Bereid jouw organisatie tijdig voor op de Cyberbeveiligingswet. Om te voldoen aan de zorgplicht, adviseert het NCSC tenminste de onderstaande drie stappen te nemen. Het NCSC heeft verschillende kennisproducten ontwikkeld die je kunnen helpen om deze eerste stappen te zetten.
Ben je op zoek naar welke vragen ik als bestuurder moet stellen aan de CISO van mijn organisatie om mij voor te bereiden op de komst van de Cyberbeveiligingswet? De publicatie Vragen die je als bestuurder kunt stellen aan de CISO geeft je concrete handvaten en voorbeeldvragen die je kunt stellen aan jouw CISO om gesprekken richting en vorm te geven.
1. Maak een risicoanalyse
Digitale dreigingen kunnen grote risico’s met zich meebrengen voor de dienstverlening van jouw organisatie. Via een helder en cyclisch risicomanagementbeleid kun je komen tot een passend niveau van (digitale) weerbaarheid. Dat begint met een risicoanalyse waarin de te beschermen belangen, dreigingen en de huidige weerbaarheid van jouw organisatie worden bekeken. Op basis hiervan kun je weloverwogen keuzes maken hoe om te gaan met de gevonden risico’s.
Je kunt jouw risicoanalyse sturen door de volgende vragen te beantwoorden:
Door in kaart te brengen welke zaken cruciaal zijn voor jouw organisatie en/of dienstverlening, kun je afwegingen maken om de juiste passende maatregelen te nemen om deze belangen te beschermen. Voorbeelden van kroonjuwelen kunnen zijn: klantgegevens, productiemethoden, gegevens over de medewerkers, financiële gegevens of reputatie van jouw organisatie.
De publicatie 'Hoe breng ik mijn te beschermen belangen in kaart?' biedt organisaties praktische handvatten aan personen die werkzaam zijn op tactisch niveau in de organistie. Wanneer je jouw te beschermen belangen in kaart hebt gebracht, kun je deze gebruiken om een risicoanalyse uit te voeren.
Dreigingen kunnen zich richten op de beschikbaarheid (is de informatie toegankelijk wanneer dat nodig is?), integriteit (is de informatie correct?) of vertrouwelijkheid (hebben enkel geautoriseerden toegang tot de informatie?). Deze BIV-classificatie kun je gebruiken om te bepalen waar de dreigingen zich op richten. Door de dreigingen per te beschermen belang in kaart te brengen, krijg je een duidelijk overzicht.
De publicatie ‘Hoe breng ik mijn dreigingen in kaart’ biedt organisaties praktische handvatten om digitale dreigingen in kaart te brengen ter voorbereiding op de NIS2-richtlijn. Het in kaart brengen van relevante dreigingen is onderdeel van een risicoanalyse. Deze publicatie helpt organisaties bij het zetten van de eerste stappen. De handvatten in deze publicatie zijn ter voorbereiding op de NIS2-richtlijn geschreven, maar kunnen ook breder worden toegepast om dreigingen in kaart te brengen.
Nu je inzicht hebt in de te beschermen belangen en dreigingen van jouw organistie, breng je de huidige weerbaarheid in kaart. Hierdoor is duidelijker grip te krijgen op de passende maatregelen die je kan treffen om je digitale weerbaarheid te vergroten. Voorbeelden van weerbaarheidsmaatregelen zijn het implementeren van multi-factorauthenticatie en trainen van het personeel.
De NCSC publicatie 'Hoe krijg ik grip op mijn security controls?' helpt je bij het in kaart brengen en zicht houden op de security controls binnen jouw organisatie. Security controls zijn onderdeel van de huidige weerbaarheid van jouw organisatie.
Cybersecurity risico’s beperken zich niet alleen tot de eigen organisatie. Toeleveranciers van jouw organisatie spelen hierin ook een essentiële rol. Als één van de leveranciers getroffen wordt door een cyberaanval kan dat grote gevolgen hebben voor jouw organisatie. Door de (rechtstreekse) toeleveranciers van jouw organisatie in kaart te brengen maak je inzichtelijk waar je afhankelijkheden liggen en welke risico’s dit met zich mee brengt.
Via jouw risicomanagementproces krijg je zicht op de passende maatregelen. Welke maatregelen passend zijn is maatwerk en afhankelijk van de beoordeling van jouw risico’s. Een goed vertrekpunt is het toepassen van de basismaatregelen van het NCSC of ga aan de slag met voorbereidende maatregelen via het NIS2-startpunt van het Digital Trust Center.
Andere voorbeelden van maatregelen zijn:
Om de beveiliging van informatie op orde te krijgen, is het noodzakelijk om de bijbehorende risico's inzichtelijk te maken en onacceptabele risico's te beheersen. De waarde van informatie is daarbij een belangrijk uitgangspunt.
Beleg het eigenaarschap van informatie en de daarvoor geldende risico's en bepaal de bijbehorende verantwoordelijkheden. Meer informatie over het vaststellen van eigenaarschap van informatie kun je vinden in de factsheet: ’Risico’s beheersen: de waarde van informatie als uitgangspunt’.
Medewerkers die zich bewust zijn van de risico’s rondom informatiebeveiliging, weten hoe zij moeten handelen in het geval van onveilige situaties en dragen een belangrijke steen bij aan de digitale weerbaarheid. Dit geldt niet alleen voor medewerkers, ook voor bestuurders en managers.
Een cultuur waarin incidenten veilig gemeld en verwerkt kunnen worden, helpt hierbij. Meer informatie over veilig gedrag op het gebied van digitale weerbaarheid is te vinden op de pagina ’Cyberbewustwording’ van het Digital Trust Center.
Het is van belang dat de organisatorische kant van cybersecurity goed geregeld is binnen jouw organisatie. Door het juist beleggen van verantwoordelijkheden zorg je ervoor dat de risicomanagementcyclus verankerd is. Meer informatie over de organisatorische maatregelen die je kunt nemen is te vinden op de pagina ‘Organisatorische inbedding van maatregelen’.
Via onderstaande links vind je meer informatie, tips en adviezen die kunnen helpen bij het analyseren en beoordelen van digitale risico’s:
Vind uitgebreide en concrete stappen voor het maken van een beleidsplan risicoanalyse op de pagina ‘Hoe maak je een beleidsplan risicoanalyse’ van het Digital Trust Center.
Met behulp van het ‘stappenplan risicoanalyse’ kun je in vier concrete stappen achterhalen wat je kunt doen om risico’s te beheersen.
Voor het in kaart brengen van risico’s kan onder meer gebruik worden gemaakt van de ‘Rijksbrede Risicoanalyse’. Deze laat zien welke dreigingen de Nederlandse samenleving kunnen ontwrichten.
3. Zorg voor procedures om te reageren op incidenten
Naast het nemen van passende maatregelen om incidenten te voorkomen, is het van belang procedures te ontwikkelen voor het detecteren, monitoren, oplossen en melden van incidenten. Zo kun je snel en adequaat reageren wanneer jouw organisatie wordt getroffen.
Organisaties die straks onder de NIS2-wetgeving vallen zijn verplicht om incidenten te melden bij de nationale en/of sectorale CSIRT en de toezichthouder. Hiervoor wordt een centrale meldvoorziening ingericht. Factoren die een incident melding plichtig maken zijn bijvoorbeeld een verstoring van diensten of het aantal personen dat door het incident getroffen wordt.
De eisen van de meldplicht moeten in de bedrijfsprocessen verankerd worden. Het opstellen van een incident response plan kan hierbij helpen. Lees op de website van het DTC hoe je een response plan opstelt. De handreiking ‘Incidentresponsplan Ransomware’ van het NCSC kan je helpen met het opstellen van een plan specifiek op de dreiging van ransomware.