Vanaf komende herfst geldt de NIS2-richtlijn voor cybersecurity. Een groot aantal (IT-)organisaties moet ervoor zorgen dat de cybersecurity helemaal op orde is. Organisaties die onder de NIS2-richtlijn worden aangemerkt als belangrijk of essentieel moeten zich onder meer aan de zorgplicht houden. Wat deze zorgplicht precies inhoudt? We zetten het uiteen in 10 concrete maatregelen.

NIS2-richtlijn in het kort

De NIS2-richtlijn is een Europese richtlijn en de opvolger van de NIS1. Deze richtlijn heeft als doel om Europese organisaties weerbaar te maken tegen cyberrisico’s voor netwerk- en informatiesystemen, zoals het internet en het betalingsverkeer.

De NIS2-richtlijn geldt zowel voor organisaties in sectoren die nu onder de NIS1-richtlijn vallen, als voor een groot aantal nieuwe sectoren. Zo vallen ‘beheerders van ICT-diensten’ en de ‘digitale infrastuur’ onder de sectoren waarop de NIS2 van toepassing is. In onze blog ‘Valt uw organisatie onder de NIS2-richtlijn voor cybersecurity’ leest u alle sectoren die geraakt worden door de nieuwe richtlijn.

De NIS2-richtlijn brengt 3 verschillende verplichtingen met zich mee: de zorgplicht, meldplicht en registratieplicht. In deze blog gaan we dieper in op de zorgplicht. Meer weten over de andere verplichtingen? Lees dan onze blog ‘Welke verplichtingen brengt de NIS2-richtlijn met zich mee?’.

10 zorgplichtmaatregelen

Organisaties die als essentieel of belangrijk zijn aangemerkt onder de NIS2-richtlijn, moeten maatregelen treffen om hun netwerk- en informatiesystemen tegen incidenten te beschermen. Dit geldt ook voor de fysieke omgeving waarin de systemen zich bevinden. Op de website van het Digital Trust Center worden 10 zorgplichtmaatregelen genoemd, die organisaties volgens de NIS2-richtlijn ten minste moeten nemen.

1. Risicoanalyse en beveiliging van informatiesystemen

De eerste stap in het weerbaar maken van uw organisatie tegen cyberrisico’s is het uitvoeren van een risicoanalyse. Hieruit moet blijken welke risico’s het grootst zijn en waar u securitymaatregelen moet treffen om de beveiliging van informatiesystemen op orde te brengen.

Het Digital Trust Center adviseert om voor de uitvoering van een risicoanalyse te kiezen voor het volgen van een risicoanalyse-framework, zoals ISO 31000, CRAMM of CIS-RAM. Mocht dat geen optie zijn, dan kunt u dit korte stappenplan volgen. Hierbij bepaalt u welke systemen de meeste bescherming nodig hebben, identificeert en analyseert u de risico’s rondom die systemen en treft waar nodig maatregelen.

2. Toegangsbeleid

In de NIS2-richtlijn staan maatregelen op het gebied van toegang onderverdeeld in 3 categorieën: beveiligingsaspecten van personeel, toegangsbeleid en beheer van assets.

In de eerste categorie is het van belang dat medewerkers bewust zijn van hun verantwoordelijkheden op het gebied van cybersecurity. Bijvoorbeeld door middel van het volgen van trainingen hieromtrent.

In de tweede categorie draait het erom wie toegang heeft tot welke systemen en met welke rollen en rechten. Denk hierbij ook aan multifactorauthenticatie.

In de laatste categorie zorgt u dat uw informatie- en netwerksystemen op de juiste manier geïnventariseerd en beheerd worden gedurende de hele levenscyclus.

3. Bedrijfscontinuïteit

Wat te doen bij een ernstige verstoring of calamiteit, waardoor bedrijfsprocessen (langdurig) kunnen uitvallen? Dat wordt vastgelegd in een bedrijfscontinuïteitsplan (BCP). Met dit plan kan de organisatie daadkrachtig optreden bij incidenten en de impact en schade ervan minimaliseren. Uiteraard valt ook back-upbeheer onder deze maatregel.

4. Incidentbehandeling

Hoe gaat de organisatie om met incidenten en welke acties moeten worden ondernomen? Dat legt u vast in een Incident Response Plan. In het plan staan heldere instructies om te helpen een beveiligingsincident te ontdekken, passende acties te ondernemen en de schade zoveel mogelijk te beperken.

Houd daarbij ook rekening met de meldplicht uit de NIS2-richtlijn, voor incidenten die de verlening van de essentiële dienst aanzienlijk (kunnen) verstoren. Dergelijke incidenten moeten binnen 24 uur gemeld worden bij de toezichthouder.

5. Cyberhygiëne

De NIS2-richtlijn vraagt organisaties om de basispraktijken op het gebied van cyberhygiëne op orde te hebben. Het gaat dan om basisafspraken die iedere werknemer in de organisatie naleeft. Het creëren van cyberbewustzijn door middel van opleidingen en bewustwordingsprogramma’s is een manier om cyberhygiëne te bewerkstelligen.

6. Beveiliging van netwerk- en informatiesystemen

Een passende beveiliging van netwerk- en informatiesystemen is noodzakelijk. Daar hoort een helder beleid en duidelijke procedures bij. Beleid over de beveiliging van netwerk- en informatiesystemen beslaat een groot aantal onderwerpen, waaronder change management, inkoopbeleid, netwerkbeveiliging en patch management.

7. Beveiliging toeleveranciersketen

Niet alleen uw organisatie moet voldoen aan de NIS2-richtlijn, maar ook uw toeleveranciers. Zij kunnen net zo goed kwetsbaar zijn voor cyberrisico’s. Daarom moet de keten ook aangepakt worden. Bijvoorbeeld met een helder beleidsplan voor de toeleveranciers en goede contractuele afspraken.

8. Cryptografie en encryptie

Wat hiermee bedoeld wordt? Het versleutelen of ontsleutelen van gegevens, zodat alleen bevoegde personen ze kunnen lezen. Dit is de basis van vertrouwelijkheid en integriteit van data en een goede stap in de richting van de beveiliging van uw systemen. De NIS2 vraagt u beleid en procedures op te stellen over het gebruik van cryptografie en encryptie.

9. Gebruik van beveiligde communicatie

Het gaat hierbij om het toepassen van authenticatiemethoden, waarmee men toegang krijgt tot de netwerken en informatiesystemen van de organisatie. Denk hierbij aan de toepassing van multifactorauthenticatie en VPN.

10. Toetsen van effectiviteit

Het is niet alleen van belang om risicoanalyses uit te voeren, beleid op te stellen en beveiligingsmaatregelen te treffen, maar ook om regelmatig te beoordelen of deze naar behoren werken. Hiervoor moet beleid opgesteld worden, zodat de effectiviteit van de genomen maatregelen geëvalueerd wordt. Dit kan bijvoorbeeld via een securitytest.

Blijf op de hoogte!

Zeker weten dat u niks mist? Meldt u zich dan nu aan voor onze maandelijkse nieuwsbrief en ontvang onze blogs automatisch in uw mailbox.