Digitaal, fysiek en organisatorisch: de Europese NIS2-richtlijn, die op dit moment wordt vertaald naar de Cyberbeveiligingswet, verplicht bedrijven hun beveiliging structureel te versterken. De wet kent drie verplichtingen: de zorgplicht, de registratieplicht en de meldplicht. Bent u voorbereid?
De zorgplicht binnen de Cyberbeveiligingswet gaat verder dan IT-beveiliging alleen en vraagt om een strategische benadering van risico’s. De zorgplicht verplicht essentiële en belangrijke entiteiten maatregelen te nemen om hun netwerk- en informatiesystemen tegen incidenten te beschermen. Hetzelfde geldt voor de fysieke omgeving waarin de systemen zich bevinden.
De NIS2-richtlijn (Network and Information Security Directive) is van toepassing op organisaties in specifieke vitale sectoren waaronder zorg, energie, vervoer, ICT en overheid. Deze organisaties zijn wettelijk verplicht om risico’s structureel te beheersen en zich beter te beschermen tegen cyberaanvallen en andere verstoringen. De maatregelen richten zich op preventie, detectie en respons. Via deze checklist kunt u controleren of de richtlijn van toepassing is op uw organisatie.
De wet bevat tien verplichte zorgplichtmaatregelen. Dit zijn de minimale maatregelen. Hieronder vindt u een beschrijving van wat er van u wordt verwacht én hoe u zich praktisch voorbereidt.
Een actuele risicoanalyse is het fundament van een goede beveiligingsstrategie. U brengt in kaart welke dreigingen relevant zijn voor uw organisatie, wat de mogelijke impact is en waar u het eerst moet ingrijpen.
Beveiliging begint bij mensen en processen. Registreer wie toegang heeft tot welke systemen, beheer assets zorgvuldig en voorzie in heldere procedures voor in-, door- en uitstroom van personeel. Denk ook aan antecedentenonderzoek en veilige offboarding.
Stilstand van bedrijfsprocessen kan grote gevolgen hebben. Met een BCP bereidt u zich voor op verstoringen door onder andere back-upbeheer, herstelprocedures, noodcommunicatie en crisisteams. Test het plan regelmatig in de praktijk.
Reageer snel en effectief op incidenten door rollen, verantwoordelijkheden en communicatielijnen vast te leggen in een incident response plan. Denk ook aan meldprocedures richting toezichthouders en samenwerking met externe partijen.
Cyberhygiëne begint met eenvoudige, maar effectieve maatregelen zoals patchbeheer, sterke wachtwoorden, toegangsbeheer en netwerksegmentatie. Ondersteun dit met bewustwordingstrainingen voor medewerkers, zodat iedereen veilig gedrag herkent en toepast.
Zorg dat het beleid rond de beveiliging van netwerken en systemen niet alleen in de praktijk wordt toegepast, maar ook formeel is vastgelegd. Beschrijf hoe u veilige softwareontwikkeling waarborgt, hoe u omgaat met kwetsbaarheden en hoe u updates en patches beheert.
Analyseer de beveiligingsrisico’s in de relatie met directe leveranciers en dienstverleners. Maak afspraken over informatiebeveiliging, monitoring en incidentmelding. Leg deze vast en herzie ze periodiek, zeker bij wijzigingen in de keten.
Versleutel gegevens tijdens opslag en transport wanneer passend. Zorg dat beleid en procedures voor het gebruik van cryptografie en sleutelbeheer zijn vastgelegd, met speciale aandacht voor beheer op afstand en toegang tot gevoelige data.
Met MFA of vergelijkbare technieken voorkomt u dat een gestolen wachtwoord leidt tot een datalek of systeeminbraak.
Beveiliging is nooit af. Richt een cyclisch proces in om uw maatregelen te toetsen, bij te stellen en continu te verbeteren op basis van nieuwe risico’s en inzichten.
Hoewel de wet nog in voorbereiding is, is het verstandig om nu al werk te maken van uw beveiliging. Een nulmeting op basis van de zorgplichtmaatregelen helpt u inzicht te krijgen in de huidige situatie en prioriteiten te stellen.
Door te starten met een grondige risicoanalyse legt u de basis voor alles wat volgt. Daarnaast is bewustwording cruciaal: veel aanvallen beginnen met een menselijke fout. Training en duidelijke procedures helpen dit te voorkomen.
Wilt u weten hoe u niet alleen voldoet aan de wet, maar ook echt grip krijgt op dreigingen? In onze gratis whitepaper Van reactief naar proactief: de toekomst van beveiliging en compliance leest u hoe u met een strategische aanpak uw beveiliging weerbaarder maakt.
Hoe ziet de toekomst van de fysieke beveiliging eruit? In de eerste aflevering van een reeks Securitalks werpt Otto van Wiggen, Brigadegeneraal bij de Nederlandse…
In een wereld waarin dreigingen steeds complexer worden, is een reactieve aanpak niet langer voldoende. Cybercriminelen professionaliseren, insider threats nemen toe en wetgeving zoals NIS2…
Een incident hier, een melding daar; in een wereld waarin risicosignalen van alle kanten binnenkomen, wordt het steeds lastiger om hoofd- van bijzaken te onderscheiden…
