Sinds december 2022 heeft de Europese Unie (EU) de NIS2, ofwel de Network and Information Security directive, gepubliceerd. Deze richtlijn draagt bij aan het verbeteren van de digitale weerbaarheid in de Europese lidstaten. In ons driedelige blogserie over de NIS2 neemt Information Security Consultant Max je mee in de maatregelen van de NIS2-richtlijn en hoe deze verschillen van andere normenkaders voor informatiebeveiliging. Dit is het tweede deel van de blogserie, waarin hij meer vertelt over de maatregelen omtrent crisisbeheer, bedrijfscontinuïteit en leveranciersmanagement. Inclusief hoe je met deze thema’s aan de slag gaat conform de eisen uit de NIS2.
In het eerste deel lees je meer over de thema’s risicomanagement en incidentmanagement. In het derde en tevens laatste deel van deze blogserie zoomen we in op cyberhygiëne en awareness.
Artikel 21 van NIS2 benadrukt de rol van bedrijfscontinuïteit en crisisbeheer. Bedrijfscontinuïteit richt zich op het voortzetten van belangrijke processen op een vooraf bepaald acceptabel niveau tijdens een crisis. Algeheel crisisbeheer omvat crisisteams, incidentrespons en communicatie om de totale impact van verschillende soorten crises te beheersen, dus niet altijd van bedrijfscontinuïteitsincidenten, maar bijvoorbeeld ook grootschalige datalekken, geweld, fraude en dergelijke. Crisisbeheer is een onderwerp dat niet expliciet wordt genoemd in ISO 27002, NEN 7510 of de BIO. In de NIS2 wordt een crisis expliciet als type incident benoemd. Het lijkt erop dat NIS2 een breder begrip van continuïteit hanteert dan enkel op het vlak van informatiebeveiliging. De ISO 27002 behandelt weliswaar de ICT-gereedheid voor bedrijfscontinuïteit, maar richt zich niet op de producten en diensten van de organisatie in het kader van bedrijfscontinuïteit, wat juist wel centraal staat bij bedrijfscontinuïteit in de NIS2.
Hoe ga je aan de slag met crisisbeheer en bedrijfscontinuïteit conform NIS2?
Bedrijfscontinuïteitsmanagement (BCM) is een proces dat organisaties voorbereidt op langdurige verstoringen, zodat kritieke activiteiten kunnen doorgaan. Het omvat risicoanalyse, strategieontwikkeling, continuïteitsplanning, oefeningen en personeelstraining. Bij het starten met Business Continuity Management (BCM), is het van belang om eerst de producten en/of diensten van de organisatie in kaart te brengen, oftewel de core business. Vervolgens dienen de primaire bedrijfsprocessen of activiteiten te worden geïdentificeerd die nodig zijn om deze producten en/of diensten te kunnen leveren. Het kan hierbij nuttig zijn om een top 3 of top 10 van belangrijkste kritieke processen of activiteiten te selecteren voor verdere analyse. Deze processen kunnen worden geanalyseerd door middel van een bedrijfsimpactanalyse (BIA). Ons advies is om daarbij elk proces of activiteit apart te analyseren.
In de BIA wordt onderzocht welke middelen (zoals ICT, gebouwen, mensen en faciliteiten) minimaal nodig zijn om de processen op een vooraf gedefinieerd niveau te kunnen blijven uitvoeren wanneer een BCM-incident zich voordoet. Vooral met het oog op cyberaanvallen is het belangrijk om te bepalen welke informatie nodig is om de processen uit te voeren (zoals contactgegevens, procedures, plannen, belangrijke documenten of formats) en of deze nog steeds beschikbaar zijn in het geval van systeemuitval. In een BIA wordt ook de Recovery Time Objective (RTO) en Recovery Point Objective (RPO) vastgesteld, wat de hersteldoelstelling per proces en het maximaal acceptabele dataverlies aangeeft. Lees hier meer over in de blog van Joris.
Tijdens deze analysefase wordt bekeken welke continuïteitsstrategieën moeten worden gehanteerd. Denk daarbij aan het verplaatsen van on-premise systemen naar de cloud, het gebruik van een tweede datacenter als uitwijk mogelijkheid en/of het implementeren van redundantie.
De volgende stap is het opstellen van een algemeen bedrijfscontinuïteitsplan. In dit plan worden onder andere de resultaten van alle BIA’s gebundeld en beschreven hoe en wanneer het crisisteam actief wordt bij een bedrijfscontinuïteitsincident of -crisis en hoe zo’n situatie wordt gemanaged. Het crisisteam bestaat uit sleutelmedewerkers met specifieke verantwoordelijkheden in een crisissituatie.
Vervolgens is het van belang om te beoordelen of de huidige maatregelen afdoende zijn, welke aanvullende maatregelen nodig zijn en wie verantwoordelijk is voor de uitvoering hiervan. Daarnaast moeten verschillende onderliggende plannen worden opgenomen in het bedrijfscontinuïteitsplan, zoals een fysieke uitwijkprocedure, IT-uitwijkprocedure of specifieke continuïteitsplannen per afdeling of scenario.
Ons advies is om te beginnen met een risico gebaseerde aanpak, waarbij de focus ligt op de meest kritieke processen in combinatie met een algemeen bedrijfscontinuïteitsplan. Dit kan vervolgens worden uitgebreid met meer processen of aanvullende plannen per afdeling, afhankelijk van de behoeften en de meest voorkomende scenario’s.
De NIS2 vereist een actievere rol van organisaties met betrekking tot de beveiliging van hun toeleveringsketen. Wat NIS2 onderscheidt van andere informatiebeveiligingsnormen is de nadruk op het waarborgen van informatiebeveiliging binnen de gehele toeleveringsketen. Dit betekent dat niet alleen IT-leveranciers, maar alle leveranciers de beveiligingsnormen moeten naleven. Dit omvat het maken van goede afspraken met leveranciers, evalueren van beveiligingsmaatregelen, handhaven van contractuele verplichtingen met betrekking tot informatiebeveiliging, monitoren van naleving en opvolgen van belangrijke incidenten die directe invloed hebben in de keten. Leveranciersmanagement in de ISO 27002, NEN 7510 en BIO richt zich op IT-leveranciers en niet zo zeer op de overige leveranciers van de organisatie. Het doel van de beveiligingsnaleving in de toeleveringsketen volgens NIS2 is om inzicht te krijgen in de leveranciers van jouw organisatie en hun aanpak van informatiebeveiliging. Als zij hun beveiliging op orde hebben, is de kans kleiner dat zij omvallen. Hierdoor kunnen zij hun diensten en producten aan jouw organisatie blijven leveren.
Hoe ga je aan de slag met leveranciersmanagement conform NIS2?
Een praktische aanpak hiervoor is om te beginnen met het identificeren en prioriteren van de belangrijkste leveranciers voor de organisatie, waarbij de focus ligt op hun impact op de bedrijfsvoering en de risico’s die zij met zich meebrengen. Voorafgaand aan samenwerkingen met leveranciers is het belangrijk om risicobeoordelingen uit te voeren, waarbij factoren als financiële stabiliteit, naleving van regelgeving en gegevensbeveiliging worden geanalyseerd. Zorg ervoor dat informatiebeveiligingsclausules in leveranciersovereenkomsten worden opgenomen. Richt een proces in voor het regelmatig monitoren en beoordelen van leveranciersprestaties, zodat veranderingen effectief beheerd kunnen worden. Hierbij worden KPI’s, SLA’s en periodieke beoordelingen gebruikt om te bepalen of leveranciers aan de verwachtingen en afspraken voldoen. Optimaliseer contractbeheer door duidelijke contracten op te stellen en te beheren, met vastgelegde rechten, verantwoordelijkheden, SLA’s en exitclausules. Implementeer een beheerproces dat periodieke herzieningen plant, naleving monitort en risico’s beheert om negatieve gevolgen te voorkomen. Open communicatie en samenwerking met leveranciers is zeer belangrijk voor het opbouwen van sterke werkrelaties en het snel aanpakken van eventuele problemen. Tot slot is continue verbetering een doorlopend proces, waarbij het leveranciersmanagementproces regelmatig moet worden geëvalueerd en aangepast om de efficiëntie en effectiviteit te verbeteren op basis van eerdere ervaringen en nieuwe inzichten.
Heeft jouw organisatie hulp nodig bij de implementatie van de NIS2, inclusief het implementeren van de onderliggende verplichtingen? Cuccibu is dé partner die je zoekt. We kunnen een gapanalyse uitvoeren om te kijken waar jouw organisatie staat ten opzichte van de NIS2 (en in vergelijking met andere normenkaders voor informatiebeveiliging). Daarnaast ondersteunen wij bij het implementeren van de maatregelen voor onder andere risicomanagement, incidentmanagement (deel 1), crisisbeheer en bedrijfscontinuïteit, cyberhygiëne en awareness (deel 3). Als integrale dienstverlener kunnen wij jouw organisatie volledig ontzorgen, zowel op het gebied van Information– en Cyber Security als Privacy & Legal en QHSE (kwaliteit, arboveiligheid en milieu). Neem vrijblijvend contact op en we vertellen je graag meer over de mogelijkheden.
Reduce Risk, Create Value!
Bronnen: Mapping NIS2-maatregelen en NEN-EN-ISO/IEC 27002/BIO (Digitale Overheid).