Bereid uw organisatie voor op de NIS2

Digitale dreigingen kunnen grote risico’s met zich meebrengen voor uw dienstverlening. Via een helder en cyclisch risicomanagementbeleid kunt u komen tot een passend niveau van (digitale) weerbaarheid. Dat begint met een risicoanalyse waarin de te beschermen belangen, dreigingen en de huidige weerbaarheid van uw organisatie worden bekeken. Op basis hiervan kunt u weloverwogen keuzes maken hoe om te gaan met de gevonden risico’s.

U kunt uw risicoanalyse sturen door de volgende vragen te beantwoorden:

• Wat zijn de kroonjuwelen/te beschermen belangen van mijn organisatie?

Door in kaart te brengen welke zaken cruciaal zijn voor uw organisatie en/of dienstverlening, kunt u afwegingen maken om de juiste maatregelen te nemen om deze belangen te beschermen. Voorbeelden van kroonjuwelen kunnen zijn: klantgegevens, productiemethoden, gegevens over uw medewerkers, financiële gegevens of de reputatie van uw organisatie.
 

• Welke dreigingen zijn er ten opzichte van de beschikbaarheid, integriteit en vertrouwelijkheid (BIV) van de te beschermen belangen?

Dreigingen kunnen zich richten op de Beschikbaarheid (is uw informatie toegankelijk wanneer dat nodig is?), Integriteit (is uw informatie correct?) of Vertrouwelijkheid (hebben enkel geautoriseerden toegang tot uw informatie?). Deze BIV-classificatie kunt u gebruiken om te bepalen waar de dreigingen zich op richten. Door de dreigingen per te beschermen belang in kaart te brengen krijgt u een duidelijk overzicht.
 

• Hoe verhoudt de huidige weerbaarheid van de te beschermen belangen zich tot de dreigingen?

Door het beantwoorden van deze vraag brengt u de huidige weerbaarheid van uw organisatie in kaart. Voorbeelden van weerbaarheidsmaatregelen zijn het implementeren van multi-factorauthenticatie en training van uw personeel. Inzicht in uw te beschermen belangen, dreigingen en uw weerbaarheid, zorgen ervoor dat u weet welke risico’s u loopt. Hierdoor is duidelijker grip te krijgen op de passende maatregelen die u kunt treffen om uw digitale weerbaarheid te vergroten.

Via de onderstaande links vindt u meer informatie, tips en adviezen die kunnen helpen bij het analyseren en beoordelen van digitale risico’s.

• Meer informatie over het in kaart brengen en beheersen van digitale risico’s vindt u in de factsheet ‘Risico’s beheersen: de waarde van informatie als uitgangspunt’.
• Zet een eerste stap in het verbeteren van de cyberweerbaarheid van uw organisatie door een risicoanalyse te maken. Vind uitgebreide en concrete stappen voor het maken van een risicoanalyse op de pagina ‘Hoe maak je een beleidsplan risicoanalyse’ van het Digital Trust Center.
• Met behulp van het ‘stappenplan risicoanalyse’ kunt u in vier concrete stappen achterhalen wat u kunt doen om risico’s te beheersen.
• Voor het in kaart brengen van risico’s kan onder meer gebruik worden gemaakt van de ‘Rijksbrede Risicoanalyse’. Deze laat zien welke dreigingen de Nederlandse samenleving kunnen ontwrichten.

Via uw risicomanagementproces krijgt u zicht op de passende maatregelen. Welke maatregelen passend zijn is maatwerk en afhankelijk van de beoordeling van uw risico’s. Een goed vertrekpunt is het toepassen van de basismaatregelen van het NCSC of ga aan de slag met voorbereidende maatregelen via het NIS2-startpunt van het Digital Trust Center.

Andere voorbeelden van maatregelen zijn:

• Het vaststellen van eigenaarschap van informatie

Om de beveiliging van informatie op orde te krijgen, is het noodzakelijk om de bijbehorende risico's inzichtelijk te maken en onacceptabele risico's te beheersen. De waarde van informatie is daarbij een belangrijk uitgangspunt. Beleg het eigenaarschap van informatie en de daarvoor geldende risico's en bepaal de bijbehorende verantwoordelijkheden. Meer informatie over het vaststellen van eigenaarschap van informatie kunt u vinden in de factsheet: ’Risico’s beheersen: de waarde van informatie als uitgangspunt’ van het NCSC.
 

• Het bevorderen van veilig gedrag binnen uw organisatie

Medewerkers die zich bewust zijn van de risico’s rondom informatiebeveiliging, weten hoe zij moeten handelen in het geval van onveilige situaties en dragen een belangrijke steen bij aan de digitale weerbaarheid. Dit geldt niet alleen voor medewerkers, ook voor bestuurders en managers. Een cultuur waarin incidenten veilig gemeld en verwerkt kunnen worden, helpt hierbij. Meer informatie over veilig gedrag op het gebied van digitale weerbaarheid is te vinden op de pagina ’Cyberbewustwording’ van het Digital Trust Center.
 

• Het verankeren van risicomanagement in uw organisatie

Het is van belang dat de organisatorische kant van cybersecurity goed geregeld is binnen uw organisatie. Door het juist beleggen van verantwoordelijkheden zorgt u ervoor dat de risicomanagementcyclus verankerd is. Meer informatie over de organisatorische maatregelen die u kunt nemen is te vinden op de pagina ‘Organisatorische inbedding van maatregelen’ van het NCSC.

Naast het nemen van passende maatregelen om incidenten te voorkomen, is het van belang procedures te ontwikkelen voor het detecteren, monitoren, oplossen en melden van incidenten. Zo kunt u snel en adequaat reageren wanneer uw organisatie wordt getroffen. 

Organisaties die straks onder de NIS2-wetgeving vallen zijn verplicht om incidenten te melden bij de nationale en/of sectorale CSIRT en de toezichthouder. Hiervoor wordt een centrale meldvoorziening ingericht. Factoren die een incident melding plichtig maken zijn bijvoorbeeld een verstoring van diensten of het aantal personen dat door het incident getroffen wordt.

De eisen van de meldplicht moeten in de bedrijfsprocessen verankerd worden. Het opstellen van een incident response plan kan hierbij helpen. Lees op de website van het DTC hoe u een response plan opstelt. De handreiking ‘Incidentresponsplan Ransomware’ van het NCSC kan u helpen met het opstellen van een plan specifiek op de dreiging van ransomware.