NIS2 in het kort
De NIS2-richtlijn is de herziene Network and Information Security directive van de EU, in Nederland ook bekend als NIB, die in 2016 is opgenomen in de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni). Deze tweede richtlijn is een aanscherping en uitbreiding van de eerste en daarmee een antwoord op de versnelde digitalisering en toenemende digitale dreigingen. Je hebt als organisatie tot 17 oktober 2024 om aan de NIS2-normen te voldoen, om zo de risico’s op cyberschade te verkleinen, je beveiliging en bedrijfscontinuïteit te waarborgen en reputatieschade te voorkomen.
Wil je meer weten? In onze vorige blog lees je alles over NIS2: wat deze nieuwe norm in cybersecurity inhoudt, wie ermee te maken krijgt en waarom de wet voor jou belangrijk is.
Welke NIS2-verplichtingen zijn er voor mij?
Het Nationaal Cyber Security Centrum (NCSC) onderscheidt drie NIS2-verplichtingen. Als organisatie heb je een zorgplicht met betrekking tot je cyberveiligheid, een meldplicht voor incidenten en sta je onder toezicht van nationale autoriteiten. Organisaties dienen echter zelf te definiëren wat specifiek voor hen de risico’s zijn en hier passende actie op te ondernemen. Het ene bedrijf is het andere niet, dus een one size fits all benadering voor cyberveiligheid en compliance aan NIS2, is helaas niet mogelijk.
Vergroot je cyberveiligheid in 4 stappen
Stap 1: de basis op orde
Toch een opfrisser nodig? Hier lees je de 8 basismaatregelen terug.
Stap 2: risico-analyse
Cybersecurity gaat vooral om risicobeheersing. Om de juiste maatregelen te definiëren, is het daarom van belang de risico’s in kaart te brengen. En die zijn voor iedere organisatie anders.
Bepaal wat je wil beschermen
De kern van wat je wil beschermen, is vaak data. Breng – al dan niet geautomatiseerd – in kaart welke data er is vanuit verschillende invalshoeken:
- Hardware (servers, computers, netwerkapparatuur, telefoons, gegevensdragers);
- Software (zowel op eigen systemen als in datacenters en SaaS);
- Diensten (die jouw data verwerken);
- Connectiviteit (over welke verbindingen gaat deze data?).
Koppel hier risico’s aan met behulp van het BIV-model
Analyseer het risico en bepaal wat je ermee doet
Als zowel de kans als de gevolgen erg laag zijn, kun je ervoor kiezen het risico te accepteren. Andersom kun je ervoor kiezen de activiteit te stoppen als de kans en de gevolgen erg hoog zijn. Dat is natuurlijk niet altijd mogelijk, dus dan blijven er twee opties over: je draagt het risico over aan een derde partij, bijvoorbeeld door het te verzekeren, of je lost het probleem op. Dit laatste vereist, meestal in samenspraak met je IT-partner, een aanpassing in technologie, proces of beide.
Stap 3: strategische, technische en functionele maatregelen om aan NIS2 te voldoen
Strategische maatregelen
1. Ontwikkel een cybersecuritybeleid
2. Ontwikkel een incidentresponsbeleid
- Escalatieprocedures waarin staat wanneer een incident gemeld moet worden en wie binnen je organisatie verantwoordelijk is voor het beheer ervan.
- Richtlijnen voor het classificeren en beoordelen van incidenten op basis van hun ernst en impact op de organisatie.
- Een reactiestrategie waarin staat hoe je als organisatie handelt bij een incident en welke maatregelen jullie implementeren om verdere schade te voorkomen.
- Een PR- en communicatiestrategie richting interne en externe belanghebbenden.
- Geef aan hoe je organisatie zal herstellen van een beveiligingsincident en wat je doet met incidentrapporten.
- Hoe je het incidentresponsbeleid blijft testen, evalueren en bijschaven wanneer nodig.
Technische maatregelen
Protect: breng de beveiliging op orde
Detect: signaleer afwijkingen tijdig
Respond: handel daarnaar
Recover: herstel waar nodig
1. Incidentbeheersysteem
1. Incidentbeheersysteem
2. Bescherming en preventie
3. Dreigingsdetectie en respons
4. Bedrijfscontinuïteit
Functionele maatregelen
Versterk de human firewall
Om te voldoen aan de NIS2-richtlijnen en de menselijke factor in cyberbeveiliging te benutten en te sturen, zijn er functionele maatregelen nodig. Het begint met bewustwording. Organiseer security trainingen om de kennis van medewerkers over informatie- en cyberbeveiliging te vergroten. Creëer als het ware een human firewall.
- Bedrijfsprocessen: Maak menselijk handelen onderdeel van het beleid. Stel strikte beleidslijnen op voor de beveiliging en handhaaf deze. Leg bedrijfsprocessen vast en werk ze regelmatig bij om cyberdreigingen bij te houden.
- Bedrijfscultuur: Creëer een beveiligingsbewuste cultuur waarin cybersecurity een gedeelde verantwoordelijkheid is, niet alleen van de IT-afdeling, maar van alle medewerkers. Een cultuur van bewustzijn, samenwerking en melding van beveiligingsincidenten is noodzakelijk.
- Medewerkers: Leid medewerkers op om hen bewust te maken van de risico’s. Met de juiste training en tools kunnen ze bedreigingen als phishing en social engineering herkennen en bestrijden. Medewerkers vormen de laatste verdedigingslinie tegen aanvallen, dus hun vermogen om deze te identificeren en te stoppen, is van onschatbare waarde voor de organisatie.
Stap 4: op weg naar de cybersecurity roadmap
Hulp nodig bij NIS2-implementatie?
Directeur bij UNO
Aanmelden Webinar
De webinar vindt online plaats en de aanmeldlink ontvang je via de mail.
(Niet ontvangen? Check je spam mailbox)