Zorgplicht
Maatregel 1. Maak een risicoanalyse
Art. 21 lid 3 sub a: beleid inzake risicoanalyse en beveiliging van informatiesystemen.
Het maken van een risicoanalyse is de eerste stap in het verbeteren van de cyberweerbaarheid van je organisatie. Het geeft je namelijk inzicht in welke risico’s het zwaarst wegen en waar maatregelen het hardst nodig zijn. Begin daarom met een risicoanalyse.
Elke organisatie heeft haar eigen kroonjuwelen: de belangen en assets die absoluut beschermd moeten worden. Maar hoe breng je deze in kaart, welke dreigingen spelen er, en hoe verhoudt je huidige weerbaarheid zich tot deze dreigingen? Op de pagina Risicomanagement helpen we je de meest relevante risico’s voor jouw organisatie te identificeren, zodat je met vertrouwen en inzicht de juiste keuzes kunt maken.
Onder stap 2: Maak een risicoanalyse vind je een aantal vragen die je op weg helpen.
Wil je aan de slag met het gestructureerd inrichten van risicomanagement, maak dan handig gebruik van risicomanagementraamwerken om je risicoanalyses gestructureerd uit te voeren als onderdeel van een continu proces.
Maatregel 2. Richt incidentrespons in
Art. 21 lid 3 sub b: incidentenbehandeling
Incidentrespons is het proces van beheer en mitigatie dat je doorloopt tijdens een incident. Het is beter om je acties vooraf te plannen, zonder tijdsdruk. Een Incident Response Plan (IRP) helpt je organisatie om bij een incident adequaat te reageren en gecoördineerd actie te ondernemen om negatieve gevolgen te beperken. Beschrijf daarom in een incidentresponseplan hoe je reageert op een cybersecurity-incident.
Na een incident wil je weten wat de schade is in de systemen. Door forensic ready te zijn, ben je als organisatie in staat om digitaal sporenonderzoek te (laten) doen bij een cyberincident. Dit helpt je om antwoorden te krijgen op vragen als: wat is de bron van het incident en wat was het doel? Naast dat het je helpt om je processen weer op orde te krijgen, geeft het je ook inzicht in hoe je van de aanval kan leren. Wees daarom voorbereid op forensisch onderzoek met ‘Forensic readiness’.
In de publicatie ‘Incidentresponse, waar begin ik?’ vind je de eerste handvatten voor het opstellen van een incidentresponseplan. Je hoeft het niet allemaal zelf te doen, securitybedrijven kunnen je helpen met het afhandelen van een incident. Zorg ervoor dat je van tevoren weet wie je kunt inschakelen.
Maatregel 3. Bereid je voor op uitval
Art. 21 lid 3 sub c: bedrijfscontinuïteit, zoals back-upbeheer en herstelplannen, en crisisbeheer
Ga ervan uit dat (langdurige) uitval altijd kan gebeuren, ondanks preventieve maatregelen. Bereid je daarom voor en zorg ervoor dat je organisatie zo snel mogelijk weer kan herstellen.
Stel een back-upstrategie vast, waarin je beschrijft hoe vaak je back-ups maakt, waar je ze bewaart en wanneer je ze test. Zie hiervoor ‘Een back-upstrategie opstellen’.
Maak een herstelplan. De pagina ‘Herstel van een cyberincident’ helpt je met het inrichten daarvan.
Oefen met (fictieve) incidenten. Zo bouwen jouw medewerkers ervaring op en kunnen zij effectief handelen. Zie de publicatie ‘Oefenen baart kunst’ om hiermee aan de slag te gaan.
Maatregel 4. Maak je toeleveringsketen veilig
Art. 21 lid 2 sub d: de beveiliging van de toeleveringsketen, met inbegrip van beveiligingsgerelateerde aspecten met betrekking tot de relaties tussen de entiteit en haar rechtstreekse leveranciers of dienstverleners
Neem ketenrisico’s mee in je risicomanagement. Als organisatie ben je vaak afhankelijk van producten of diensten van toeleveranciers. Dit houdt ook in dat je afhankelijk bent van de digitale weerbaarheid van je toeleveranciers, zelfs als je eigen digitale weerbaarheid op orde is.
Breng jouw leveranciers in kaart, zie hiervoor de publicatie ‘Hoe breng ik mijn rechtstreekse leveranciers in kaart’.
Wanneer je je leveranciers in kaart hebt, is de volgende stap om de weerbaarheid van je toeleveringsketen te versterken. Dit doe je onder andere door de dialoog aan te gaan met je leveranciers. Zie ‘Hoe versterk je de weerbaarheid van leveranciers?’ voor handvatten om de weerbaarheid van je leveranciers te versterken.
Maatregel 5. Zorg dat cyberhygiëne op orde is
Art. 21 lid 3 sub g: basispraktijken op het gebied van cyberhygiëne en opleiding op het gebied van cyberbeveiliging
Werk volgens de basisprincipes van digitale weerbaarheid. Door deze stappen op te nemen in het cybersecuritybeleid, zorg je ervoor dat alle werknemers zich aan dezelfde afspraken houden.
Het Cbw-artikel vraagt ook om opleidingen te faciliteren om veilig gedrag te stimuleren. 'Basisprincipe 2 ‘Bevorder veilig gedrag’ gaat in op de rol van de medewerkers. Bied cybersecuritytrainingen aan en houd cybercrisisoefeningen, zodat je medewerkers veiliger kunnen handelen. Een goede veiligheidscultuur is de sleutel tot een veilige werkomgeving.
Zorg dat je de vijf basisprincipes van digitale weerbaarheid worden toegepast in je organisatie.
Ontwikkel een programma dat elke medewerker bewust maakt van cyberrisico’s en veilig gedrag bevordert. Behandel praktische en effectieve thema’s in trainingen, zoals bureau- en schermbeleid, het herkennen van phishing en het uitvoeren van updates. Pas deze thema’s aan voor specifieke risico’s en het beleid van je organisatie.
Zie de publicatie ‘Voorbij de e-learning’ voor leidende principes waarmee je veilig digitaal gedrag van jouw medewerkers verder bevordert.
Ontwikkel een positieve cybersecuritycultuur. Inspanningen in de digitale weerbaarheid van een organisatie zullen alleen effectief zijn als ze worden ondersteund door een cultuur die deze verbetering aanmoedigt en mogelijk maakt. Zie ‘Ontwikkel een positieve cybersecuritycultuur’ hoe je deze cultuur creëert aan de hand van zes principes.
Maatregel 6. Beveilig netwerk- en informatiesystemen
Art. 21 lid 2 sub e: beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, met inbegrip van de respons op en bekendmaking van kwetsbaarheden.
Beveilig netwerk- en informatiesystemen tegen kwetsbaarheden. Let bij de aanschaf van systemen op de ondersteuning van de maker. Stel procedures op voor patchmanagement en welke beveiligingsinstellingen je toepast. Zorg voor een contactpunt waar beveiligingsonderzoekers zich kunnen melden wanneer zij beveiligingslekken in jouw systemen hebben ontdekt.
Zorg ervoor dat je beveiligingsupdates altijd installeert.
Onderzoek wat de beveiligingsinstellingen van je systeem betekenen. Vraag aan je leverancier of er een hardeningrichtlijn bestaat waarin staat hoe je het systeem veilig configureert.
Stel een patchmanagementbeleid op om beveiligingsupdates binnen een aanvaardbare tijd te testen en door te voeren op al je systemen, zie ‘Verbeter je kwetsbaarhedenbeheer’.
Gebruik een framework om grip te houden op maatregelen die je neemt, zie ‘Hoe krijg ik grip op mijn security controls?’.
Gebruik een Information Security Management System om het procesmatig in te richten, zie ‘Beginnen met een ISMS’.
Maatregel 7. Versterk de beveiliging op het gebied van personeel, toegang en assetbeheer
Art. 21 lid 3 sub i: beveiligingsaspecten ten aanzien van personeel, toegangsbeleid en beheer van assets.
Stel beleid op hoe je medewerkers toegang verleent tot welke systemen en informatie. Zorg voor inzicht in al je assets en beschrijf op functieniveau wie daar toegang toe moet hebben. Bepaal voor welke functies je personeel gescreend moet worden.
Zorg voor inzicht in alle assets in je organisatie. Dat is zowel operationele technologie, informatietechnologie als de informatie die daardoor verwerkt wordt.
Eerste stappen:
Begin met het in kaart brengen van je te beschermen belangen en je technische te beschermen belangen. Werk vanuit dit punt naar het in kaart brengen van de meest relevante risico’s voor jou organisatie.
Ga nog een stap verder:
Behandel data als een belangrijke asset voor je organisatie. Zie het artikel ‘Hoe krijg ik zicht en grip op mijn belangrijkste data?’.
Bepaal welke functionarissen toegang moeten hebben tot welke systemen en informatie. Schrijf procedures hoe die rechten toegekend en ingetrokken worden bij individuele personen. Pas die procedures toe bij indiensttredingen, uitdiensttredingen, promoties en functiewijzigingen.
Eerste stappen:
Zorg dat je toegangsbeleid in lijn is met Basisprincipe 4: Beheer toegang tot data en diensten.
Ga nog een stap verder:
Structureer het beheren van toegang met een IAM-beleid. Zie ook ‘Hoe organiseer ik identiteit en toegang’.
Screen nieuwe medewerkers vóór indiensttreding. Hiermee beoordeel je de betrouwbaarheid van een medewerker. Stel in je beleid vast voor welke functies dit nodig is, op basis van waar die mensen toegang toe hebben.
Eerste stappen:
Vraag bij indiensttreding van nieuwe medewerkers een Verklaring Omtrent het Gedrag aan.
Ga nog een stap verder:
Voor bepaalde vertrouwensfuncties is screening verplicht. De Autoriteit Persoonsgegevens biedt meer informatie over de procedures en regelgeving rondom screening.
Maatregel 8. Gebruik passkeys voor authenticatie
Art. 21 lid 2 sub j: wanneer gepast, het gebruik van multifactor-authenticatie- of continue-authenticatieoplossingen, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen binnen de entiteit.
Gebruik passkeys (in plaats van wachtwoorden) voor authenticatie. Deze techniek op basis van de FIDO2-standaard is in hoge mate bestand tegen phishing. Gebruik op plaatsen waar nog wachtwoorden nodig zijn multifactorauthenticatie.
Multifactorauthenticatie vereist het gebruik van twee of meer verschillende factoren om de echtheid van je identiteit of bevoegdheid vast te stellen.
Gebruik passkeys of multifactorauthenticatie in elk geval bij:
- Accounts die vanaf het internet bereikbaar zijn
- Accounts met beheerrechten
- Accounts op essentiële systemen
Zie ook ‘Pas sterke authenticatie toe’.
Gebruik voor beveiligde communicatie een Virtual Private Network (VPN). Een VPN maakt het mogelijk om over het internet een beveiligde verbinding op te zetten tussen twee apparaten. Deze verbinding, een VPN-tunnel, versleutelt het dataverkeer.
Maatregel 9. Stel cryptografiebeleid op
Artikel 21 lid 2 sub h: beleid en procedures inzake het gebruik van cryptografie en, in voorkomend geval, encryptie
Gebruik encryptie om gegevens te versleutelen. Beschrijf in je cryptografiebeleid waar en hoe je encryptie toepast. Denk hierbij aan zowel plaatsen waar gegevens worden opgeslagen, als verbindingen waar gegevens worden verstuurd en ontvangen.
Beschrijf in je cryptografiebeleid de technieken en maatregelen die je gebruikt en herzie dit document minimaal elk jaar. Beschrijf daarin:
- Encryptiestandaard: stel op basis van de risicoanalyse en assetclassificatie de eisen voor de encryptiestandaard per beveiligingsniveau vast. Gebruik een algoritme dat voldoet volgens de huidige stand van techniek.
- Benodigde sleutellengte: de aanbevolen sleutellengte hangt af van de gekozen encryptiestandaard. Raadpleeg de documentatie van de gebruikte encryptiestandaard voor advies.
- Sleutelmanagement: dit omvat procedures, rollen, en verantwoordelijkheden voor:
- Het genereren en distribueren van sleutels
- Het vernietigen of intrekken van sleutels
- Het archiveren van sleutels
- Het back-uppen van sleutels
- Het loggen van sleutelmanagementactiviteiten
- De uitgifte en het verkrijgen van certificaten
- Effectiviteit en herziening: herzie het cryptografiebeleid minimaal elk jaar, en houd ook rekening met veranderingen in de organisatie en actuele risico’s.
Gebruik op plaatsen waar je TLS als encryptie toepast de ‘ICT-beveiligingsrichtlijnen voor Transport Layer Security’.
Bereid je voor op quantumcomputers en ga aan de slag met Quantumveilige Cryptografie.
Maatregel 10. Beoordeel de effectiviteit van maatregelen
Art. 21 lid 2 sub f: beleid en procedures om de effectiviteit van maatregelen voor het beheersen van cyberbeveiligingsrisico’s te beoordelen.
Zorg voor beleid dat je maatregelen periodiek, bijvoorbeeld jaarlijks, worden getoetst op effectiviteit. Dit helpt risico’s te beheren, zorgt voor naleving van wetgeving, en identificeert verbeterpunten.
Leg in je beleidsdocument vast waarom, hoe vaak en hoe je je beveiligingsmaatregelen toetst. Beschrijf wat je doet met de uitkomsten en wie verantwoordelijk is voor de borging daarvan. Toets dit beleidsdocument zelf ook periodiek op actualiteit.
Laat je technische maatregelen testen volgens de richtlijn ‘Testen van technische veiligheidsmaatregelen’.
Gebruik een Information Security Management System om het procesmatig in te richten, zie ‘Beginnen met een ISMS’.