Avatar foto
Sebastiaan Bakker

NIS2 hoeft niet complex te zijn

Hoewel het moeten voldoen aan de nieuwe NIS2-richtlijn complex kan klinken, bouwt de richtlijn grotendeels voort op de NIB-richtlijn (Wet Beveiliging Netwerk- en Informatiesystemen in Nederland) én is er veel overlap met bestaande frameworks zoals de ISO27001-norm (2022). Dit betekent dat veel organisaties al een solide basis hebben en de uitwerking van de NIS2-richtlijn met vertrouwen tegemoet kunnen zien.

In dit artikel leggen we uit wat de overlap is van de NIS2-richtlijn met bestaande frameworks en wat de 5 belangrijkste categorieën zijn van cybersecurity compliance die de NIS2-richtlijn beoogd.

Bestaande normen als solide fundament NIS2

Cybersecurity is een onmisbaar aspect van de bedrijfsvoering. Daarom is er vanuit Europa extra aandacht voor de verdere versterking van de cyberveiligheid binnen de lidstaten. Zo is ook NIS2 tot stand gekomen.

Daarbij is ervoor gekozen om voort te bouwen op best-practices. Veel van de vereisten die in de NIS2-richtlijn staan beschreven zijn daarom ook niet nieuw, maar een doorontwikkeling van bestaande kaders. Iets dat duidelijk wordt door NIS2 naast de ISO27001:2022 te leggen.

De ISO27001-norm, die is gericht op een verbetering van de digitale weerbaarheid, dekt drie basisprincipes af van cybersecurity, die ook een prominente rol spelen in de NIS2-richtlijn, namelijk: de beschikbaarheid, integriteit en vertrouwelijkheid.

Door gebruik te maken van bestaande normen en maatregelen, kunnen organisaties dus veel van de NIS2-verplichtingen afdekken zonder aanzienlijke extra inspanningen.

De 5 belangrijkste categorieën voor cybersecurity compliance

Voor de NIS2-richtlijn geldt, dat er vijf categorieën zijn die de kern vormen van een robuuste (cybersecurity)aanpak: governance, datamanagement, supply chain management, incident management en technische maatregelen.

Het is niet voor niets dat het Digital Trust Center (DTC), een organisatie opgezet door het ministerie van Economische Zaken en Klimaat, eveneens vijf vergelijkbare basisprincipes hanteert, die aansluiten bij de NIS2-richtlijn. Deze vijf basisprincipes, welke in grote mate overeenkomen met de bovenstaande opsomming, zijn op hun beurt weer afkomstig van het NCSC en internationale normen zoals de ISO27001.

Ieder van deze vijf categorieën, die de kern vormen van een robuuste aanpak, zijn hieronder in meer detail beschreven. Per categorie is een toelichting gegeven en zijn enkele concrete handvatten benoemd die gebruikt kunnen worden voor een snelle, eenvoudige en effectieve implementatie.

1. Governance

In cybersecurity verwijst governance naar het raamwerk van beleidsmaatregelen, procedures en controles die geïmplementeerd worden om informatiebeveiliging te borgen. Dit omvat het definiëren van rollen en verantwoordelijkheden binnen de organisatie, het vaststellen van doelstellingen en het verzorgen van compliance met relevante wetten en regels.

Effectieve governance zorgt ervoor dat cybersecurity door alle lagen van een organisatie wordt gedragen en dat er heldere richtlijnen zijn, in wie wat doet bij het beveiligen van data en assets. Om dit in te kunnen vullen is het belangrijk om de volgende vraagstukken te kunnen beantwoorden:

  • Wie is er, zowel binnen als buiten de organisatie, verantwoordelijk voor de aanpak van cybersecurity?
  • Welke strategische, tactische en operationele doelstellingen zijn er gedefinieerd?
  • Welke wetten, regels, richtlijnen en toezichthouders zijn er relevant voor de organisatie?

2. Datamanagement

Datamanagement omvat het identificeren, opslaan, beschermen en verwijderen van data in overeenstemming met de geldende privacywetten en beveiligingsbeleid. Het zorgt ervoor dat alleen relevante data wordt verzameld, dat deze data op veilige wijze wordt bewaard en dat toegang tot deze data strikt is gereguleerd. Goed datamanagement minimaliseert het risico op datalekken en helpt bij het waarborgen van de integriteit en vertrouwelijkheid van de data.

Dit onderdeel is vaak één van de meest lastige aspecten om in te vullen, omdat het zeker bij moderne complexe IT-omgevingen, niet eenvoudig is om een gedetailleerd beeld te krijgen van alle datastromen. Door de onderstaande acties te ondernemen kunnen er echter snel meters worden gemaakt:

  • Maak voor iedere applicatie een overzicht van de dataset die erin wordt verwerkt,
  • Bepaal, per dataset, de noodzaak in de context van de bedrijfsvoering,
  • Identificeer de opslaglocaties van de datasets,
  • Zorg voor contractuele privacybescherming met eventuele third parties (door bijvoorbeeld een verwerkersovereenkomst af te sluiten).

3. Supply chain management

Dit is gericht op het beveiligen van de keten van leveranciers, die bijdragen aan de producten en diensten van de eigen organisatie. Supply chain management omvat het evalueren van de maatregelen van leveranciers, het beheren van toegangsrechten van leveranciers tot systemen en data, en het regelmatig evalueren van de samenwerking, om ervoor te zorgen dat beveiligingsstandaarden kunnen worden gehandhaafd.

Een goed beveiligde supply chain is cruciaal, omdat kwetsbaarheden bij een leverancier kunnen leiden tot beveiligingsrisico’s voor de hele organisatie. Daarom is het belangrijk een overzicht te hebben van alle externe leveranciers en hun toegang tot data of applicaties. Ook is het verstandig de contracten te evalueren om er zeker van te zijn dat er concrete afspraken zijn over verwerking van data en om regelmatig met de belangrijkste partijen samen te zitten zodat eventuele vragen of afwijkingen tijdig kunnen worden gecorrigeerd.

4. Incident management

Incident management is het proces om te reageren op cybersecurity incidenten. Dit proces omvat het voorbereiden op mogelijke incidenten door middel van het ontwikkelen van responseplannen, het snel detecteren en beoordelen van incidenten wanneer ze zich voordoen, en het effectief aanpakken van de incidenten om schade te minimaliseren. Ook het communiceren over incidenten met belanghebbenden en het leren van gebeurtenissen (om toekomstige beveiliging te verbeteren en herhaling te voorkomen) zijn onmisbare onderdelen.

Incident management is een onderdeel dat bij NIS2 veel aandacht heeft gekregen. Ondanks dat het wenselijk is om incidenten te allen tijde te voorkomen, is het niet uit te sluiten dat er zo nu en dan iets fout gaat. Voorbereid zijn op wanneer er een cybersecurityincident optreedt is daarom een noodzaak.

De meest pragmatische manier om hier invulling aan te geven is door processen op te stellen over wie, wanneer, wat zou moeten doen (en welke externe partijen er betrokken dienen te zijn) als het fout gaat. Door deze processen minstens eens per half jaar te bespreken binnen de organisatie kan ervoor worden gezorgd dat ze bij alle belanghebbenden (blijven) leven.

5. Technische maatregelen

De technische maatregelen hebben als doel het (beter) beheersbaar kunnen maken van risico’s in bijvoorbeeld software, platformen of digitale infrastructuur. Iets dat de kans op datalekken zo klein mogelijk moet houden en de impact van incidenten moet beperken.

Belangrijk om te realiseren is dat een effectieve technische aanpak altijd bestaat uit meerdere maatregelen. Deze maatregelen adresseren allen verschillende facetten van cybersecurity, van het versterken van de beveiliging van individuele systemen tot het beschermen van de organisatie op een breder niveau.

Door onderstaande set van maatregelen te nemen, kunnen op eenvoudige en pragmatische wijze, veel van de risico’s (en verplichtingen uit NIS2) worden afgevangen:

  • Stel een strikt updateregime. Dit betekent dat alle software en systemen regelmatig worden bijgewerkt met de nieuwste patches en updates. Deze updates bevatten vaak beveiligingsverbeteringen, die kwetsbaarheden adresseren die door aanvallers gebruikt kunnen worden.
  • Ga aan de slag met vulnerability management, het continu identificeren, analyseren en mitigeren van softwarekwetsbaarheden. Dit om ervoor te zorgen, dat potentiële bedreigingen en zwakheden actief worden gemanaged en worden verholpen, voordat ze kunnen worden uitgebuit.
  • Pas system hardening Dit omvat het treffen van maatregelen om systemen minder vatbaar te maken voor aanvallen. Iets dat onder meer kan door het verwijderen van onnodige software, het uitschakelen van ongebruikte services en het implementeren van de beveiligingsrichtlijnen van leveranciers.
  • Voer data-encryptie in, het coderen van informatie zodat alleen geautoriseerde partijen het kunnen lezen. Door gevoelige gegevens te versleutelen, worden ze beschermd tegen onderschepping en ongeautoriseerde toegang, zowel in rust als tijdens de overdracht over netwerken.
  • Installeer een Endpoint Detection and Response (EDR) oplossing. Een dergelijke oplossing biedt monitoring en detectie om kwaadaardige activiteiten op endpoints (zoals laptops, desktops en servers) te identificeren en daarop te reageren. EDR is cruciaal voor het snel identificeren van en reageren op incidenten.
  • Maak gebruik van een Zero Trust Network Access (ZTNA) oplossing voor remote toegang tot applicaties, platformen en infrastructuren. Dan wordt toegang alleen verleend op basis van strikte identiteitsverificatie en contextuele gegevens, ongeacht de locatie van de gebruiker of het netwerk.
  • Stel overal Multi-Factor Authenticatie (MFA) in. Dit vereist dat gebruikers twee of meer verificatiemethoden gebruiken om toegang te krijgen tot systemen, wat een extra beveiligingslaag biedt bovenop traditionele gebruikersnaam en wachtwoord.
  • Maak regelmatige back-ups van gegevens en systemen. Deze reservekopieën zijn essentieel om te kunnen herstellen na een gegevensverlies incident, zoals een ransomware-aanval of een medewerker die per ongeluk een dataset heeft verwijderd. Een back-up en recovery plan zorgt ervoor dat kritieke informatie en diensten snel hersteld kunnen worden.

Samenvattend

Hoewel de NIS2-richtlijn als complex kan worden ervaren, biedt het een gestructureerd kader, dat helpt de cybersecurity aanpak te versterken. Door voort te bouwen op bestaande normen en richtlijnen zoals de ISO27001-norm en de aanbevelingen van het DTC, kan er effectief en efficiënt worden voldaan aan de vereisten van de NIS2-richtlijn, waardoor de complexiteit aanzienlijk wordt verminderd. Dit maakt NIS2 niet alleen een verplichting, maar ook een kans om de digitale weerbaarheid van de organisatie te versterken en nog beter bestand te zijn tegen digitale dreigingen.

NIS2 hoeft niet complex te zijn

Hoewel het moeten voldoen aan de nieuwe NIS2-richtlijn complex kan klinken, bouwt de richtlijn grotendeels voort op de NIB-richtlijn (Wet Beveiliging Netwerk- en Informatiesystemen in Nederland) én is er veel overlap met bestaande frameworks zoals de ISO27001-norm (2022). Dit betekent dat veel organisaties al een solide basis hebben en de uitwerking van de NIS2-richtlijn met vertrouwen tegemoet kunnen zien.

In dit artikel leggen we uit wat de overlap is van de NIS2-richtlijn met bestaande frameworks en wat de 5 belangrijkste categorieën zijn van cybersecurity compliance die de NIS2-richtlijn beoogd.

Bestaande normen als solide fundament NIS2

Cybersecurity is een onmisbaar aspect van de bedrijfsvoering. Daarom is er vanuit Europa extra aandacht voor de verdere versterking van de cyberveiligheid binnen de lidstaten. Zo is ook NIS2 tot stand gekomen.

Daarbij is ervoor gekozen om voort te bouwen op best-practices. Veel van de vereisten die in de NIS2-richtlijn staan beschreven zijn daarom ook niet nieuw, maar een doorontwikkeling van bestaande kaders. Iets dat duidelijk wordt door NIS2 naast de ISO27001:2022 te leggen.

De ISO27001-norm, die is gericht op een verbetering van de digitale weerbaarheid, dekt drie basisprincipes af van cybersecurity, die ook een prominente rol spelen in de NIS2-richtlijn, namelijk: de beschikbaarheid, integriteit en vertrouwelijkheid.

Door gebruik te maken van bestaande normen en maatregelen, kunnen organisaties dus veel van de NIS2-verplichtingen afdekken zonder aanzienlijke extra inspanningen.

De 5 belangrijkste categorieën voor cybersecurity compliance

Voor de NIS2-richtlijn geldt, dat er vijf categorieën zijn die de kern vormen van een robuuste (cybersecurity)aanpak: governance, datamanagement, supply chain management, incident management en technische maatregelen.

Het is niet voor niets dat het Digital Trust Center (DTC), een organisatie opgezet door het ministerie van Economische Zaken en Klimaat, eveneens vijf vergelijkbare basisprincipes hanteert, die aansluiten bij de NIS2-richtlijn. Deze vijf basisprincipes, welke in grote mate overeenkomen met de bovenstaande opsomming, zijn op hun beurt weer afkomstig van het NCSC en internationale normen zoals de ISO27001.

Ieder van deze vijf categorieën, die de kern vormen van een robuuste aanpak, zijn hieronder in meer detail beschreven. Per categorie is een toelichting gegeven en zijn enkele concrete handvatten benoemd die gebruikt kunnen worden voor een snelle, eenvoudige en effectieve implementatie.

1. Governance

In cybersecurity verwijst governance naar het raamwerk van beleidsmaatregelen, procedures en controles die geïmplementeerd worden om informatiebeveiliging te borgen. Dit omvat het definiëren van rollen en verantwoordelijkheden binnen de organisatie, het vaststellen van doelstellingen en het verzorgen van compliance met relevante wetten en regels.

Effectieve governance zorgt ervoor dat cybersecurity door alle lagen van een organisatie wordt gedragen en dat er heldere richtlijnen zijn, in wie wat doet bij het beveiligen van data en assets. Om dit in te kunnen vullen is het belangrijk om de volgende vraagstukken te kunnen beantwoorden:

  • Wie is er, zowel binnen als buiten de organisatie, verantwoordelijk voor de aanpak van cybersecurity?
  • Welke strategische, tactische en operationele doelstellingen zijn er gedefinieerd?
  • Welke wetten, regels, richtlijnen en toezichthouders zijn er relevant voor de organisatie?

2. Datamanagement

Datamanagement omvat het identificeren, opslaan, beschermen en verwijderen van data in overeenstemming met de geldende privacywetten en beveiligingsbeleid. Het zorgt ervoor dat alleen relevante data wordt verzameld, dat deze data op veilige wijze wordt bewaard en dat toegang tot deze data strikt is gereguleerd. Goed datamanagement minimaliseert het risico op datalekken en helpt bij het waarborgen van de integriteit en vertrouwelijkheid van de data.

Dit onderdeel is vaak één van de meest lastige aspecten om in te vullen, omdat het zeker bij moderne complexe IT-omgevingen, niet eenvoudig is om een gedetailleerd beeld te krijgen van alle datastromen. Door de onderstaande acties te ondernemen kunnen er echter snel meters worden gemaakt:

  • Maak voor iedere applicatie een overzicht van de dataset die erin wordt verwerkt,
  • Bepaal, per dataset, de noodzaak in de context van de bedrijfsvoering,
  • Identificeer de opslaglocaties van de datasets,
  • Zorg voor contractuele privacybescherming met eventuele third parties (door bijvoorbeeld een verwerkersovereenkomst af te sluiten).

3. Supply chain management

Dit is gericht op het beveiligen van de keten van leveranciers, die bijdragen aan de producten en diensten van de eigen organisatie. Supply chain management omvat het evalueren van de maatregelen van leveranciers, het beheren van toegangsrechten van leveranciers tot systemen en data, en het regelmatig evalueren van de samenwerking, om ervoor te zorgen dat beveiligingsstandaarden kunnen worden gehandhaafd.

Een goed beveiligde supply chain is cruciaal, omdat kwetsbaarheden bij een leverancier kunnen leiden tot beveiligingsrisico’s voor de hele organisatie. Daarom is het belangrijk een overzicht te hebben van alle externe leveranciers en hun toegang tot data of applicaties. Ook is het verstandig de contracten te evalueren om er zeker van te zijn dat er concrete afspraken zijn over verwerking van data en om regelmatig met de belangrijkste partijen samen te zitten zodat eventuele vragen of afwijkingen tijdig kunnen worden gecorrigeerd.

4. Incident management

Incident management is het proces om te reageren op cybersecurity incidenten. Dit proces omvat het voorbereiden op mogelijke incidenten door middel van het ontwikkelen van responseplannen, het snel detecteren en beoordelen van incidenten wanneer ze zich voordoen, en het effectief aanpakken van de incidenten om schade te minimaliseren. Ook het communiceren over incidenten met belanghebbenden en het leren van gebeurtenissen (om toekomstige beveiliging te verbeteren en herhaling te voorkomen) zijn onmisbare onderdelen.

Incident management is een onderdeel dat bij NIS2 veel aandacht heeft gekregen. Ondanks dat het wenselijk is om incidenten te allen tijde te voorkomen, is het niet uit te sluiten dat er zo nu en dan iets fout gaat. Voorbereid zijn op wanneer er een cybersecurityincident optreedt is daarom een noodzaak.

De meest pragmatische manier om hier invulling aan te geven is door processen op te stellen over wie, wanneer, wat zou moeten doen (en welke externe partijen er betrokken dienen te zijn) als het fout gaat. Door deze processen minstens eens per half jaar te bespreken binnen de organisatie kan ervoor worden gezorgd dat ze bij alle belanghebbenden (blijven) leven.

5. Technische maatregelen

De technische maatregelen hebben als doel het (beter) beheersbaar kunnen maken van risico’s in bijvoorbeeld software, platformen of digitale infrastructuur. Iets dat de kans op datalekken zo klein mogelijk moet houden en de impact van incidenten moet beperken.

Belangrijk om te realiseren is dat een effectieve technische aanpak altijd bestaat uit meerdere maatregelen. Deze maatregelen adresseren allen verschillende facetten van cybersecurity, van het versterken van de beveiliging van individuele systemen tot het beschermen van de organisatie op een breder niveau.

Door onderstaande set van maatregelen te nemen, kunnen op eenvoudige en pragmatische wijze, veel van de risico’s (en verplichtingen uit NIS2) worden afgevangen:

  • Stel een strikt updateregime. Dit betekent dat alle software en systemen regelmatig worden bijgewerkt met de nieuwste patches en updates. Deze updates bevatten vaak beveiligingsverbeteringen, die kwetsbaarheden adresseren die door aanvallers gebruikt kunnen worden.
  • Ga aan de slag met vulnerability management, het continu identificeren, analyseren en mitigeren van softwarekwetsbaarheden. Dit om ervoor te zorgen, dat potentiële bedreigingen en zwakheden actief worden gemanaged en worden verholpen, voordat ze kunnen worden uitgebuit.
  • Pas system hardening Dit omvat het treffen van maatregelen om systemen minder vatbaar te maken voor aanvallen. Iets dat onder meer kan door het verwijderen van onnodige software, het uitschakelen van ongebruikte services en het implementeren van de beveiligingsrichtlijnen van leveranciers.
  • Voer data-encryptie in, het coderen van informatie zodat alleen geautoriseerde partijen het kunnen lezen. Door gevoelige gegevens te versleutelen, worden ze beschermd tegen onderschepping en ongeautoriseerde toegang, zowel in rust als tijdens de overdracht over netwerken.
  • Installeer een Endpoint Detection and Response (EDR) oplossing. Een dergelijke oplossing biedt monitoring en detectie om kwaadaardige activiteiten op endpoints (zoals laptops, desktops en servers) te identificeren en daarop te reageren. EDR is cruciaal voor het snel identificeren van en reageren op incidenten.
  • Maak gebruik van een Zero Trust Network Access (ZTNA) oplossing voor remote toegang tot applicaties, platformen en infrastructuren. Dan wordt toegang alleen verleend op basis van strikte identiteitsverificatie en contextuele gegevens, ongeacht de locatie van de gebruiker of het netwerk.
  • Stel overal Multi-Factor Authenticatie (MFA) in. Dit vereist dat gebruikers twee of meer verificatiemethoden gebruiken om toegang te krijgen tot systemen, wat een extra beveiligingslaag biedt bovenop traditionele gebruikersnaam en wachtwoord.
  • Maak regelmatige back-ups van gegevens en systemen. Deze reservekopieën zijn essentieel om te kunnen herstellen na een gegevensverlies incident, zoals een ransomware-aanval of een medewerker die per ongeluk een dataset heeft verwijderd. Een back-up en recovery plan zorgt ervoor dat kritieke informatie en diensten snel hersteld kunnen worden.

Samenvattend

Hoewel de NIS2-richtlijn als complex kan worden ervaren, biedt het een gestructureerd kader, dat helpt de cybersecurity aanpak te versterken. Door voort te bouwen op bestaande normen en richtlijnen zoals de ISO27001-norm en de aanbevelingen van het DTC, kan er effectief en efficiënt worden voldaan aan de vereisten van de NIS2-richtlijn, waardoor de complexiteit aanzienlijk wordt verminderd. Dit maakt NIS2 niet alleen een verplichting, maar ook een kans om de digitale weerbaarheid van de organisatie te versterken en nog beter bestand te zijn tegen digitale dreigingen.

Avatar foto
Sebastiaan Bakker
Vorig bericht
Nieuwsoverzicht
Nieuwsoverzicht
Vorig bericht
Schrijf u in voor onze nieuwsbrief

"*" geeft vereiste velden aan

Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.
Back To Top