NIS2 vertaals in praktische cybersecurity maatregelen

Zo vertaal je NIS2 naar praktische cybersecurity-maatregelen

Hoe zit het met de cybersecurity van jouw organisatie? Ben jij al NIS2-compliant? Deze nieuwe Europese richtlijn moet de beveiliging van netwerken en informatiesystemen waarborgen. Maar wat betekent de richtlijn voor jou?
Deze blog geeft antwoord op die vraag en bevat praktische handvatten die je helpen de juiste maatregelen te nemen om NIS2 te implementeren. En voor wie zich nóg beter wil voorbereiden op een cyberveilige toekomst, organiseren we op 5 oktober het gratis webinar ‘NIS2 in de praktijk’.
Mark-Peter van Rijn
‘Tijdens mijn UNO carrière heb ik al veel klanten gesproken over cybersecurity. Zo’n 10 jaar geleden sprak ik hiervoor de technisch verantwoordelijken bij onze klanten, de IT-managers. Dat is echt aan het veranderen. Netwerk- en informatiebeveiliging staat tegenwoordig hoog op de agenda van de directie van zo’n beetje iedere organisatie. Het is een chefsache geworden – en terecht! Als ondernemer of bestuurder ben jij uiteindelijk verantwoordelijk en de risico’s zijn niet bepaald minder of kleiner geworden. Integendeel.’
– Mark-Peter van Rijn, directeur UNO

NIS2 in het kort

De NIS2-richtlijn is de herziene Network and Information Security directive van de EU, in Nederland ook bekend als NIB, die in 2016 is opgenomen in de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni). Deze tweede richtlijn is een aanscherping en uitbreiding van de eerste en daarmee een antwoord op de versnelde digitalisering en toenemende digitale dreigingen. Je hebt als organisatie tot 17 oktober 2024 om aan de NIS2-normen te voldoen, om zo de risico’s op cyberschade te verkleinen, je beveiliging en bedrijfscontinuïteit te waarborgen en reputatieschade te voorkomen.

Wil je meer weten? In onze vorige blog lees je alles over NIS2: wat deze nieuwe norm in cybersecurity inhoudt, wie ermee te maken krijgt en waarom de wet voor jou belangrijk is.

Welke NIS2-verplichtingen zijn er voor mij?

Het Nationaal Cyber Security Centrum (NCSC) onderscheidt drie NIS2-verplichtingen. Als organisatie heb je een zorgplicht met betrekking tot je cyberveiligheid, een meldplicht voor incidenten en sta je onder toezicht van nationale autoriteiten. Organisaties dienen echter zelf te definiëren wat specifiek voor hen de risico’s zijn en hier passende actie op te ondernemen. Het ene bedrijf is het andere niet, dus een one size fits all benadering voor cyberveiligheid en compliance aan NIS2, is helaas niet mogelijk.

Om te bepalen welke maatregelen jij moet treffen, hebben we een stappenplan ontwikkeld waarmee je grip krijgt op de cybersecurity van jouw organisatie.

Vergroot je cyberveiligheid in 4 stappen

Stap 1: de basis op orde

Voordat je inzoomt op specifieke risico’s en maatregelen, is het goed om even stil te staan bij de basis. Geen enkele organisatie kan vandaag de dag nog zonder de 8 primaire maatregelen die het NCSC heeft gedefinieerd als basisvoorwaarden voor cybersecurity. Denk aan versleuteling, multifactorauthenticatie en netwerksegmentatie. We gaan er in deze blog vanuit dat je de basis op orde hebt.

Toch een opfrisser nodig? Hier lees je de 8 basismaatregelen terug.

Stap 2: risico-analyse

Cybersecurity gaat vooral om risicobeheersing. Om de juiste maatregelen te definiëren, is het daarom van belang de risico’s in kaart te brengen. En die zijn voor iedere organisatie anders.

Bepaal wat je wil beschermen

De kern van wat je wil beschermen, is vaak data. Breng – al dan niet geautomatiseerd – in kaart welke data er is vanuit verschillende invalshoeken:

  • Hardware (servers, computers, netwerkapparatuur, telefoons, gegevensdragers);
  • Software (zowel op eigen systemen als in datacenters en SaaS);
  • Diensten (die jouw data verwerken);
  • Connectiviteit (over welke verbindingen gaat deze data?).
Je wil een zo compleet mogelijk plaatje, maar niet vastlopen in details. Focus daarom op de kroonjuwelen in jouw organisatie. Welke data en toepassingen zijn essentieel? Met welke identiteiten krijg je toegang? Welke data geeft de grootste kans op imagoschade indien er iets mee gebeurt?

Koppel hier risico’s aan met behulp van het BIV-model

Vervolgens classificeer je de data om er een risico aan te koppelen. Het BIV-model helpt hierbij. Hiermee beoordeel je hoe de informatie scoort op Beschikbaarheid, Integriteit en Vertrouwelijkheid. Raadpleeg de ISO27001 of de BIO voor een bruikbare classificatie.

Analyseer het risico en bepaal wat je ermee doet

De in kaart gebrachte risico’s analyseer je door de kans dat het risico zich voordoet af te zetten tegen de mogelijke gevolgen. Zo geef je elk risico de kwalificatie laag, middel of hoog. Voor een kwantitatieve analyse kun je hier nog een schadebedrag aan toevoegen.

UNO Risiko KwadrantAls zowel de kans als de gevolgen erg laag zijn, kun je ervoor kiezen het risico te accepteren. Andersom kun je ervoor kiezen de activiteit te stoppen als de kans en de gevolgen erg hoog zijn. Dat is natuurlijk niet altijd mogelijk, dus dan blijven er twee opties over: je draagt het risico over aan een derde partij, bijvoorbeeld door het te verzekeren, of je lost het probleem op. Dit laatste vereist, meestal in samenspraak met je IT-partner, een aanpassing in technologie, proces of beide.

Voor een dergelijke risico-analyse volstaat een eenvoudige Excellijst. Doe deze exercitie wel regelmatig, aangezien de omstandigheden aan verandering onderhevig zijn. Begin met één keer per jaar en bouw dit uit indien nodig.

Stap 3: strategische, technische en functionele maatregelen om aan NIS2 te voldoen

Zijn de risico’s eenmaal helder, dan is het zaak maatregelen te nemen. NIS2 schrijft al enkele voor, maar vooral op hoofdlijnen. Nu je precies weet waar voor jou de risico’s liggen, kun je daarnaast specifieke strategische, technische en functionele maatregelen treffen om ze te beheersen.

Strategische maatregelen

NIS2 vereist twee strategische maatregelen: de ontwikkeling van een cybersecuritybeleid en een incidentresponsbeleid. Voor beide geldt: laat het beleid nu niet als papieren tijger in een la belanden. Breng het tot leven binnen je organisatie door collega’s uit verschillende lagen te betrekken bij de totstandkoming en het onderhouden ervan.

1. Ontwikkel een cybersecuritybeleid

Valt jouw bedrijf onder de 11 essentiële of de 7 belangrijke entiteiten die NIS2 onderscheidt, dan ben je verplicht een cybersecuritybeleid op te stellen dat voldoet aan de eisen. NIS2 schrijft dit echter ook voor aan leveranciers en partners van deze entiteiten, waardoor een gedegen cybersecuritybeleid een verantwoordelijkheid is voor de gehele keten. In dit beleid definieer je de doelstellingen en richtlijnen voor informatiebeveiliging in je organisatie. Een sleutel tot succes hierbij is betrokkenheid van het management. Niet voor niets is een directiebeoordeling een belangrijk onderdeel van elke ISO-certificering.
Mark-Peter van Rijn
‘Cybersecuritybeleid dient als leidraad om gegevens te beschermen, bedrijfscontinuïteit te waarborgen en het vertrouwen van alle belanghebbenden te behouden. Vrij logisch dus dat het management erbij gebaat is. Je hoeft als CEO niet alles te kennen of te kunnen, maar blijf betrokken. Je kunt een beleidsverklaring formuleren die de toewijding van je organisatie aan informatiebeveiliging benadrukt en het doel van het cybersecuritybeleid bepaalt. Je kunt een team van experts samenstellen om beleid te ontwikkelen. Het is belangrijk dat je verantwoordelijkheden toewijst en regelmatige evaluaties en incidentresponsprocedures invoert.’

2. Ontwikkel een incidentresponsbeleid

Een incidentresponsbeleid is cruciaal om adequaat te kunnen reageren op beveiligingsincidenten en de mogelijke schade te beperken. Stel een reeks goed doordachte stappen en procedures op, zodat incidenten worden aangepakt op een manier die de organisatie en haar belanghebbenden beschermt. Enkele belangrijke onderdelen van het incidentresponsbeleid:
  • Escalatieprocedures waarin staat wanneer een incident gemeld moet worden en wie binnen je organisatie verantwoordelijk is voor het beheer ervan.
  • Richtlijnen voor het classificeren en beoordelen van incidenten op basis van hun ernst en impact op de organisatie.
  • Een reactiestrategie waarin staat hoe je als organisatie handelt bij een incident en welke maatregelen jullie implementeren om verdere schade te voorkomen.
  • Een PR- en communicatiestrategie richting interne en externe belanghebbenden.
  • Geef aan hoe je organisatie zal herstellen van een beveiligingsincident en wat je doet met incidentrapporten.
  • Hoe je het incidentresponsbeleid blijft testen, evalueren en bijschaven wanneer nodig.

Technische maatregelen

NIS2 geeft aan dat je ‘passende en evenredige technische, operationele en organisatorische maatregelen’ moet nemen. Om te bepalen welke technische oplossingen jij moet inzetten om de risico’s van jouw organisatie te mitigeren, biedt het NIST framework uitkomst:
Nist raamwerk enterprise security
Identify: bepaal wat te beschermen
Protect: breng de beveiliging op orde
Detect: signaleer afwijkingen tijdig
Respond: handel daarnaar
Recover: herstel waar nodig
Uiteraard helpen technische en organisatorische maatregelen je het hoge beveiligingsniveau te halen dat NIS2 voorschrijft. Firewalls, encryptie, endpoint protection en regelmatige systeem- en software-updates zijn van belang, maar ook een incidentbeheersysteem dat technisch goed in elkaar zit.

1. Incidentbeheersysteem

Het incidentresponsbeleid blijft slechts bij een strategie als je de techniek niet inzet voor de uitvoering en beoordeling ervan. Een goed ingericht SOC, ondersteund door geavanceerde SIEM-oplossingen zoals Microsoft Sentinel, beschermt jouw bedrijf tegen cyberdreigingen en garandeert een snelle respons op beveiligingsincidenten. Voer regelmatig audits uit om de beveiligingsmaatregelen te evalueren, kwetsbaarheden te ontdekken en te verhelpen. Zo creëer je een robuuste cyberbeveiliging en naleving van NIS2.
Mark-Peter van Rijn

1. Incidentbeheersysteem

‘Vanuit UNO werken we vooral met Microsoftoplossingen. Zeker op het vlak van security steekt Microsoft er wat ons betreft met kop en schouders bovenuit. Microsoft 365 wordt vrijwel elke maand uitgebreid om de beveiliging te updaten en te versterken. Niet alle toevoegingen zijn echter voor jouw organisatie relevant. Hier is inrichting voor nodig. En natuurlijk ook opvolging en beheer van alle oplossingen.’

2. Bescherming en preventie

Implementeer technische maatregelen waarmee je jouw netwerk en systemen beveiligt. Installeer firewalls, toegangscontrole, versleuteling om netwerken, en systemen te beschermen tegen ongeautoriseerde toegang, antivirussoftware en regelmatige software-updates om aanvallen te voorkomen. NIS2 vereist zelfs dat je aan bepaalde data encryptie toevoegt. Zorg dus dat je in je beheerprocessen en bij elke implementatie of wijziging kritisch kijkt voor welke data versleuteling, zowel in opslag als transport, relevant is.

3. Dreigingsdetectie en respons

Implementeer technologische oplossingen om verdachte activiteiten te detecteren, zoals intrusion detection-systemen en log-analyse.

4. Bedrijfscontinuïteit

Sommige technische maatregelen om de bedrijfscontinuïteit te waarborgen, zoals back-ups en het testen daarvan, vallen onder de eerder genoemde basis. NIS2 gaat echter verder. Goed back-upbeheer is een voorwaarde, en met name disaster recovery planning en periodieke tests. Je doet er hierbij verstandig aan om met een bredere blik naar processen te kijken en een business continuity plan in werking te stellen, dus niet alleen voor de IT, maar voor alle bedrijfsprocessen.

Functionele maatregelen

Je kunt een IT-omgeving nog zo goed beveiligen: van firewalls tot multifactorauthenticatie en van retentielabels op documenten tot mail security. Maar hoe je het ook inricht, er is altijd een menselijke factor met een groot aandeel in zowel de oorzaak als de preventie van datalekken.

Versterk de human firewall
Om te voldoen aan de NIS2-richtlijnen en de menselijke factor in cyberbeveiliging te benutten en te sturen, zijn er functionele maatregelen nodig. Het begint met bewustwording. Organiseer security trainingen om de kennis van medewerkers over informatie- en cyberbeveiliging te vergroten. Creëer als het ware een human firewall.

Drie belangrijke pijlers van de human firewall:
  • Bedrijfsprocessen: Maak menselijk handelen onderdeel van het beleid. Stel strikte beleidslijnen op voor de beveiliging en handhaaf deze. Leg bedrijfsprocessen vast en werk ze regelmatig bij om cyberdreigingen bij te houden.
  • Bedrijfscultuur: Creëer een beveiligingsbewuste cultuur waarin cybersecurity een gedeelde verantwoordelijkheid is, niet alleen van de IT-afdeling, maar van alle medewerkers. Een cultuur van bewustzijn, samenwerking en melding van beveiligingsincidenten is noodzakelijk.
  • Medewerkers: Leid medewerkers op om hen bewust te maken van de risico’s. Met de juiste training en tools kunnen ze bedreigingen als phishing en social engineering herkennen en bestrijden. Medewerkers vormen de laatste verdedigingslinie tegen aanvallen, dus hun vermogen om deze te identificeren en te stoppen, is van onschatbare waarde voor de organisatie.

Stap 4: op weg naar de cybersecurity roadmap

De hoeveelheid werk die bij al deze maatregelen komt kijken, kan overweldigend zijn. Maar met een goede planning en stap voor stap, kom je er wel. Een roadmap helpt hierbij. Het liefst één voor je hele IT, waarin security een wezenlijk onderdeel is. De roadmap maakt visueel waar je als organisatie staat en waar je naartoe wil. Met behulp van deze roadmap neem je alle stakeholders gemakkelijk mee in het proces, worden je kosten voorspelbaar en – misschien nog wel interessanter – wordt ook het pad naar de opbrengsten inzichtelijker.

Hulp nodig bij NIS2-implementatie?

Je weet nu veel over NIS2 en onze integrale aanpak, maar ik kan me voorstellen dat je nog steeds vragen hebt over de te nemen maatregelen of implementatie. UNO is er om je te helpen.
Mark-Peter van Rijn Dus wil je eens sparren over wat NIS2 voor jouw organisatie betekent? Of zoek je een partner die je volledig kan ondersteunen in het ontwikkelen van NIS2-maatregelen? Neem gerust contact met mij op via mrijn@uno.nl of bel naar 070 – 3300010.
Mark-Peter van Rijn
Directeur bij UNO

Aanmelden Webinar

Datum 5 oktober 2023 Tijd 10.00 uur tot 11.00 uur
De webinar vindt online plaats en de aanmeldlink ontvang je via de mail.
(Niet ontvangen? Check je spam mailbox)

Schrijf je in voor
Webinar: Voldoen aan de NIS2? Wat betekent dat in praktijk voor jouw bedrijf!

Wij voelen ons verantwoordelijk voor jouw privacy en de bescherming van jouw persoonsgegevens.
Wil je weten hoe wij hiermee omgaan? Bekijk dan hier ons privacybeleid.

Direct contact met een specialist
die jou écht verder helpt

  • UNO Servicedesk: voor praktische en complexe, technische vragen
  • UNO’s digitale strategen: voor advies over de Cloud en jouw Werkplek van de Toekomst
  • UNO Customer Success Team: voor advies over Cloud Adoptie, IT-trends en overige vragen.

Wij luisteren en staan voor je klaar!

UNO Servicedesk

070-3300502

UNO Customer Succes Team

070-3300010

Stel een vraag

E-mail