In deze blog geven we belangrijke praktische handvatten voor de implementatie van de NIS2 richtlijn. Deze richtlijn introduceert aangescherpte eisen op het gebied van cybersecurity voor een breed scala aan sectoren en bedrijven binnen de EU. Dit vereist een kritische beoordeling en aanpassing van de huidige beveiligingspraktijken en het managementbeleid van organisaties. Alhoewel de Nederlandse uitwerking van de NIS2 er nog niet is en de datum van inwerkingtreding ook nog niet bekend is, kun je al wel voorbereidingen treffen.
Impact op het management
Een cruciaal element van NIS2 is de impact op het managementniveau van organisaties. De richtlijn vereist dat leidinggevenden actief betrokken zijn bij cybersecurity en de verantwoordelijkheid nemen voor de beveiliging van hun informatiesystemen. Dit omvat het zorgen voor voldoende middelen en het implementeren van een managementsysteem voor informatiebeveiliging (ISMS).
Inzicht in de keten
De NIS2 benadrukt het belang van inzicht in de toeleveringsketen, waarbij organisaties verantwoordelijk worden gehouden voor de beveiliging van hun hele keten, inclusief leveranciers en partners. Hackers die zich richten op grote bedrijven vallen vaak eerst kleine bedrijven aan die in connectie staan met die grote bedrijven. Zo wordt de keten ondermijnd en worden grote én kleine bedrijven geraakt.
Zorgplicht, Meldplicht en Toezicht
De zorgplicht onder NIS2 houdt in dat organisaties passende technische en organisatorische maatregelen moeten nemen om de risico’s voor hun netwerk- en informatiesystemen te beheren. Dit vereist een continue risicoanalyse en het nemen van preventieve maatregelen. De meldplicht verplicht organisaties om ernstige incidenten binnen 24 uur te melden aan de relevante nationale autoriteiten. Toezicht op naleving van de verplichtingen onder NIS2 wordt versterkt, met de mogelijkheid van audits en inspecties door toezichthouders.
Aantoonbaar compliant worden
Om aantoonbaar compliant te worden met NIS2, adviseren we organisaties een ISMS te implementeren, gebaseerd op erkende standaarden zoals de ISO 27001 of de NEN 7510 deel 1. Het implementeren van een ISMS biedt een gestructureerd en cyclisch kader voor het beheren van deze risico’s en het aantonen van compliance. Een effectief ISMS omvat beleid, procedures en een juiste organisatorische inbedding van maatregelen en controles.
Dit systeem moet regelmatig worden geaudit om naleving te verzekeren. Het uitvoeren van een gap-analyse om te bepalen waar de organisatie staat ten opzichte van de NIS2-eisen is een essentiële eerste stap. Daarna dienen plannen te worden ontwikkeld en uitgevoerd om eventuele tekortkomingen in de beheersmaatregelen aan te pakken.
Eisen aan beheersmaatregelen
De beheersmaatregelen die onder NIS2 vereist zijn, moeten gebaseerd zijn op een risicobeoordeling en moeten de beschikbaarheid, integriteit, en vertrouwelijkheid (BIV) van gegevens beschermen. Om effectief en efficiënt te werken adviseren we om vooral gebruik te maken van de standaarden met beheersmaatregelen zoals onder andere de ISO 27002, NEN 7510 deel 2 of de Baseline Informatiebeveiliging Overheid (BIO). Organisaties moeten hun bestaande cybersecuritypraktijken heroverwegen en aanpassen om aan de nieuwe vereisten te voldoen. Dit omvat bijvoorbeeld het uitvoeren van risicobeoordelingen, het updaten van incidentresponsplannen en het waarborgen van de continuïteit van kritieke diensten.
Het Perium platform biedt organisaties een vliegende start, beginnend met een gap-analyse om de huidige staat van de cybersecuritymaatregelen te beoordelen en te identificeren waar verbeteringen nodig zijn.
Het belang van inzicht in de overlap tussen NIS2 en andere normen
Organisaties die al voldoen aan ISO 27001/2, NEN 7510, of de BIO, zullen merken dat er grote overlap is met de eisen van NIS2. Het is belangrijk deze overlap inzichtelijk te hebben en te benutten om dubbel werk te voorkomen. In het Perium platform is deze overlap al in kaart gebracht voor een vliegende start.
De belangrijkste maatregelen toegelicht
In de NIS2 worden onderstaande onderwerpen genoemd waar organisaties passende maatregelen voor moeten implementeren:
- Risicomanagement
Breng je digitale risico’s in kaart en beoordeel deze regelmatig. Met de risicobeoordelingen kun je onderbouwde beslissingen nemen op welke beheersmaatregelen je in gaat zetten. - Bedrijfscontinuïteit
Op basis van je risicobeoordeling en eisen voor continuïteit maak je een continuïteitsplan en test je deze regelmatig. - Veiligheid in de keten
Beoordeel de veiligheid van je ketenpartners om potentiële risico’s van externe leveranciers en dienstverleners te identificeren. Neem passende maatregelen om je bedrijfscontinuïteit te garanderen. - Beveiliging van netwerk- en informatiesystemen
Ga aan de slag met een uitgebreide aanpak voor de beveiliging van netwerk- en informatiesystemen, waarbij systemen goed zijn ingericht en er een doeltreffend beleid is voor het identificeren en omgaan met kwetsbaarheden. - Cyberveiligheidsbeleid
Zorg voor een duidelijk informatiebeveiligingsbeleid en dat de medewerkers hiervan op de hoogte zijn en deze wordt nageleefd. - Effectiviteit cybersecurity maatregelen
Beoordeel regelmatig de effectiviteit van je beheersmaatregelen waardoor je passende verbeteringen kunt doorvoeren. - Cryptografie en encryptie implementatie
Zorg voor goed beveiligde en correct versleutelde verbindingen. - Fysieke beveiliging
Implementeer maatregelen voor fysieke beveiliging, inclusief beleid met betrekking tot personeel, toegangscontrole en activabeheer. - Multifactor authenticatie
Zet multifactor authenticatie (MFA) in voor relevante accounts, inclusief die vanaf het internet toegankelijk zijn en beheerrechten hebben van essentiële systemen. Zo kun je je organisatie optimaal beschermen tegen cybercriminelen.
Maak vooral gebruik van de beheersmaatregelen die al beschikbaar zijn in de hiervoor genoemde standaarden.
Proactief boetebeleid
NIS2 gaat flink veel impact hebben. Het niet naleven ervan betekent namelijk een risico op een forse boete omdat men streng gaat handhaven via proactieve en regelmatige controles. Dus niet na meldingen of incidenten maar vooraf. Het belang is immers groot. Onder andere onze kerncentrales, watervoorziening en ziekenhuizen moeten veilig blijven. Iedereen die daaraan levert moet meewerken – en dus ook alle bedrijven in die keten.
Conclusie
Voor organisaties betekent de NIS2 dat ze hun aanpak van informatiebeveiliging moeten uitbreiden, met een sterke focus op managementverantwoordelijkheid, risicomanagement, keteninzicht, en aantoonbaar werken met bewezen standaarden.
Met het Perium platform kun je snel de juiste voorbereidingen treffen omdat de NIS2 en de bewezen standaarden, inclusief inzicht in de overlap, al beschikbaar zijn. Daarnaast beschik je met Perium over een betrouwbaar ISMS, inclusief risicomanagement, met templates en een robuuste geautomatiseerde regiefunctie (PDCA). Op die manier zorg je ervoor dat de juiste acties door de juiste mensen op het juiste moment worden opgepakt.