
De NIS2-richtlijn is verraderlijker dan het op het eerste oog lijkt. Aan de voorkant lijkt het namelijk eenvoudig: je hoeft “slechts” tien maatregelen te implementeren. Maar aan de achterkant rijst de vraag: hoe realiseer je dit in de praktijk? Daar komt soms veel meer bij kijken dan waar je in eerste instantie op hebt gerekend, qua tijd en wellicht ook wat betreft kosten. Wij nemen je concreet mee in hoe je de eerste stappen zet richting NIS2-compliancy.
Met Remco van Santen, TISO bij Innvolve.
Nog even terug: wat is de NIS2-richtlijn?
NIS2 – ook wel Network and Information Security Directive – is een richtlijn aangenomen door de Europese Unie. Het doel van deze security-richtlijn is het versterken van de digitale en economische weerbaarheid van Europese lidstaten. NIS2 legt strengere eisen op ten opzichte van NIS, is toepasbaar voor meer sectoren en wordt geïmplementeerd als de Cyberbeveiligingswet (Cbw) in Nederland. NIS2 is volledig toegespitst op netwerk- en informatiesystemen die worden gebruikt voor het leveren van diensten en de bedreigingen die daarbij komen kijken. De verplichtingen die de NIS2-richtlijn voorschrijft, zijn Zorgplicht, Meldplicht, Registratieplicht en Toezicht. Dit gaat over het uitvoeren van een risicobeoordeling, het tijdig melden van incidenten en onafhankelijk toezicht houden. De omvang en sector van een organisatie bepalen of je moet voldoen aan deze richtlijn. Weet je niet zeker of jouw organisatie hieronder valt? Lees het hier.
Abstracte maatregelen
We beginnen met een voorbeeld. Maatregel 1 van de Zorgplicht luidt als volgt: “Een risicoanalyse en beveiliging van informatiesystemen”. Dit klinkt vrij concreet, tot je er verder over na gaat denken. Want welke methode gebruik je voor de risicoanalyse? Wat wordt er precies verstaan onder “informatiesystemen”? En hoe diepgaand moet deze analyse zijn? Dit soort onduidelijkheden spelen eigenlijk bij vrijwel elke maatregel. De maatregelen zijn vaak abstract geformuleerd, maar hoe je het toepast is nog niet altijd duidelijk.
Wat zijn de NIS2-maatregelen?
De Cyberbeveiligingswet schrijft Registratieplicht, Meldplicht, Toezicht en tien Zorgplichtmaatregelen voor. Eerder schreven we hier uitgebreid over. Registratieplicht betekent dat alle organisaties die aan NIS2 moeten voldoen, zich moeten registreren bij het Nationaal Cyber Security Centrum (NCSC). Met Meldplicht wordt bedoeld dat deze organisaties incidenten – met een zekere impact – verplicht binnen 24 uur moeten melden bij hun toezichthouder. De Toezicht-maatregel stelt organisaties verplicht toezicht te krijgen van een onafhankelijke toezichthouder op de naleving van alle maatregelen. Zorgplicht bestaat uit tien maatregelen, die samen zorgen voor een risicobeoordeling en acties op basis van de zwaktes in cybersecurity.
De Zorgplichtmaatregelen concreet
1. Risicoanalyse
Om de nodige inzichten te krijgen in waar je als organisatie staat op het gebied van cyberbeveiliging, is een risicoanalyse aan de voorkant heel belangrijk. Om dit uit te voeren, stel je een beleidsplan op: een document dat je altijd gaat gebruiken voor risicoanalyses. Zo heb je houvast en worden geen belangrijke stappen overgeslagen. In dat document beschrijf je het doel en de scope, frequentie, rollen en verantwoordelijkheden, besluitopties voor uitkomsten (accepteren, oplossen, overdragen of stoppen) en het plan voor periodieke toetsing.
Een risicoanalyse kan je uitvoeren op basis van vier stappen:
- Breng in kaart welke data en/of systemen binnen je organisatie prioriteit hebben voor security;
- Op basis van de BIV-classificatie (Beschikbaarheid, Integriteit en Vertrouwelijkheid) bepaal je waar cyberdreigingen zich op richten, waardoor duidelijk wordt welke risico’s jouw organisatie loopt;
- Op basis van kwantitatief onderzoek, kwalitatief onderzoek of een combinatie daarvan, analyseer je risico’s en de kans op schade. Dit stel je vast in een Bedrijfsimpactanalyse (BIA);
- Tot slot bepaal je per risico of je overgaat tot accepteren, oplossen, overdragen of stoppen.
2. Toegangsbeleid
De beveiliging van personeel, toegangsbeheer en assetmanagement.
- Menselijke resources beveiliging je door (awareness)training in cyberveiligheid, het opstellen van goede procedures voor nieuwe werknemers of interne verschuivingen, en screening op betrouwbaarheid van nieuwe werknemers;
- Stel geautoriseerde toegang in voor systemen en gegevens. Daardoor zorg je ervoor dat niemand binnen je organisatie bij gegevens kan die hij of zij niet nodig heeft, of die zelfs vertrouwelijk zijn. Zo kan je ook periodes van toegang instellen, specifieke rechten uitgeven en een beleid opstellen voor het toekennen van toegang aan externen. Houdt in een register ook bij wat de toegangsrechten zijn, bijvoorbeeld in de vorm van een rechtenmatrix. Je kunt ook privileged accounts toekennen aan gebruikers die toegang moeten hebben tot bepaalde gevoelige informatie en systeeminstellingen moeten kunnen wijzigen;
- De eerste stap is de inventarisatie van je activa, waarin je bijhoudt welke hard- en software je bezit en welke data daarin te vinden is. Dit heeft overlap met de risicoanalyse. Op basis van die informatie kan je potentiële kwetsbaarheden bepalen. Hiervoor maak je een classificatie van gevoelige informatie, zodat je daar de juiste autorisatie aan kan koppelen. Houdt daarnaast ook bij welke assets binnenkomen en geef ze een classificatieniveau op basis van BIV. Zo kan je aan elke asset direct de passende digitale weerbaarheid koppelen.
3. Bedrijfscontinuïteitsplan (BCP)
Stel een document op waarin je beschrijft hoe de organisatie omgaat met ernstige verstoring van de kernactiviteiten, wat onder andere veroorzaakt kan worden door een cyberincident. Maak ook goede afspraken met IT-dienstverleners over het onderhoud, beheer en security van de diensten die je afneemt.
Een BCP stel je in vijf stappen op:
- Gebruik de risicoanalyse als het startpunt waarmee je in kaart brengt welke gebeurtenissen impact kunnen hebben op jouw organisatie;
- Rangschik mogelijke incidenten op prioriteit, ook wel de Bedrijfsimpactanalyse (BIA);
- Nu je weet op welke verstoringen je focus wil leggen, kan je een raamwerk maken voor je BCP met onder andere doel en reikwijdte, een Incident Response Plan (IRP) en crisismanagement;
- Zorg voor een back-up plan waarin je beschrijft hoe vaak een back-up wordt uitgevoerd en waar deze data wordt opgeslagen;
- Zorg ook voor een Herstelplan, ook wel Disaster Recovery Plan. Lees er hier meer over.
4. Incidentbehandeling
Het is belangrijk om een Incident Response Plan op te stellen waarin het proces wordt beschreven dat je als organisatie doorloopt wanneer een incident daadwerkelijk plaatsvindt. Er zijn een aantal onderdelen die vaak terugkomen in een IRP:
- Risicoanalyse;
- Scenario’s;
- Taakverdeling en verantwoordelijkheden;
- Een opgelegd meldpunt;
- Opleiding, training en oefening (ook wel: OTO);
- De door te lopen fasen;
- Voorbereiding op het gebied van hard- en software, middelen, communicatie en faciliteiten;
- Identificatie van verschillende incidenten;
- Herstel.
5. Cyberhygiëne bepalen
Met cyberhygiëne bedoelen we de basisprincipes van veilig digitaal ondernemen (DTC) of de basisprincipes van digitale weerbaarheid (NCSC) die in acht genomen moeten worden in het cybersecuritybeleid. Als aanvulling daarop is het belangrijk om werknemers in je organisatie hierop te trainen. Denk daarbij aan het bespreken van thema’s of het aanbieden van trainingen, waarin accurate incidenten worden besproken.
6. Beveiligen van netwerk- en informatiesystemen
Hoe zorg je ervoor dat je voldoet aan de NIS2-richtlijnen als het gaat om de beveiliging van je netwerk- en informatiesystemen? Daarvoor moet een reeks aan onderdelen worden behandeld. Voor deze onderdelen stel je een beleid op en leg je processen en procedures vast:
- Monitoring van je omgeving en het tegenhouden van ongewenst verkeer met behulp van bijvoorbeeld firewalls;
- Het juist instellen of configureren van hardware, software, netwerk en systemen;
- Change management. Schrijf beleid over hoe je omgaat met implementatie en bewaking van changes, reparaties en onderhoud. Daarin beschrijf je ten minste de aanvraag, mogelijke risico’s en impact van de change, criteria voor prioritering, vereisten voor roll-backs en logging;
- Patch management. Beveiligingsupdates – patches – moeten snel geïnstalleerd kunnen worden. In dit beleid beschrijf je onder welke voorwaarden de updates geïnstalleerd worden na uitrol;
- Vulnerability Management. Monitor de zwaktes in je beveiliging. Dit zijn onderdelen die je vaak kunt afnemen bij een IT-leverancier;
- Secure Development Life Cycle. Test software en systemen regelmatig op kwetsbaarheden, ook wel security by design;
- In het inkoop- of aanbestedingsproces wordt het ook steeds belangrijker om aandacht te besteden aan cybersecurity, om risico’s vroegtijdig te vermijden. Denk aan garantie op beveiligingsupdates en het opnemen van beveiligingseisen.
7. Veiligheid van toelevering
Veel organisaties zijn in zekere zin afhankelijk van toeleveranciers. Echter, zorgt dit voor een bepaalde mate van afhankelijk op het gebied van cybersecurity. Zorg er daarom voor dat je een stevig beleid opstelt voor de toeleveranciersketen waarin risico’s als een datalek maximaal worden voorkomen. Daarin beschrijf je:
- De afhankelijkheden;
- De selectie en contractering;
- Classificatie en beheersing van risico’s;
- Herziening.
NIS2 vereist ook inzicht in de afname van diensten of producten bij leveranciers, bijvoorbeeld de cybersecurityspecificaties waaraan moet worden voldaan. Zelf maak je goede, contractuele afspraken met je toeleveranciers alsook IT-dienstverleners. Dit doe je in een SLA: Service Level Rapportage. Hierin beschrijf je prestatie-indicatoren en responsniveaus. Meer weten over een goed SLA? Lees hier verder.
8. Het opstellen van beleid voor het gebruik van cryptografie en encryptie
Je wil de vertrouwelijkheid, integriteit en authenticiteit van je data waarborgen. Daarvoor schrijf je een beleidsdocument inzake cryptografie. Om hier direct mee aan te slag te gaan, kan je een stappenplan volgen:
- Breng in kaart welke cryptografische systemen worden gebruikt binnen je organisatie;
- Schrijf beleid over cryptografie en encryptie waarin je minimaal configuratiemanagement, sleutelmanagement en effectiviteit en herziening opneemt;
- Zorg dat elk systeem een eigenaar heeft;
- Zorg ook dat elk cryptografisch systeem het benodigde securityniveau aantikt.
9. Multifactorauthenticatie
In de risicoanalyse of BIA heb je bepaald welke toegang hoog geclassificeerd is. Om af te dwingen dat meerdere factoren de echtheid van je identiteit vaststellen, stel je MFA in. In elk geval bij accounts die vanaf het internet benaderbaar zijn, die beheerrechten hebben en accounts van belangrijke systemen. Denk hierbij ook aan beveiligde communicatiemogelijkheden met een Virtual Private Network (beter bekend als VPN).
10. Evaluatie van de toegepaste maatregelen
Dit alles begint met een risicoanalyse, dat is intussen duidelijk. Alle andere genomen maatregelen die daarop volgen, wil je ook evalueren op effectiviteit. Dit doe je idealiteit gestructureerd en systematisch, om ervoor te zorgen dat de beoogde risico’s blijvend worden afgedekt. De volgende punten kunnen je beleid vormgeven:
- Doel en scope van je toetsing en evaluatie;
- Frequentie van de toetsing;
- Methode;
- Rollen;
- Rapporteren van uitkomsten;
- Effectiviteit en herziening.
Een securitytest kan je uitvoeren met behulp van een handleiding die het Nationaal Cyber Security Centrum heeft gemaakt. Deze bestaat uit vier stappen: het doel bepalen, de methode bepalen, vervolgens de regie over de uitvoering voeren en tot slot de verbeteringen opvolgen in de organisatie.
Conclusie
NIS2 is een veelbesproken onderwerp binnen organisaties, helemaal nu de de inwerkingtreding dichterbij lijkt te komen. Het is daarom belangrijk om vroegtijdig de nodigde maatregelen te treffen. We begrijpen dat het lastig is om concreet voor ogen te krijgen wat je daar precies voor moet doen, maar we helpen je met verschillende lijstjes en opsommingen in de goede richting.
Behoefte aan sparren over waar jij als organisatie staat op het gebied van de NIS2-richtlijn of waar je als organisatie moet beginnen? Wij helpen graag. Met grote of kleine vragen of acties. Neem gerust contact met ons op en vraag naar Remco, of maak zelf hieronder makkelijk een belafspraak.
Meer innformatie?
Wil je meer weten over Hoe implementeer je de NIS2-maatregelen?, neem dan contact met ons op.