NIS2: 10 maatregelen om aan de zorgplicht te voldoen
In onze blog NIS2: Wat is het en waarom is het belangrijk? hebben we uitgelegd wat NIS2 is en voor welke sectoren het belangrijk is. We visualiseerden het verschil tussen essentiële en belangrijke sectoren en legden uit dat NIS2 van toepassing is als je toeleverancier bent binnen het kernproces van een NIS2 entiteit, ook als je eigen organisatie niet onder de standaard criteria valt. In dit blog gaan we dieper in op de zorgplicht, samen met de meldplicht zijn dit de pijlers waar bedrijven aan moeten voldoen.
NIS2 en de zorgplicht
Om te voldoen aan de zorgplicht moeten bedrijven beveiligingsmaatregelen implementeren om hun netwerken en informatiesystemen te beschermen tegen cyberaanvallen. Dit gaat bijvoorbeeld over het implementeren van toegangscontroles, het monitoren van netwerken en systemen, het uitvoeren van regelmatige audits en het toepassen van encryptie. De overheid geeft in haar richtlijn de volgende tien maatregelen die ten minste moeten worden genomen:
- Risicoanalyse en beveiliging van informatiesystemen.
- Beleid en procedures incidentenafhandeling.
- Maatregelen op het gebied van bedrijfscontinuïteit zoals back-upvoorzieningen en noodvoorzieningsplannen.
- Beveiliging toeleveranciersketen.
- Beveiliging bij het verwerken, ontwikkelen en onderhouden van netwerk- en informatiesystemen, inclusief de respons op en bekendmaking van kwetsbaarheden.
- Beleid en procedures om de effectiviteit van beheersmaatregelen van cyberbeveiligingsrisico’s te beoordelen.
- Basis cyberhygiëne en training op het gebied van cyberbeveiliging.
- Beleid en procedures over het gebruik van cryptografie en encryptie.
- Beveiligingsaspecten op het gebied van personeel, toegangsbeheer en activa.
- Het gebruik van Multi-Factor-Authenticatie (MFA), beveiligde spraak-, video-, en tekstcommunicatie en beveiligde noodcommunicatie binnen de entiteit.
NIS2 begint met een gedegen risicoanalyse
Een gedegen risicoanalyse is de basis om benodigde inzichten te krijgen waar je als organisatie staat; welke kroonjuwelen moet ik beschermen in het belang van mijn organisatie, welke beschermingsmaatregelen zijn er aanwezig en bieden deze maatregelen voldoende weerbaarheid?. Vanuit deze verkregen inzichten kunnen passende maatregelen genomen worden en de juiste keuzes op het gebied van beleid en procedures gemaakt worden. Ben je al ISO27001 gecertificeerd dan heb je security al structureel geïntegreerd in je organisatie echter, NIS2 gaat verder. Er is meer nodig om compliant te zijn.
Er wordt van organisaties verwacht dat ze binnen hun sector samenwerken om ervaring en kennis te delen en zo de gezamenlijke weerbaarheid te versterken. Het voldoen aan NIS2 vereist het volgen van de juiste stappen en het schrijven van procedures en beleidsplannen. Wie is verantwoordelijk, wie communiceert wat en hoe integreer ik NIS2 in mijn organisatie.
Hoe word ik NIS2 compliant?
De naleving van NIS2 zal worden gecontroleerd, met proactieve controles voor essentiële organisaties en controles op aanleiding voor belangrijke organisaties. Het niet naleven van de richtlijnen kan leiden tot hoge boetes waarbij bestuurders van organisaties persoonlijk aansprakelijk zijn. NIS2 is dus geen vrijblijvende richtlijn en vanuit ons standpunt als ICT-partner vinden wij dat iedere bedrijf deze richtlijn zou moeten volgen om een optimale cybersecurity te waarborgen.
Voorkom dat je bedrijf stil komt te liggen en wapen je tegen de impact van een cyberaanval door NIS2 een duidelijke plek te geven binnen je organisatie met een strategisch en operationeel beleid.
Wil je ondersteuning en een gerichte aanpak om NIS2 compliant te zijn en vooral om de bescherming van je bedrijf te waarborgen? Onze partner Cubics heeft een speciale NIS2 desk die bedrijven helpt in het doorlopen van deze verschillende stappen. Een stappenplan met templates en begeleiding van experts om organisaties te helpen op tijd NIS2 compliant te zijn.
Voor meer informatie ga naar: NIS2 Servicedesk of neem contact op onze servicedesk@losning.nl.