Praktische tips voor de NIS2-richtlijn | Berenschot blog

Nog even de kern van de NIS2 voor individuele organisaties in een notendop:

• Zorgplicht: de richtlijn verplicht entiteiten om zelf een risicobeoordeling te doen. Entiteiten dienen passende maatregelen te nemen om hun diensten zo veel mogelijk te waarborgen en informatie te beschermen.
• Meldplicht: entiteiten moeten significante incidenten onverwijld en in elk geval binnen 72 uur bij de toezichthouder melden. Dit is bijvoorbeeld de Rijksinspectie Digitale Infrastructuur (RDI) voor gemeenten. Een cyberincident moet ook bij het (sectorale) CSIRT gemeld worden.
• Toezicht: organisaties die onder de richtlijn vallen, komen ook onder toezicht te staan. De NIS2-richtlijn schrijft voor dat een onafhankelijk toezichthouder (buiten eventueel interbestuurlijk toezicht) de naleving van verplichtingen uit de richtlijn monitort. Zoals de zorg- en meldplicht.

Het is verleidelijk om voldoen aan de NIS2-richtlijn puur als een compliancevraagstuk te benaderen. Uw organisatie voldoet toch aan de ISO 27001, de BIO en/of de NEN 7510? Dan gaat u echter voorbij aan het achterliggende adagium van de NIS2: feitelijke veiligheid en weerbaarheid. Waarschijnlijk zult u dus toch een stap bij moeten zetten. Dan biedt de NIS2 u de kans om de digitale veiligheid en weerbaarheid aanzienlijk te verbeteren en daadwerkelijk goed beschermd en weerbaar te zijn tegen digitale dreigingen en risico’s. Zodat u met vertrouwen uw ambities kunt waarmaken.

We delen drie essentiële acties waarmee u grote stappen kunt zetten in weerbaarheid en veiligheid om aan de NIS2-richtlijn te voldoen. Allereerst is het echter van belang te waarborgen dat het bestuur voldoende betrokken is. Het bestuur is immers eindverantwoordelijk en dient te bepalen welke risico’s de organisatie bereid is te nemen (de zogenaamde risk appetite) en wat de ‘kroonjuwelen’ binnen de organisatie zijn. Daarbij gaat het niet alleen om de vertrouwelijkheid en integriteit van gegevens, maar juist ook om de beschikbaarheid. Vervolgens kunt u aan de slag met onderstaande acties.

NIS2 benadrukt het belang van bedrijfscontinuïteitsbeheer om te waarborgen dat kritische diensten blijven functioneren, zelfs in het geval van beveiligingsincidenten. Doorloop de volgende eenvoudige en logische stappen om ervoor te zorgen dat uw organisatie blijft draaien:

• Impactanalyse (BIA’s): identificeer de meest kritische diensten van uw organisatie en welke IT-systemen daarvoor belangrijk zijn. Bepaal welke dreigingen en kwetsbaarheden daarbij een rol spelen en beoordeel vervolgens waar de grootste risico's aanwezig zijn. Vergeet daarbij ook uw toeleveranciers niet!
• Continuïteitsplan (BCP): stel een lijst op van noodzakelijke maatregelen om (continuïteits-) risico's te beheersen. Zorg voor back-up-, redundantie- en herstelmaatregelen. Maak regelmatig back-ups om gegevensverlies te minimaliseren en de beschikbaarheid en continuïteit beter te garanderen. Zorg daarbij voor herstelplannen in het geval bijvoorbeeld een deel van de infrastructuur opnieuw moet worden opgebouwd.
• Uitvoeren continuïteitsplan: voer de maatregelen uit en test/oefen, evalueer en actualiseer deze regelmatig op basis van de resultaten.

Een van de kernelementen van de NIS2 is het vermogen om snel en effectief te reageren op beveiligingsincidenten. Onder de NIS2 moeten organisaties daarom aan een meldplicht voldoen en daarvoor dient uw organisatie haar incidentresponsproces op orde te hebben. Dit bereikt u door de volgende stappen te zetten.

• Incidentdetectie: zorg dat u snel weet dat er een beveiligingsincident heeft plaatsgevonden of dreigt plaats te vinden. Onder meer door monitoringtools toe te passen en systemen goed te loggen, waarbij meldingen in een centraal systeem terechtkomen (SIEM).
• Incidenttriage: ontwikkel een gestandaardiseerde methode om de ernst van beveiligingsincidenten te beoordelen en prioriteiten te stellen op basis van de potentiële impact op uw dienstverlening. Hierbij kan een security operations center (SOC) (in- of extern) goede diensten bewijzen.
• Responsplan: schrijf een gedetailleerd responsplan waarin staat wie verantwoordelijk is voor welke acties en welke technische en menselijke middelen nodig zijn om het incident te beheersen en herstel te starten. Onderdeel daarvan is het rapporteren van de incidenten.
• Oefeningen en training: zorg ervoor dat medewerkers getraind zijn en regelmatig oefenen met het incidentresponsproces om de reactietijd en -efficiëntie te verbeteren.

Toeleveranciers spelen een belangrijke rol in uw (digitale) keten. Dreigingen komen meer en meer vanuit deze supply chain, iets wat in de NIS2 breed wordt (h)erkend. Derhalve is het cruciaal om veiligheid en weerbaarheid ook daar goed op orde te hebben. Dit is niet alleen strikt juridisch ‘afdichten’ (denk aan contracten en SLA’s), maar ook (of juist) gericht op het daadwerkelijk mitigeren van risico's. Om te voldoen aan de NIS2, dient uw organisatie ervoor te zorgen dat uw leveranciers zorgen voor passende maatregelen. Dit realiseert u via onderstaande stappen:

• Leveranciersevaluaties: bepaal het juiste middel om te controleren of een leverancier aan de gestelde eisen voldoet. Hiervoor kunt u verschillende middelen inzetten: zelfevaluaties, certificeringen (ISO 27001, SOC2-verklaringen, etc.) of een externe audit. De zwaarte van het middel hangt af van de risico’s en het type leverancier.
• Contractuele vereisten: stel beveiligingsclausules op in contracten met leveranciers die naleving van de NIS2 vereisen. De eisen moeten zijn afgestemd op uw eigen risicoanalyse van kritische processen en systemen. Controleer of dit ook voldoende is om de risico's vanuit de toeleveranciers van uw eigen toeleveranciers te beheersen.
• Monitoring en rapportage: implementeer mechanismen om de beveiligingsprestaties van leveranciers continu te monitoren en stel periodieke rapportages verplicht.
• Samenwerking en educatie: werk samen met leveranciers om het beveiligingsbewustzijn te vergroten en hen te helpen aan de vereisten te voldoen.

Het naleven van de NIS2-richtlijnen is van vitaal belang voor overheidsorganisaties om hun digitale infrastructuur te beschermen en de veiligheid van burgers te waarborgen. Dit is meer dan een invuloefening om een audit te halen. Door een robuust incidentresponsproces te implementeren, bedrijfscontinuïteitsbeheer te prioriteren en leveranciers op orde te krijgen, kan uw organisatie haar beveiligingsniveau verhogen en tegelijkertijd aan de richtlijnen voldoen.