Klaar voor de NIS2-richtlijn? Uw checklist voor een soepele overgang!

De vier verplichtingen

Voor ondernemingen die onder de NIS2-richtlijn vallen, gelden vier soorten verplichtingen: een registratieverplichting, een zorgplicht, een meldplicht en tot slot het verplichte toezicht. In een eerdere blog zijn wij al ingegaan op deze verplichtingen. Voor beantwoording van de vraag welke maatregelen genomen dienen te worden om aan de NIS2-richtlijn te voldoen, is met name de zorgplicht van belang. Op grond van de richtlijn geldt namelijk dat bedrijven maatregelen moeten nemen om de netwerk- en informatiesystemen te beschermen tegen incidenten én om de gevolgen van incidenten voor afnemers te beperken. Hetzelfde geldt overigens voor de fysieke omgeving waarin de systemen zich bevinden.

Maar het ‘treffen van maatregelen’ is nog steeds redelijk vaag. Wat moet uw onderneming nou precies doen om te voldoen aan de NIS2-richtlijn? De richtlijn zelf geeft tien maatregelen waar tenminste aan voldaan moet worden om aan de zorgplicht te voldoen. Deze maatregelen zullen in deze blog kort benoemd en toegelicht worden.

De tien maatregelen

1. Beleid inzake risicoanalyse en beveiliging van informatiesystemen
   
   Voer een risicoanalyse uit en maak daarover beleid. Uit dit beleid moet volgen wat het doel is van de analyse, wie er betrokken is bij de uitvoering van de analyse, welke rollen en verantwoordelijkheden er zijn, hoe vaak een risicoanalyse wordt uitgevoerd en wat er vervolgens met de uitkomsten wordt gedaan. Zo kan er bijvoorbeeld voor gekozen worden een risico te accepteren, maar kan ook besloten worden het risico op te lossen, te stoppen of over te dragen.
   
   
2. Beveiliging bij het beheren, ontwikkelen en onderhouden van netwerken en systemen
   
   Indien u door een incident niet meer bij de informatie op uw systemen kunt, kan hierdoor uw gehele organisatie stil komen te liggen. Het is daarom belangrijk om uw netwerk goed te beveiligen (bijvoorbeeld door een 'firewall') en deze beveiliging te monitoren. Daarnaast dient er beleid te zijn over hoe er omgegaan dient te worden met de configuratie van het netwerk en de systemen, maar ook over het uitvoeren van reparaties en onderhoud. Om de beveiliging zo sterk mogelijk te houden, is tevens het tijdig uitvoeren van beveiligingsupdates van belang. De maatregelen dienen goed gemonitord te worden. Belangrijk is ook om goede afspraken te maken met uw IT-leveranciers, zodat duidelijk is wie verantwoordelijk is voor de beveiliging van uw netwerken en systemen.
   
   
3. Het gebruik van multifactorauthenticatie en beveiligde communicatie
   
   Door middel van een multifactorauthenticatie (MFA) wordt gebruikgemaakt van twee verschillende factoren om rechtmatige toegang vast te stellen, bijvoorbeeld via een controle e-mail of via een applicatie. Gebruik deze MFA’s in ieder geval op essentiële systemen, voor accounts die via het internet bereikbaar zijn en voor accounts met beheersrechten.
   
   
4. Cyberhygiëne en opleiding op het gebied van cyberbeveiliging
   
   Cyberincidenten kunnen ontstaan door verkeerde bedoelingen van buitenaf. Het grootste deel van de incidenten ontstaat echter door menselijke fouten van binnenuit uw organisatie. Zorg er dus voor dat elke medewerker bewust is van cyberrisico’s door ze regelmatig te informeren over het gebruik van wachtwoorden, multifactorauthenticatie, het uitvoeren van updates, veilig e-mailgebruik en anti-phising. In deze blog beschreven wij ook al dat het volgen van een opleiding voor bestuurders essentieel is.
   
   
5. Beveiligingsaspecten ten aanzien van personeel, toegangsbeleid en het beheer van activa
   
   Naast beleid voor al bestaand personeel is het ook belangrijk dat er procedures zijn voor nieuwe werknemers. Zeker in het kader van nieuwe medewerkers, vertrekkende medewerkers of functiewisselingen is een administratie van toegangsrechten noodzakelijk. Wie heeft toegang tot welke systemen en wat zijn de rollen en rechten daarbinnen? Naast het personeel vormt ook de activa (zoals computers, telefoons en USB-sticks) van een onderneming een risico. Zorg dus voor veilig gebruik, maar evenzeer voor goede opslag, transport en vernietiging indien de activa is afgeschreven.
   
   
6. Beleid en procedures inzake het gebruik van cryptografie en encryptie
   
   Cryptografie wordt gebruikt om gegevens te versleutelen, zodat alleen mensen met toestemming de informatie kunnen lezen. Op deze manier wordt de vertrouwelijkheid daarvan gewaarborgd. In een beleidsdocument moet worden vastgelegd welke technieken worden ingezet om deze vertrouwelijkheid van informatie te garanderen. Daaruit moet bijvoorbeeld ook blijken hoe sleutels worden gegenereerd of kunnen worden vernietigd.
   
   
7. Beleid en procedures om de effectiviteit van beheersmaatregelen te beoordelen
   
   Uit voorgaande blijkt dat het opstellen van een passend en goed beleid een belangrijke stap is om te kunnen voldoen aan de NIS2-richtlijn. Om het gemaakte beleid en de genomen maatregelen geschikt te houden, moeten deze regelmatig getoetst en geëvalueerd worden. Dit kan bijvoorbeeld door middel van een securitytest.
   
   
8. Beveiliging van de toeleveringsketen
   
   Veel bedrijven zijn afhankelijk van de producten van toeleveranciers. Een incident bij de één kan daardoor veel gevolgen hebben bij de ander. Zorg er daarom voor dat u beschikt over beleid waarin de afhankelijkheid van leveranciers in kaart wordt gebracht, maar ook de risico’s die dit met zich brengt. Leg daarnaast gemaakte afspraken met toeleveranciers contractueel vast. Duidelijk moet zijn wie waarvoor verantwoordelijk is (zoals beveiliging (zie punt 2), updates en back-ups) en wat de afspraken zijn in geval van een incident.
   
   
9. Incidentenbehandelingsplan
   
   Bij een incident is het belangrijk dat er snel en goed gereageerd wordt. Maak daarom beleid waarin u taken benoemt en verantwoordelijkheden toekent. Zet een meldpunt op en communiceer het beleid vervolgens met alle medewerkers. De sleutel tot een goede behandeling is het blijven opleiden en het oefenen van cyberincidenten. Zorg er ook voor dat het beleid toegankelijk is in geval van een incident.
   
   
10. Bedrijfscontinuïteitsplan; back-upbeheer, noodvoorzieningen en crisisbeheer
    
    Een cyberaanval kan ervoor zorgen dat de activiteiten van een onderneming gedurende lange periode stilliggen. Gelet op de kritieke toestand die zich dan voordoet, is het goed om vooraf een plan op te stellen en na te denken over de bedrijfscontinuering. Een bedrijfscontinuïteitsplan omvat een aantal stappen, zoals een risicoanalyse, een priorisering van deze risico’s, gevolgd door het opstellen van een beleid hoe, wanneer en door wie het plan in werking wordt gezet.

Ondanks dat de implementatie van de Europese wetgeving nog even op zich laat wachten, zijn er zeker stappen die al genomen kunnen worden om uw organisatie voor te bereiden op de NIS2-richtlijn. Een essentiële eerste stap is het uitvoeren van een risicoanalyse, om vervolgens maatregelen te kunnen doorvoeren zodat jouw organisatie beter beschermd is voor deze risico’s (bijvoorbeeld door opleidingen aan te bieden of het toepassen van MFA’s). Mocht er zich tóch een incident voor doen, zorg dan dat er beleid is over hoe en door wie er gehandeld moet worden in het geval van een incident, mede met het oog op de continuïteit van uw bedrijf.