland en op welke wijze, en met welke beweegredenen worden deze door security professionals gebruikt?

Hieronder treft u een samenvatting van hun onderzoeksrapport aan. Veel leesplezier gewenst.

Whitepaper-Onderzoek-naar-Security-Management-Systemen-door-Saxion-Download

Security Paradigma 3

2 reacties

Ook in deze blog een veranderend Security Paradigma uit een artikel van Roger G. Johnston van Argonne National Laboratory, USA (zie ook Paradigma 1).

Security Paradigma: Standaardisatie versus Creativiteit

Het oude paradigma zegt dat de kwetsbaarheidsanalyse volgens en vaste procedure en aan de hand van vastgestelde prestatie-eisen moet gebeuren. Het proces en de resultaten moeten objectief en reproduceerbaar zijn. Zo moet bijvoorbeeld een gebouwschil aantoonbaar braakwerend zijn (denk hierbij aan gecertificeerde gevelelementen met BORG-B weerstandstijden van 3, 5 of 10 minuten). Of wachtwoorden die minstens 4 verschillende soorten tekens moeten bevatten (hoofdletter, kleine letter, cijfer en leesteken) en periodiek (per maand of kwartaal) gewijzigd moeten worden. De vereiste maatregelen zijn bijvoorbeeld in security baselines vastgelegd. Daar waar de beveiliging niet aan dergelijke objectieve eisen voldoet wordt een kwetsbaarheid gesignaleerd die naar aanleiding van het te beschermen belang ook een mate van risico kan vormen. De kwetsbaarheden met de hoogste risico’s moeten vervolgens worden gerepareerd.


Het nieuwe paradigma legt de nadruk op het beschouwen van de gerealiseerde beveiliging vanuit het perspectief van de ‘aanvaller’. De kwetsbaarheidsanalyse probeert dus de zwaktes van de organisatie te identificeren die door kwaadwillenden kunnen en wellicht zullen worden misbruikt. Van de betrokken security professionals wordt daarbij vooral gevraagd of hij zich kan verplaatsen in die aanvallers. Deze professional moet daarom een actueel beeld van en voldoende inlevingsvermogen in die potentiële aanvallers hebben. Niet van één of enkele, niet van de uitzondering maar van de meest waarschijnlijke aanvallers. De professional kijkt dus naar de organisatie vanuit de ogen van de geïnteresseerde, creatieve en adaptieve kwaadwillenden en ontdekt zo reële aanvalsopties die wellicht mitigatie behoeven.
Ook bij deze, wellicht meer subjectieve en intuïtieve benadering van security kunnen vastgestelde procedures, normatieve kaders en aandachtspuntenlijsten het analyseproces ondersteunen en versterken. De nadruk ligt echter op de details van de lokale situatie die door kwaadwillenden succesvol kunnen worden misbruikt.