door Gorik Van den Bergh en Frederik Vervoort
In een eerder artikel bespraken we wat de nieuwe NIS2-richtlijn die het Europees Parlement heeft aangenomen precies inhoudt. In dit tweede deel gaan we dieper in op een aantal maatregelen en procedures die volgens de Europese NIS2-richtlijn minimaal in plaats moeten zijn om de kwetsbaarheid van jouw organisatie te verminderen en de weerbaarheid tegen cyberaanvallen te vergroten (en sancties te vermijden).
De essentiële en belangrijke organisaties die onder het toepassingsgebied van de NIS2-richtlijn vallen, moeten gepaste en proportionele maatregelen nemen om de beveiligingsrisico’s met betrekking tot hun netwerk en informatiesystemen te beheren en om incidenten te voorkomen of de gevolgen van incidenten voor de afnemers van hun diensten te beperken.
Deze maatregelen houden minimaal het volgende in:
beleid inzake risicoanalyse en beveiliging van informatiesystemen;
incidentenbehandeling;
bedrijfscontinuïteit, zoals back-upbeheer en noodvoorzieningenplannen, crisisbeheer;
de beveiliging van de toeleveringsketen, met inbegrip van de relaties tussen elke entiteit en haar rechtstreekse leveranciers of dienstverlener;
beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, met inbegrip van de respons op en bekendmaking van kwetsbaarheden;
beleid en procedures om de effectiviteit van maatregelen voor het beheer van cyberbeveiligingsrisico’s te beoordelen;
basispraktijken op het gebied van cyberhygiëne en opleiding op het gebied van cyberbeveiliging;
beleid en procedures inzake het gebruik van cryptografie en, in voorkomend geval, encryptie;
beveiligingsaspecten ten aanzien van personeel, toegangsbeleid en beheer van activa;
wanneer gepast, het gebruik van multifactor-authenticatie of continue authenticatie-oplossingen, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen binnen de entiteit.
Het is aanbevolen om het NIS2-compliance project te benaderen als een (ICT-)project:
Zorg ervoor dat je de steun, budget en resources van het topmanagement verkrijgt en de nodige betrokkenheid van stakeholders;
Zet een concrete planning op en werk projectmatig met vaste deadlines;
Identificeer de kritische diensten, processen en assets ter ondersteuning van de essentiële dienstverlening zoals beschreven door NIS2 (bv. door middel van een organisatiewijde Business Impact Analyse).
Indien er nog geen managementsysteem voor informatiebeveiliging is opgezet, is dit de eerstvolgende stap. Het opzetten van een dergelijk Information Security Management System (ISMS), inclusief het identificeren en evalueren van informatieveiligheidsrisico’s, is van cruciaal belang.
Indien er reeds een ISMS in plaats is, kan je meteen aan de slag met het uitvoeren van de ‘gap-analyse’. Evalueer in welke mate er reeds voldaan wordt aan de NIS2-vereisten; welke zijn de quick wins en wat zijn de aandachtspunten die meer inspanning en tijd zullen vragen?
Aan de hand van de inzichten op basis van bovenstaande stappen kunnen er concrete acties geformuleerd worden om de ‘compliance gap’ t.o.v. NIS2 te dichten. De implementatie van NIS2-maatregelen is een holistische benadering, waarin menselijke, technische en organisatorische aspecten worden geïntegreerd. Alleen door deze drie pijlers samen te brengen, kunnen organisaties hun digitale infrastructuur effectief beschermen en voldoen aan de vereisten van NIS2.
Op menselijk gebied moeten organisaties allereerst investeren in cybersecuritybewustzijn en -training voor hun personeel. Menselijke maatregelen omvatten ook het instellen van duidelijke procedures voor het melden van incidenten en het opleiden van medewerkers om snel te reageren op beveiligingsincidenten.
Op technisch gebied zijn er geavanceerde beveiligingstechnologieën nodig. Dit omvat het installeren van firewalls, intrusiedetectiesystemen, encryptie, antivirussoftware en andere technische oplossingen om netwerken en systemen te beschermen tegen cyberaanvallen. Het patchen en up-to-date houden van software en systemen is eveneens van cruciaal belang.
Organisatorische maatregelen omvatten het ontwikkelen van een gedegen beveiligingsbeleid en het vaststellen van procedures voor het beheer van beveiligingsincidenten. Dit beleid moet duidelijke verantwoordelijkheden definiëren, evenals mechanismen voor risicobeoordeling en beveiligingsaudits. Organisaties moeten ook het ‘least privilege' principe toepassen om ervoor te zorgen dat medewerkers alleen toegang hebben tot de informatie en systemen die strikt noodzakelijk zijn voor hun functie.
Monitoring houdt in dat organisaties voortdurend toezicht houden op hun netwerk- en informatiesystemen. Dit omvat het detecteren van potentiële beveiligingsincidenten, zoals cyberaanvallen en datalekken, in een vroeg stadium.
Daarnaast is continue verbetering essentieel om te voldoen aan de vereisten van de NIS2-richtlijn. Dit kan je bereiken door het herzien en verbeteren van het beveiligingsbeleid, het updaten van technische maatregelen en het trainen van personeel op het vlak van cybersecuritybewustzijn.
Je bent niet zeker of en in welke mate je moet voldoen aan NIS2?
Je wenst meer inzicht te krijgen in welke concrete maatregelen er nog ontbreken om NIS2 compliant te zijn?
Je twijfelt over de juiste aanpak?
Onze experten adviseren jou en bieden indien gewenst ondersteuning bij de implementatie van de nodige veiligheidsmaatregelen om NIS2-compliant te zijn.
Meer weten over de cybersecurity compliance van jouw organisatie? Neem dan contact op met Gorik.vandenbergh@vdl.be of cyber@vdl.be.
Om dit formulier te kunnen versturen moet u het gebruik van technische cookies aanvaarden. Dat kan u hier aanpassen.
Deze cookies worden gebruikt om onderscheid te maken tussen mensen en bots. Bepaalde gegevens, zoals uw IP adres of taal, kunnen hierbij doorgestuurd worden naar Google. Meer info vindt u in onze cookieverklaring.
Gorik Van den Bergh
Certified Information Systems Auditor Gorik.VandenBergh@vdl.be
Frederik Vervoort
Managing consultant frederik.vervoort@vdl.be
Disclaimer
Bij onze adviezen baseren wij ons op de huidige wetgeving, interpretaties en rechtsleer. Dit verhindert niet dat de administratie deze kan betwisten of dat bestaande interpretaties kunnen wijzigen.
Lees onze laatste inzichten en nieuwsberichten om op de hoogte te blijven van veranderingen in jouw sector.