In november 2022 heeft de Europese Unie (EU) de Network and Information Security (NIS2) directive gepubliceerd. Een richtlijn voor het verbeteren van de digitale weerbaarheid in de Europese lidstaten. In het laatste deel van deze driedelige blogserie neemt Information Security Consultant Max je mee in de maatregelen voor cyberhygiëne en awareness, conform de eisen uit de NIS2-richtlijn. Hij focust op hoe deze maatregelen verschillen ten opzichte van andere normenkaders voor informatiebeveiliging én hoe je conform de eisen uit de NIS2 aan de slag gaat met deze thema’s.
In het eerste deel lees je meer over risicomanagement en incidentmanagement. Het tweede deel van deze blogserie gaat over crisisbeheer, bedrijfscontinuïteit en leveranciersmanagement.
In de NIS2 wordt in artikel 21 Cyberhygiëne als onderwerp genoemd, een term die we nog niet eerder in een normenkader hebben zien. Hygiëne kennen we allemaal als een verzamelnaam voor handelingen die ons beschermen tegen ziekteverwekkers en zorgen dat onze omgeving schoon blijft. Dit concept kan je ook vertalen naar cyberbeveiliging: een basisbeveiliging voor infrastructuur, hardware, software en online toepassingen om netwerk- en informatiesystemen en gebruikersgegevens te beschermen.
Net zoals we in ons dagelijks leven routines hebben om gezond en hygiënisch te blijven, moeten we ook in onze cyberbeveiliging routines opbouwen. Hiermee beschermen we ons tegen digitale infecties en besmettingen, zodat we als organisatie schoon blijven en anderen niet aansteken. NIS2 beschrijft een reeks basispraktijken die de kern vormen van Cyber Security, waaronder:
Hoewel deze basispraktijken ook in andere normenkaders voorkomen, onderscheidt NIS2 zich door ze samen te voegen onder de term Cyberhygiëne. Dit suggereert dat organisaties deze praktijken vanzelfsprekend op orde moeten hebben en ze periodiek moet onderhouden, net zoals we dagelijks onze tanden poetsen om onze persoonlijke hygiëne te waarborgen.
Vaak zie je dat organisaties zich alleen richten op het voldoen aan verplichte maatregelen uit normenkaders, waardoor ze vinkjes halen zonder echt na te denken over de bredere vraag: “Zijn we eigenlijk wel écht veilig?”. Hierdoor zie je in de praktijk vaak dat organisaties voldoen aan de opgelegde maatregelen, maar eigenlijk nog niet volledig veilig zijn. Het is daarmee goed dat de NIS2 een term als cyberhygiëne gebruikt.
Het idee is dat organisaties niet meer alleen moeten streven om aan opgelegde maatregelen te voldoen, maar zich moeten afvragen waarom die maatregelen er zijn. Elke maatregel is bedoeld om een specifiek risico te mitigeren. Daar moet de focus op liggen. De vraag moet zijn: “Hoe kunnen wij als organisatie het beste dit risico mitigeren?” Een normenkader kan daarbij helpen, maar mag niet de enige focus zijn.
Als organisatie wil je veilig zijn, je beveiliging op orde hebben en voortdurend ontwikkelen, innoveren en verbeteren in de opgestelde maatregelen. Het is belangrijk een proces in te richten dat continu risico’s identificeert, deze risico’s effectief mitigeert en periodiek controleert en verbetert waar nodig. Komt dit proces je herkenbaar voor? Het is dé essentie van de Plan-Do-Check-Act cyclus (PDCA-cyclus), welke ook in de ISO-normenkaders wordt gehanteerd.
Cyberhygiëne houdt dus niet alleen in dat je de basisbeveiligingsmaatregelen op orde hebt, maar ook dat je als organisatie een robuuste PDCA-cyclus hebt opgezet en deze voortdurend onderhoudt. Dit betekent dat je constant risico’s identificeert, maatregelen implementeert, de effectiviteit van deze maatregelen controleert, en waar nodig verbeteringen doorvoert. Om het belang hiervan te benadrukken heeft NIS2 hier nog een stok achter de deur: niet voldoen aan de NIS2 kan leiden tot boetes tot 10 miljoen euro of 2% van de jaaromzet en mogelijke schorsing van leden van bestuursorganen.
Hoe ga je aan de slag met cyberhygiëne conform NIS2?
Om Cyber Security effectief te beheren in een organisatie, is een sterke governance-structuur belangrijk. Dit vereist inspanningen en betrokkenheid van zowel de directie als het management. Hieronder volgen de belangrijkste onderdelen die nodig zijn om een goede basis te creëren:
De PDCA-cyclus is een systematische aanpak voor het beheren en verbeteren van Cyber Security binnen organisaties. Door deze methodologie toe te passen, kunnen organisaties hun beveiligingsmaatregelen voortdurend evalueren, verbeteren en aanpassen aan nieuwe bedreigingen en veranderende bedrijfsbehoeften. Hieronder wordt elke fase van de cyclus toegelicht:
Door deze stappen te volgen en te ondersteunen met sterke governance en betrokkenheid van de directie, kan een organisatie proactief omgaan met Cyber Security risico’s en voldoen aan de term Cyberhygiëne, conform de eisen van de NIS2-richtlijn. Hier zijn enkele voorbeelden van beveiligingsmaatregelen die bijdragen aan een goede cyberhygiëne en die als gewoontes in de organisatie moeten worden ingebouwd:
In de toelichting In de toelichting over Cyberhygiëne las je al dat het vergroten van gebruikersbewustzijn over dreigingen in de NIS2 wordt genoemd als één van de basispraktijken van Cyber Security. Het is belangrijk om iedereen, zowel medewerkers als bestuurders, in de organisatie te trainen op dit gebied.
De ISO 27001, NEN 7510 en BIO vereisen ook dat medewerkers zich bewust zijn van informatiebeveiligingsrisico’s. Het verschil met de NIS2 is dat leden van bestuursorganen verplicht worden om een specifieke opleiding voor cyberbeveiliging te volgen. Deze training is bedoeld zodat het bestuur niet alleen voldoende kennis en vaardigheden krijgt in het identificeren van risico’s, het beoordelen van risicobeheerpraktijken, maar ook om de gevolgen van cyberdreigingen volledig te begrijpen. De NIS2 stelt leden van bestuursorganen namelijk hoofdelijk aansprakelijk voor de cyberbeveiliging van de organisatie. Bestuursleden dienen hun deelname aan deze training ook te kunnen aantonen.
Hoe ga je aan de slag met awareness conform NIS2?
Het is belangrijk om bewustwording te creëren onder de medewerkers op het gebied van information – en cybersecurity. Geef je medewerkers regelmatig training en organiseer bewustwordingscampagnes over cyberbeveiliging, risico’s en de nalevingsrichtlijnen. Naast inhoudelijke trainingen en bewustwordingscampagnes over Information- en Cyber Security kan je ook denken aan informatie over simpele maar krachtige dagelijkse gewoontes als:
Daarnaast kan je ook bewustwording creëren door jouw medewerkers een social engineering test te laten ondergaan middels phishing tests, vishing (voice phishing) of een bezoek van een mystery guest (meer gericht op de fysieke beveiliging van de organisatie).
Met betrekking tot het creëren van bewustwording rondom de verantwoordelijkheden van bestuurders, is ons advies om naast de standaard bewustwordingscursussen ook specifiek op maat gemaakte trainingen aan te bieden. Hiermee krijgen bestuurders niet alleen inzicht in de basisbeginselen van Cyber Security maar zijn ze ook op de hoogte van de specifieke risico’s en beheersmaatregelen binnen de eigen organisatie.
Heeft jouw organisatie hulp nodig bij de implementatie van de NIS2, inclusief het implementeren van de onderliggende verplichtingen? Cuccibu is dé partner die je zoekt. We kunnen een gapanalyse uitvoeren om te kijken waar jouw organisatie staat ten opzichte van de NIS2 (en in vergelijking met andere normenkaders voor informatiebeveiliging). Daarnaast ondersteunen wij bij het implementeren van de maatregelen voor onder andere risicomanagement, incidentmanagement (deel 1), crisisbeheer en bedrijfscontinuïteit, leveranciersmanagement (deel 2), cyberhygiëne en awareness. Als integrale dienstverlener kunnen wij jouw organisatie volledig ontzorgen, zowel op het gebied van Information– en Cyber Security als Privacy & Legal en QHSE (kwaliteit, arboveiligheid en milieu). Neem vrijblijvend contact op en we vertellen je graag meer over de mogelijkheden.
Reduce Risk, Create Value!
Bronnen: Mapping NIS2-maatregelen en NEN-EN-ISO/IEC 27002/BIO (Digitale Overheid).