Ben je benieuwd wat wij voor je organisatie kunnen betekenen of wil je meer informatie over onze diensten? Neem dan contact met ons op, onze specialisten helpen je graag verder!
Terug naar overzicht
IT Security
Blog
Voorsorteren op NIS2: deze tien punten moet je op orde hebben
Naar verwachting zal in 2025 de NIS2 in werking treden. Deze Europese richtlijn is opgesteld om de cyberbeveiliging te verbeteren, met name waar het gaat om diensten die cruciaal zijn voor de continuïteit van de samenleving. In Nederland wordt de NIS2 geïmplementeerd in de vorm van de Cyberbeveiligingswet. Hoewel deze wet momenteel nog in ontwikkeling is, adviseert de overheid organisaties nu al actie te ondernemen. In deze blog geef ik je een beknopt overzicht van 10 punten die je in ieder geval op orde moet hebben om aan de NIS2 te voldoen.
Door: Marco VaderIT Security
Voor wie geldt de NIS2?
De NIS2 (Network and Information Systems Directive 2) is een vervolg op de oorspronkelijke NIS-richtlijn van de Europese Unie. De richtlijn geldt voor organisaties die zich bezighouden met vitale zaken als energie, water, levensmiddelen, transport, gezondheidszorg, bankieren, overheidsdiensten en ICT. Benieuwd of jouw organisatie ook onder de NIS2-richtlijn (en dus de Cyberbeveiligingswet) valt? Dat check je aan de hand van deze vragenlijst.
Moet jouw organisatie voldoen aan de NIS2? Of krijg je als ketenleverancier verplichtingen opgelegd van organisaties die aan de NIS2 moeten voldoen? Dan biedt Artikel 21 van de richtlijn 10 concrete aanknopingspunten voor maatregelen die je zult moeten nemen.
1. Beleid risicoanalyse en beveiliging van informatiesystemen
Door gericht beleid te formuleren, laat je zien hoe je op basis van een risicobeoordeling de risico’s monitort en waar nodig risicobeheersmaatregelen implementeert.
2. Incidentafhandeling
Welk proces doorloopt jouw organisatie tijdens een cyberincident? Het is belangrijk dat de stappen die jullie in zo’n situatie zetten duidelijk omschreven staan.
3. Bedrijfscontinuïteit
Een business continuity plan (BCP) is een beleidsplan waarmee je laat zien hoe jouw organisatie zich na potentiële rampen of (cyber)incidenten zo snel en goed mogelijk kan herstellen.
4. Beveiliging van de toeleveringsketen
Welke risico’s kunnen leveranciers van IT en OT (Operational Technology, oftewel hard- en software om industriële processen te monitoren en aan te sturen) met zich meebrengen? Door dit goed in kaart te brengen, kun je de risicobeoordeling aanscherpen en passende maatregelen (laten) nemen.
5. Beveiliging van netwerk- en informatiesystemen
Er moet securitybeleid zijn op de complete levenscyclus van netwerk- en informatiesystemen. In het geval van (potentiële) kwetsbaarheden moeten er procedures zijn om die op jullie eigen netwerk tot een minimum te beperken.
6. Beoordelen van de effectiviteit van de maatregelen
Heeft jouw organisatie al beheersmaatregelen genomen? Dan is het belangrijk dat je die maatregelen regelmatig toetst op effectiviteit. Zo weet je of maatregelen voldoende effect hebben en blijft het risico binnen de acceptatiecriteria.
7. Cyberhygiëne en -opleiding
In een cyberhygiënebeleid beschrijf je hoe jouw organisatie zich bewust blijft van bestaande beveiligingsmaatregelen. Beseft iedereen bijvoorbeeld dat het op grond van NIS2 verplicht is om eventuele informatiebeveiligingsincidenten te melden?
8. Cryptografie en encryptie
Door cryptografie en encryptie te gebruiken, verhoog je de weerbaarheid van je systemen. Met encryptie hebben alleen bevoegden toegang tot een asset (mens of middel) en hebben alleen zij de mogelijkheid om de desbetreffende data te zien en te veranderen.
9. Beveiligingsaspecten voor personeel, toegangsbeleid en beheer van activa
Het doel van een beveiligingsbeleid ten aanzien van personeel is dat iedere medewerker zich bewust is van zijn/haar eigen verantwoordelijkheid en acteert naar het (cyber)beveiligingsbeleid van jouw organisatie. Met toegangsbeleid zorgt jouw organisatie ervoor dat ongeautoriseerde toegang tot assets wordt voorkomen.
10. Authenticatieoplossingen en communicatiesystemen binnen de organisatie
De gegevens binnen jouw organisatie moeten beschermd worden en mogen niet zichtbaar zijn voor ongeautoriseerde personen of andere assets.
Nog enkele belangrijke punten
Deze 10 punten uit Artikel 21 worden door de Nederlandse overheid nog nader uitgewerkt in een AMvB (Algemene Maatregel van Bestuur). Ook de Artikelen 20 en 23 van de richtlijn bevatten overigens enkele punten die van belang zijn. Zo moeten beveiligingsmaatregelen worden goedgekeurd door een bestuursorgaan en moeten bestuursorganen hierin worden opgeleid. Verder moeten maatregelen zo snel mogelijk bekend worden gemaakt binnen de organisatie, en moet elke organisatie beschikken over een heldere procedure voor het melden van significante beveiligingsincidenten.
Meer weten?
Previder kan organisaties op meerdere punten helpen te voldoen aan NIS2. Benieuwd wat we hierin voor jóuw organisatie kunnen betekenen? Neem gerust contact met ons op!