Wat is de succesformule van het CYRA-model?

22 oktober 2024

Samenwerking met het CCV versterkt de positie en de kansen

In anderhalf jaar is Cyber Rating, kortweg CYRA, een begrip geworden binnen ondernemend Nederland. In het voorjaar van 2023, was de allereerste audit. Sindsdien heeft het CYRA-model zich bewezen als een handige en praktische tool voor het inzicht bieden in de mate van cyberweerbaarheid van een onderneming en de processen die daarbij een rol spelen.

Eerder dit jaar sloot CYRA een samenwerkingsconvenant met het Centrum voor Criminaliteitspreventie en Veiligheid (het CCV). Dit moet ervoor zorgen dat de systematiek en het succes van het model verder wordt geborgd en zorgen dat CYRA de breed gedragen open standaard is voor cyberveiligheid.

CYRA helpt ondernemers hun cyberweerbaarheid stap voor stap te verbeteren. Het CYRA-model is ontwikkeld door het Cyber Weerbaarheidscentrum Brainport (CWB), samen met TÜV-NORD en is hierbij ondersteund door grote multinationals.

Vanaf de start in 2023 is het model breed omarmd en nemen samenwerkingsverbanden, brancheorganisaties en CERT’s deel. Voor de snelle acceptatie en groei van CYRA is een aantal redenen aan te wijzen. Een van de belangrijkste is de keuze om het model te baseren op de systematiek van het erkende ISO 27001 certificeringsmodel. Deze is alom geaccepteerd, is objectief en wordt voortdurend doorontwikkeld.

Het CYRA-model omvat een viertal stappen of programma’s, elk met drie niveaus. Door aan te sluiten bij de ISO 27001 ontstaat een potentieel groeipad. De keuze voor de ISO is niet alleen een inhoudelijke, er is een trend zichtbaar dat ondernemers best bereid zijn te investeren in cyberweerbaarheid maar dan wel op basis van transparante en algemeen geaccepteerde standaarden.

Self-assessment

Voor veel ondernemers is de beslissing om meteen voor ISO 27001-certificering te gaan, een te grote stap. De samenwerkende partijen achter CYRA hebben daarom een programma-opzet ontwikkeld waarmee cyberweerbaarheid stapsgewijs kan worden verbeterd. De basis van het programma is het self-assessment. Dat is tevens de tweede reden voor de brede acceptatie van CYRA.

Een ondernemer kan zelf toetsen waar hij staat en waar hij heen wil. Hij zit daarbij zelf aan het stuur. Via een online assessment portaal dat praktisch en bruikbaar is, kan de gebruiker in begrijpelijk Nederlands inzicht krijgen in waar hij staat en hoe hij kan groeien. Met het CYRA-model kunnen ondernemers kiezen voor een programma of niveau dat aansluit bij de risico’s die hun onderneming loopt en de positie die het bedrijf in de leveranciersketen heeft.

CYRA biedt als optie de mogelijkheid om het ingevulde self-assessment onafhankelijk te toetsen en certificeren zodat de ondernemer aan zijn opdrachtgevers kan tonen welke cyberweerbaarheidsmaatregelen zijn getroffen. Deze onafhankelijke ‘bewijsvoering’ wordt door steeds meer opdrachtgevers gevraagd, zeker ook door de komst van NIS2.

Tenslotte is de snelle acceptatie van CYRA te verklaren door de Europese aankondiging van maatregelen voor cyberveiligheid en -weerbaarheid, bekend als de NIS2-richtlijn. Deze richtlijn wordt momenteel vertaald naar de Nederlandse Cyberbeveiligingswet. Het heeft nog tijd nodig voor alle implicaties van deze nieuwe wet uitgekristalliseerd zijn. Veel bedrijven wachten daar niet op en zetten nu al de eerste stappen, omdat zij zien dat cyberweerbaarheid voor henzelf nodig is, maar ook voor binnen de keten. Vanuit de overheid wordt dit ook sterk door het Digital Trust Center geadviseerd. Met name omdat in de NIS2-richtlijn een zorgplicht is voorzien, gebaseerd op ketenverantwoordelijkheid.

Deze zorgplicht verplicht bedrijven om een risico-inventarisatie uit te voeren en daaruit voortvloeiende maatregelen te treffen. Leveranciers zijn vaak in meerdere ketens vertegenwoordigd. Veel bedrijven zien CYRA als stevige methodiek voor een uniforme nulmeting en een praktisch stappenplan naar een goede cyberveiligheid. Aan zo’n uniforme standaard heeft het bedrijfsleven grote behoefte. Daarmee kan immers worden voorkomen dat bedrijven in verschillende ketens aan verschillende eisen moeten voldoen, omdat een opdrachtgever of een verzekeraar dat heeft bepaald. De samenwerkende partijen in CYRA en het CCV zetten zich daar krachtig voor in.

Het CCV maakt CYRA robuuster

Elke bedrijfssector heeft zijn specifieke eigenheden. De bankensector kent andere cyberveiligheidsuitdagingen dan bedrijven die betrokken zijn bij kritieke infrastructuur zoals havens of spoor. Leveranciers krijgen in elke keten met afwijkende eisen te maken. Omdat een van de doelen van CYRA is om voor alle bedrijfssectoren toegankelijk te zijn, is de samenwerking met het CCV gezocht. Het CCV is een onafhankelijk centrum met een lang track record en breed draagvlak op het gebied van het borgen van standaarden.

Het CCV staat in direct contact met vele belanghebbenden in uiteenlopende sectoren en heeft daardoor makkelijk toegang tot vakinhoudelijke experts. Het centrum is schemabeheerder van diverse keurmerken. Door de CYRA methodiek op te zetten als CCV-keurmerk wordt CYRA nog robuuster, toekomstbestendiger en breder toepasbaar. Zo wordt binnen de samenwerking een model ontwikkeld dat naast het huidige CYRA-model – dat zicht focust op IT (informatie technologie) ‑ zich richt op OT (operationele technologie) met de synergetische voordelen van een CYRA-programma.

Rules en principals

Cyberveiligheid staat, ook internationaal, in het middelpunt van de belangstelling. Toch is het nog voor veel bedrijven onduidelijk hoe en waarmee ze moeten beginnen. Een goed startpunt hiervoor is de door het CCV en Digital Trust Center ontwikkelde Risicoklassenindeling Digitale Veiligheid. Aan de hand van negen vragen krijgen ondernemers een indicatie van hun risico.

Ondernemers die een relatief laag risico lopen (risicoklasse 1 of 2) ontvangen een overzicht van te nemen concrete maatregelen. Wanneer een organisatie binnen de hogere risicoklassen (3 of 4) valt of al enkele stappen heeft gezet om cyberweerbaar te worden dan past het CYRA model beter omdat CYRA minder met strikte regels werkt en meer met sturende principes.

Omdat de basis wordt gevormd door ISO 27001 biedt de CYRA-methodiek ook internationaal kansen. Zeker als de grotere internationaal actieve bedrijven in Nederland ermee aan de slag gaan. De internationale eisen zullen komende jaren, gelijk opgaand met de toename van dreigingen, uitgebreider en strikter worden. CYRA zal hierin meegroeien. Het is de rol van het CCV om in samenspraak met de belanghebbende partijen te zorgen dat het CCV-keurmerk CYRA blijvend voorziet in de voortschrijdende behoefte van de markt.

Nieuws

17 juni 2025

Kiwa Nederland: tweede certificerende instelling voor het CCV Keurmerk Awareness Training

16 juni 2025

Aandacht voor cyberweerbaarheid in onderwijs

13 juni 2025

Wierden start met buurtbemiddeling

Wil jij als eerste op de hoogte zijn van nieuwe tools, webdossiers en bijeenkomsten over criminaliteitspreventie?