De Rijksoverheid adviseert organisaties om niet af te wachten totdat de wet- en regelgeving volledig duidelijk is. De risico’s die organisaties en systemen lopen, zijn er immers nu ook al. Organisaties die nu al in actie komen beveiligen zich niet alleen tegen deze bestaande risico’s, maar zijn straks ook beter voorbereid op de komst van de nieuwe wetgeving. Bereid jouw organisatie tijdig voor op de nationale wetgeving die uit de NIS2-richtlijn voortkomt. Om te voldoen aan de zorgplicht, adviseert het NCSC tenminste onderstaande drie stappen te nemen.
Maak een risico analyse
Digitale dreigingen kunnen grote risico’s met zich meebrengen voor uw dienstverlening. Via een helder en cyclisch risicomanagementbeleid kunt u komen tot een passend niveau van (digitale) weerbaarheid. Dat begint met een risicoanalyse waarin de te beschermen belangen, dreigingen en de huidige weerbaarheid van uw organisatie worden bekeken. Op basis hiervan kunt u weloverwogen keuzes maken hoe om te gaan met de gevonden risico’s.
U kunt uw risicoanalyse sturen door de volgende vragen te beantwoorden:
- Wat zijn de kroonjuwelen/te beschermen belangen van mijn organisatie?
Door in kaart te brengen welke zaken cruciaal zijn voor uw organisatie en/of dienstverlening, kunt u afwegingen maken om de juiste maatregelen te nemen om deze belangen te beschermen. Voorbeelden van kroonjuwelen kunnen zijn: klantgegevens, productiemethoden, gegevens over uw medewerkers, financiële gegevens of de reputatie van uw organisatie. - Welke dreigingen zijn er ten opzichte van de beschikbaarheid, integriteit en vertrouwelijkheid (BIV) van de te beschermen belangen?
Dreigingen kunnen zich richten op de Beschikbaarheid (is uw informatie toegankelijk wanneer dat nodig is?), Integriteit (is uw informatie correct?) of Vertrouwelijkheid (hebben enkel geautoriseerden toegang tot uw informatie?). Deze BIV-classificatie kunt u gebruiken om te bepalen waar de dreigingen zich op richten. Door de dreigingen per te beschermen belang in kaart te brengen krijgt u een duidelijk overzicht. - Hoe verhoudt de huidige weerbaarheid van de te beschermen belangen zich tot de dreigingen?
Door het beantwoorden van deze vraag brengt u de huidige weerbaarheid van uw organisatie in kaart. Voorbeelden van weerbaarheidsmaatregelen zijn het implementeren van multi-factorauthenticatie en training van uw personeel. Inzicht in uw te beschermen belangen, dreigingen en uw weerbaarheid, zorgen ervoor dat u weet welke risico’s u loopt. Hierdoor is duidelijker grip te krijgen op de passende maatregelen die u kunt treffen om uw digitale weerbaarheid te vergroten
Neem passende maatregelen
Via uw risicomanagementproces krijgt u zicht op de passende maatregelen. Welke maatregelen passend zijn is maatwerk en afhankelijk van de beoordeling van uw risico’s.
- Het vaststellen van eigenaarschap van informatie.
Om de beveiliging van informatie op orde te krijgen, is het noodzakelijk om de bijbehorende risico’s inzichtelijk te maken en onacceptabele risico’s te beheersen. De waarde van informatie is daarbij een belangrijk uitgangspunt. Beleg het eigenaarschap van informatie en de daarvoor geldende risico’s en bepaal de bijbehorende verantwoordelijkheden. - Het bevorderen van veilig gedrag binnen uw organisatie
Medewerkers die zich bewust zijn van de risico’s rondom informatiebeveiliging, weten hoe zij moeten handelen in het geval van onveilige situaties en dragen een belangrijke steen bij aan de digitale weerbaarheid. Dit geldt niet alleen voor medewerkers, ook voor bestuurders en managers. Een cultuur waarin incidenten veilig gemeld en verwerkt kunnen worden, helpt hierbij. - Het verankeren van risicomanagement in uw organisatie
Het is van belang dat de organisatorische kant van cybersecurity goed geregeld is binnen uw organisatie. Door het juist beleggen van verantwoordelijkheden zorgt u ervoor dat de risicomanagementcyclus verankerd is.
Zorg voor procedures
Naast het nemen van passende maatregelen om incidenten te voorkomen, is het van belang procedures te ontwikkelen voor het detecteren, monitoren, oplossen en melden van incidenten. Zo kunt u snel en adequaat reageren wanneer uw organisatie wordt getroffen.
Organisaties die straks onder de NIS2-wetgeving vallen zijn verplicht om incidenten te melden bij de nationale en/of sectorale CSIRT en de toezichthouder. Hiervoor wordt een centrale meldvoorziening ingericht. Factoren die een incident melding plichtig maken zijn bijvoorbeeld een verstoring van diensten of het aantal personen dat door het incident getroffen wordt.
Plichten
Organisaties die onder de NIS2-richtlijn komen te vallen krijgen te maken met zowel een zorgplicht als een plicht om zichzelf te registeren. Dit betekent dat zij enerzijds maatregelen moeten nemen om hun netwerk- en informatiesystemen tegen incidenten te beschermen. Anderzijds moeten ze zich pro-actief registreren om zo een Europees breed beeld te realiseren van het aantal entiteiten onder de NIS2. Op dit moment wordt gewerkt aan een centraal registratiepunt.
Nieuw infosheets van de overheid gaan in op de registratie en zorgplicht.
Wie moeten zich registeren? Check het op deze pagina https://www.ncsc.nl/over-ncsc/documenten/publicaties/2024/april/30/infosheet-registratieplicht
Meer informatie op https://www.ncsc.nl/over-ncsc/documenten/publicaties/2024/februari/27/infosheet-nis2-verplichtingen-zorgplicht
Direct downloaden van het NIS2 infosheet Zorgplicht via https://www.ncsc.nl/binaries/ncsc/documenten/publicaties/2024/februari/27/infosheet-nis2-verplichtingen-zorgplicht/20022024_NCSC_Informatiesheet_Zorgplicht.pdf
