Moet uw organisatie beantwoorden aan de nieuwe NIS2-richtlijn voor cybersecurity? Dan moet u diverse cybersecuritymaatregelen voor risicobeheer nemen. Maar ook als uw organisatie niet onder de regelgeving valt, zet NIS2 de standaard voor een stevig securitybeleid. Wij geven u een handig overzicht van de minimumvereisten.
Tien minimumvereisten voor informatiebeveiliging
-
1. Risicobeheer
Breng alle assets van uw organisatie in kaart, inclusief hardware, software en data. Beoordeel de impact van mogelijke bedreigingen op de continuïteit van uw bedrijf als deze assets niet meer beschikbaar zijn. Bepaal ook welke maatregelen u kunt nemen om de risico’s binnen de perken te houden.
-
2. Incidentafhandeling
De manier waarop u op incidenten reageert, maakt een groot verschil. Zorg daarom voor een weldoordacht security incident response plan (SIRP), zodat u incidenten snel en efficiënt kan afhandelen. Dit omvat verschillende zaken, zoals het detecteren en beoordelen van incidenten en het onderzoeken, toekennen en evalueren van prioriteiten. Ernstige beveiligingsincidenten moeten in het kader van NIS2 gemeld worden bij het Centrum voor Cybersecurity België (CCB).
-
3. Bedrijfscontinuïteit en crisisbeheer
Een crisis kan op elk moment toeslaan. Daarom is het van cruciaal belang om een bedrijfscontinuïteitsplan te hebben met maatregelen om essentiële bedrijfsprocessen draaiende te houden. Stel ook een draaiboek op voor crisisbeheer, met duidelijke instructies, inclusief de nodige interne en externe communicatie. Zo weten uw medewerkers wat ze moeten doen bij een crisis.
-
4. Veilige toeleveringsketen
De veiligheid van uw eigen systemen is mede afhankelijk van de beveiligingsmaatregelen van uw leveranciers. U wilt te allen tijde vermijden dat zij een zwakke schakel vormen en uw bedrijfscontinuïteit in gevaar brengen. Stel daarom dezelfde eisen voor risicobeheer aan belangrijke leveranciers als aan uw eigen organisatie. Vraag hen om hun beveiligingsmaatregelen te tonen of om een ISO 27001-certificaat voor te leggen.
-
5. Afhandeling van kwetsbaarheden
Kwetsbaarheden in uw netwerk- en informatiesystemen vormen een direct risico. Het is essentieel om die snel te identificeren en op te lossen, voordat iemand er misbruik van kan maken. Scan daarom regelmatig uw systemen op gekende kwetsbaarheden en zorg voor een duidelijk proces om deze met updates aan te pakken. Hou daarbij rekening met de ernst en de potentiële impact van de bedreiging. Het Exploit Prediction Scoring System (EPSS) is een nuttig hulpmiddel om te bepalen welke kwetsbaarheden eerst opgelost moeten worden.
-
6. Assessments van maatregelen
Het is niet voldoende om één keer maatregelen in te voeren; u moet ze continu beoordelen en updaten. Regelmatige assessments zorgen ervoor dat uw cybersecuritymaatregelen effectief en state of the art blijven. Overweeg interne en externe audits om gebreken op te sporen en te verhelpen.
-
7. Basisregels voor cyberhygiëne
Cyberveiligheid begint bij uw medewerkers. Zorg er met sensibiliseringscampagnes en opleidingen voor dat elke medewerker de basispraktijken van cyberhygiëne onder de knie krijgt. Dit omvat het herkennen van phishingpogingen en het veilig omgaan met gevoelige informatie, maar ook het niet zomaar iedereen binnenlaten in het bedrijf. Een sterke menselijke firewall is even belangrijk als technische maatregelen.
-
8. Gebruik van encryptie
Encryptie is de basistechnologie om de vertrouwelijkheid en integriteit van uw data te waarborgen. Pas encryptie toe waar mogelijk en stel een beleid en procedures op om het gebruik en beheer ervan in goede banen te leiden. Zowel NIS2 als GDPR (General Data Protection Regulation) schrijven het gebruik van encryptie voor.
-
9. Beveiligingsbeleid
Leg in een beveiligingsbeleid duidelijk vast hoe de toegang tot systemen beheerd wordt, hoe data beschermd worden en hoe medewerkers in verschillende situaties moeten handelen. Zorg dat alle medewerkers hiervan op de hoogte zijn en koppel consequenties aan het niet naleven ervan. Beveiliging is immers de verantwoordelijkheid van iedereen.
-
10. Veilige authenticatie
Wachtwoorden alleen volstaan niet meer voor authenticatie. Beveilig de toegang tot uw systemen daarom met multifactorauthenticatie of continue authenticatie. Dat voegt een extra beveiligingslaag toe en maakt het moeilijker voor onbevoegden om toegang te krijgen tot uw systemen. Uit verschillende studies blijkt dat meer dan 90% van alle incidenten te voorkomen is met multifactorauthenticatie.
Hoe NIS2-compliance bereiken?
Er zijn twee belangrijke wegen om NIS2-compliance te bereiken: door te starten vanaf het Cyberfundamentals Framework van het CCB of door ISO 27001-certificatie.
Het Cyberfundamentals Framework is een uitstekende basis voor NIS2-compliance. Het raamwerk bevat al veel van de maatregelen die de NIS2-richtlijn vereist en kan dienen als bouwsteen voor uw eigen beveiligingsstrategie. Door deze maatregelen te implementeren, bereidt u uw organisatie al goed voor op de eisen van NIS2.
De andere optie, ISO 27001, is een internationaal erkende norm voor informatiebeveiliging. Als uw organisatie ISO 27001-gecertificeerd is, voldoet ze aan hoge beveiligingsstandaarden. Daardoor geniet u volgens het CCB van 'een vermoeden van conformiteit aan NIS2'.
Verantwoordelijkheid van het management
De verantwoordelijkheid voor naleving van NIS2 ligt uiteindelijk bij het management. Zij moeten ervoor zorgen dat deze tien maatregelen geïmplementeerd worden en blijven. Maar ook als uw organisatie niet onder de regelgeving valt, maakt de implementatie van deze maatregelen uw organisatie weerbaarder tegen cyberaanvallen.
Blijf op de hoogte van de laatste ontwikkelingen rondom NIS2
Wilt u meer weten over NIS2?