De Europese Unie (EU) heeft in december 2022 de Network and Information Security (NIS2) directive gepubliceerd. Dit is een richtlijn gericht op de verbetering van de digitale weerbaarheid van de Europese lidstaten.
In een driedelige blogserie neemt Information Security Consultant Max je mee in de maatregelen uit de NIS2-richtlijn en hoe deze verschillen van andere normenkaders voor informatiebeveiliging. Het voldoen aan deze normenkaders, zoals ISO 27001, NEN 7510 en/of de Baseline Informatiebeveiliging Overheid (BIO) vormt een goede voorbereiding, maar betekent niet dat een organisatie volledig voldoet aan de verplichtingen uit de NIS2-richtlijn. In deze blogserie focussen we op de verschillen. Waar mogelijk geeft Max voorbeelden van hoe jouw organisatie zich kan voorbereiden op deze maatregelen. De volgende thema’s komen aanbod:
Ons whitepaper ‘NIS2 in vogelvlucht‘ biedt een algemeen overzicht van de NIS2-richtlijn en de bijbehorende aspecten. Wil je weten of jouw organisatie onder de NIS2-richtlijn valt? Check het hier. Het is van belang op te merken dat alle informatie in deze blogserie gebaseerd is op de ‘NIS2-directive’ gepubliceerd door de Europese Unie. Het is mogelijk dat maatregelen kunnen verschillen zodra Nederland de ‘NIS2-directive’ heeft omgezet naar nationale wetgeving. De maatregelen in deze blog komen voort uit de zorgplicht en/of meldplicht van de NIS2.
NIS2 legt nadruk op het maken van risicoanalyses en risicobeheer in informatiebeveiliging. Het is aan de lidstaten om eventuele verplichtingen op te stellen inzake risicobeheer. Net als ISO 27001, BIO en NEN 7510 wordt ook voor NIS2 een risico gestuurde benadering gehanteerd. In deze normen zie je dat de beheersmaatregelen om risico’s af te dekken zich vooral focussen op vertrouwelijkheid. Voor NIS2 geldt echter dat naast maatregelen ter bescherming van de vertrouwelijkheid ook meer maatregelen gericht zijn op beschikbaarheid en continuïteit van processen en gegevens. Het implementeren van risicomanagement omvat het in kaart brengen van de risico’s, het in beeld brengen van de status van de genomen maatregelen, en hier methodisch en structureel mee omgaan volgens de PDCA-cyclus (Plan, Do, Check, Act). Dit creëert het vermogen om verantwoording af te leggen aan het management, de directie, partners en de toezichthouder. Het is belangrijk om duidelijkheid te hebben over wie de eigenaren van de risico’s zijn en om bewustzijn te creëren rondom deze risico’s.
Hoe ga je aan de slag met risicomanagement conform NIS2?
Maak inzichtelijk en breng in kaart welke onderdelen van de organisatie aanwezig zijn, zoals afdelingen, processen, bedrijfsmiddelen en applicaties. Classificeer ze op basis van hun belang en identificeer vervolgens stapsgewijs de kritieke onderdelen:
Door deze aanpak krijg je een gestructureerd beeld van de organisatie en kun je gericht risicoanalyses uitvoeren, waarbij de focus ligt op de meest kritieke aspecten. Om de risico’s effectief te managen is het belangrijk om de volgende stappen uit te voeren:
Door deze stappen te volgen kan je onderzoeken hoe de gevolgen van risico’s verminderd of geminimaliseerd kunnen worden, samen met het verlagen van de kans op het voordoen van het risico.
Incidentregistratie kent aanvullende eisen ten aanzien van de ISO 27002, NEN 7510 en de BIO. Artikel 23 van de NIS2-richtlijn vereist dat organisaties meer inzicht hebben in hun incidenten. Incidenten, met operationele verstoringen of financiële verliezen voor betrokkenen, moeten gemeld worden bij het Computer Security Incident Response Team (CSIRT) of, indien van toepassing, bij de toezichthouder. Ook moeten de personen die direct betrokken zijn, zoals werknemers, klanten, leveranciers en andere belanghebbenden, op de hoogte worden gebracht. CSIRT’s zijn externe computercrisisteams, georganiseerd vanuit de overheid, die hulp verlenen bij incidenten en dreigingen bij vitale aanbieders, onderdelen van het Rijk of digitale dienstverleners (DSP’s). Daarnaast moet je bij het CSIRT melden welke maatregelen je gaat nemen om het incident te verhelpen of in de toekomst te voorkomen. Er zijn verschillende CSIRT en toezichthouders, afhankelijk van de sector waar jouw organisatie actief in is. Kijk hier bij welke CSIRT jij moet zijn. Deze verplichting is opgenomen in de meldplicht van de NIS2-richtlijn. Volgens de meldplicht moeten beveiligingsincidenten binnen 24 uur worden gemeld, gevolgd door een Root Cause Analysis (RCA). De RCA moet binnen 72 uur uitgevoerd worden met als doel het achterhalen van de oorzaak van het incident. Daarna volgt een periode van één maand voor een post-mortem analyse, waarna de oorzaak, detectie, oplossing en de geleerde lessen bekend moeten zijn.
Hoe ga je aan de slag met incidentmanagement conform NIS2?
Het is belangrijk om tijdig te kunnen reageren op incidenten. Het inrichten van incidentmanagement begint met het vastleggen van een duidelijk én gedocumenteerd incidentmanagementbeleid en -proces, met daarin:
Na het oplossen van een incident is het belangrijk om te evalueren en de zwakke punten en gebieden voor verbetering te identificeren. Tegelijkertijd is het ook waardevol om voortdurend de zwakke plekken in kaart te brengen en het proces indien nodig aan te passen.
Een Security Information and Event Management (SIEM) en Security Operations Center (SOC) kunnen ondersteunen bij het reageren op incidenten. Een SIEM verzamelt, analyseert en rapporteert beveiligingsgegevens van verschillende bronnen, zoals netwerkapparaten en systemen, om potentiële bedreigingen te identificeren. Een SOC is verantwoordelijk voor het monitoren, detecteren, analyseren en reageren op beveiligingsincidenten. Het SOC maakt gebruik van de gegevens en inzichten van de SIEM om verdachte activiteiten te identificeren, onderzoek te doen naar de oorzaken van beveiligingsincidenten en passende maatregelen te nemen om bedreigingen te beperken.
Heeft jouw organisatie hulp nodig bij de implementatie van de NIS2, inclusief het implementeren van de onderliggende verplichtingen? Cuccibu is dé partner die je zoekt. We kunnen een gapanalyse uitvoeren om te kijken waar jouw organisatie staat ten opzichte van de NIS2 (en in vergelijking met andere normenkaders voor informatiebeveiliging). Daarnaast ondersteunen wij bij het implementeren van de maatregelen voor onder andere risicomanagement, incidentmanagement, crisisbeheer en bedrijfscontinuïteit (deel 2), cyberhygiëne en awareness (deel 3). Als integrale dienstverlener kunnen wij jouw organisatie volledig ontzorgen, zowel op het gebied van Information– en Cyber Security als Privacy & Legal en QHSE (kwaliteit, arboveiligheid en milieu). Neem vrijblijvend contact op en we vertellen je graag meer over de mogelijkheden.
Reduce Risk, Create Value!
Bron: Mapping NIS2-maatregelen en NEN-EN-ISO/IEC 27002/BIO (Digitale Overheid).