Zorgplicht

Een beleidsplan voor risicoanalyses beschrijft hoe je organisatie risicoanalyses uitvoert. Dit plan helpt bij het systematisch en doelgericht verbeteren van je digitale beveiliging. Elke organisatie is uniek, met verschillende processen en risico's. Toch zijn er enkele elementen die vaak terugkomen in een beleid voor risicoanalyses. Gebruik deze als leidraad bij het opstellen van je beleidsdocument.

1. Doel en scope: Definieer het doel en de scope van je risicoanalyse. De scope bepaalt welke interne stakeholders betrokken zijn.
2. Frequentie: Bepaal hoe vaak je risicoanalyses uitvoert. Dit kan een vereiste zijn voor certificering of contractuele verplichtingen. Als dit niet het geval is, voer dan jaarlijks een risicoanalyse uit.
3. Rollen en verantwoordelijkheden: Leg vast wie verantwoordelijk is voor het uitvoeren van de risicoanalyse.
4. Besluitvorming uitkomsten: Identificeer en analyseer risico’s. Er zijn vier opties voor geanalyseerde risico’s: accepteren, oplossen, overdragen en stoppen. Stel vooraf risicoacceptatiecriteria op om discussies tijdens de analyse te voorkomen.
5. Effectiviteit en herziening: Toets en herzie het beleidsplan periodiek. Houd rekening met veranderingen zoals nieuwe systemen, processen, dreigingsbeelden en actuele dreigingen.

Digitale dreigingen kunnen grote risico’s vormen voor de dienstverlening van je organisatie. Het is daarom belangrijk om goed voorbereid te zijn. Op de pagina Risicomanagement lees je meer over het maken van een risicoanalyse.

Het personeel van een organisatie vormt de eerste verdedigingslinie tegen cyberaanvallen. Medewerkers spelen een cruciale rol bij het handhaven van de beveiliging van systemen en gegevens. Het is essentieel dat een organisatie ervoor zorgt dat medewerkers, door middel van passende opleidingen of trainingen, hun verantwoordelijkheden voor digitale beveiliging begrijpen en kunnen toepassen in hun werk. Deze verantwoordelijkheden kunnen per functie verschillen.

Procedures voor nieuwe werknemers, functie- of rolwisselingen en beëindiging van dienstverband

Toegang tot systemen en netwerken hangt vaak af van de rol of functie binnen de organisatie. NIS2-organisaties moeten procedures hebben voor het starten, beëindigen of wijzigen van toegang tot bedrijfsonderdelen. Deze procedures moeten worden vastgelegd en gehandhaafd.

Belangrijke Procedures:

• Toekennen van Rollen en Rechten: Zorg voor inzicht en beheer van medewerkers die nieuwe rollen en rechten krijgen.
• Intrekken van Rollen en Rechten: Maak inzichtelijk en beheersbaar welke medewerkers hun rollen en rechten verliezen.
• Wijzigen van Rollen en Rechten: Houd bij welke medewerkers veranderingen ondergaan in hun rollen en rechten.

Lees ook de publicatie: "Basisprincipe 4: Beheer Toegang tot Data en Diensten" van het Nationaal Cyber Security Centrum voor meer informatie.

Screening

Een effectieve manier om risico's te beperken is door de betrouwbaarheid van werknemers te screenen voordat ze in dienst treden. Screening houdt in dat een werkgever informatie opvraagt over een sollicitant of werknemer om hun betrouwbaarheid te beoordelen. Een bekend voorbeeld hiervan is het aanvragen van een Verklaring Omtrent het Gedrag (VOG).

Voor bepaalde vertrouwensfuncties, zoals bij de politie, luchtvaart of veiligheidsfuncties bij de overheid, is screening verplicht. De Autoriteit Persoonsgegevens biedt meer informatie over de procedures en regelgeving rondom screening.

Een goed toegangsbeleid is essentieel om de beschikbaarheid, integriteit en vertrouwelijkheid van je netwerk en informatiesystemen te waarborgen. Dit beleid bepaalt wie toegang heeft tot welke systemen en met welke rollen en rechten. Door de dynamiek van nieuwe medewerkers, vertrekkende medewerkers en functiewisselingen is een zorgvuldige administratie van toegangsrechten noodzakelijk.

Geautoriseerde toegang

In een toegangsbeleid zorg je ervoor dat:

• Alleen geautoriseerde medewerkers toegang kunnen verstrekken.
• Toegang alleen wordt verleend aan gebruikers voor wie het relevant is.
• Toegang wordt gegeven voor de benodigde periode.
• Specifieke rechten worden uitgegeven volgens het principe van least privilege en een rechtenmatrix.
• Bij toegang voor externen (zoals leveranciers of IT-dienstverleners) duidelijke afspraken worden gemaakt over de toegang en veiligheidseisen.
• Er een procedure is voor het aanpassen van toegangsrechten bij functiewisselingen of vertrek.
• Toegekende toegangsrechten worden bijgehouden in een register.
• Logging wordt toegepast op het beheer van toegangsrechten om te weten wie wanneer welke rechten heeft verstrekt en ontvangen.

Hoe organiseer ik identiteit en toegang?

Identiteits- en toegangsbeheer is een essentiële maatregel, evenals fysieke toegangsbeveiliging.
In deze publicatie licht het NCSC toe wat het belang van identiteits- en toegangsbeheer is. En welke eerste stappen je kunt zetten om dit beheer in te richten om effectief grip te krijgen op je gebruikers en hun toegang.

Hoe organiseer ik identiteit en toegang?

Continu aandacht voor cyberbewustwording

De meeste cyberincidenten ontstaan door menselijke fouten. Cybercriminelen maken slim gebruik van naïviteit en gemakzucht die de gemiddelde mens niet vreemd is. Bewustzijn van cyberrisico's is dus heel belangrijk voor het voorkomen van incidenten. Zorg voor continue aandacht voor cyberbewustwording.

Privileged Accounts

Gebruikersaccounts met verhoogde rechten, zoals admin accounts en system accounts, hebben toegang tot gevoelige informatie en kunnen systeeminstellingen wijzigen. Beperk de toegang van deze accounts tot de personen die het echt nodig hebben. Zorg ervoor dat:

• Specifieke accounts alleen voor systeembeheertaken worden gebruikt.
• Gebruikersaccounts met verhoogde rechten geïndividualiseerd en beperkt zijn.
• Logging wordt toegepast op het beheer van verhoogde rechten.
• Toegangsrechten periodiek worden beoordeeld en aangepast.
• Beheeracties door gebruikers met verhoogde rechten worden gelogd.
• Veiligheidsmaatregelen zoals multifactorauthenticatie (MFA) worden vereist.

Authenticatie

Gebruik sterke authenticatiemethoden om de identiteit van personen die toegang vragen vast te stellen. Multifactorauthenticatie draagt bij aan de cyberbeveiliging van je systemen en gegevens. Voor toegang tot hoger geclassificeerde systemen kun je extra eisen stellen, zoals langere wachtwoorden of inloggen via een specifiek netwerk.

Voordat je assets kunt beheren, moet je deze eerst inzichtelijk maken. Door te identificeren welke zaken cruciaal zijn voor je organisatie en dienstverlening, kun je de juiste maatregelen nemen om deze belangen te beschermen. Voorbeelden van belangrijke assets zijn klantgegevens, productiemethoden, medewerkersgegevens, financiële gegevens en de reputatie van je organisatie.

Relevante publicaties

De publicatie 'Hoe breng ik mijn te beschermen belangen in kaart?' biedt organisaties praktische handvatten aan personen die werkzaam zijn op tactisch niveau in de organistie. Wanneer je jouw te beschermen belangen in kaart hebt gebracht, kun je deze gebruiken om een risicoanalyse uit te voeren.

Hoe breng ik mijn technische te beschermen belangen in kaart? Dit product is het vervolg op de publicatie “Wat zijn te beschermen belangen (kroonjuwelen) van mijn organisatie?” Dit tweede deel "Hoe breng ik mijn technische te beschermen belangen in kaart?" helpt je in drie stappen om jouw te beschermen belangen op het niveau van netwerk- en informatiesystemen in kaart te brengen. Na het doorlopen van de stappen heb je een lijst met de te beschermen belangen van jouw organisatie op het niveau van netwerk- en informatiesystemen.

Het beheer van assets (of activa) bestaat uit een aantal stappen

• Inventarisatie van Assets

Het beheer van assets begint met een inventarisatie. Dit houdt in dat je een overzicht bijhoudt van al het materiaal, zoals hardware, software en de gegevens die deze assets bevatten. Deze inventarisatie helpt bij het identificeren en beheren van potentiële kwetsbaarheden. NIS2-organisaties moeten ook procedures hebben voor het veilig verwijderen van assets aan het einde van hun levensduur om te voorkomen dat data in verkeerde handen komt.

• Classificatie van Gevoelige Informatie

Definieer en documenteer een classificatie voor gevoelige informatie. Dit stelt je in staat om de juiste autorisatie te koppelen en beter zicht te hebben op wie toegang heeft tot deze informatie. Gebruik voor de mate van vertrouwelijkheid (bijvoorbeeld openbaar, alleen voor interne verspreiding of vertrouwelijk) classificaties die zijn afgeleid van nationale wetgeving, internationale overeenkomsten of internationaal aanvaarde strategieën voor informatie-uitwisseling, zoals het Traffic Light Protocol (TLP).

• Beheer van assets en netwerk- en informatieveiligheid

Zorg voor het juiste beheer van assets gedurende hun levenscyclus: van aankoop, gebruik, opslag, transport tot verwijdering. Voorzie alle assets van een classificatieniveau om de vereiste beschikbaarheid, integriteit en vertrouwelijkheid vast te stellen. Dit wordt ook wel de 'BIV-classificatie' genoemd. Op basis van deze classificatie bepaal je de passende maatregelen voor digitale weerbaarheid.

Het beleid moet ook het veilige gebruik, opslag, transport en de verwijdering van assets benoemen. Apparatuur, hardware, software en gegevens mogen alleen naar externe locaties worden overgebracht na goedkeuring door geautoriseerd personeel. Bepaal vooraf wie binnen de organisatie verantwoordelijk is voor welke stappen.

• Effectiviteit en herziening

Het personeels- en toegangsbeleid en het beheer van assets moeten periodiek worden getest, getoetst en herzien. Houd rekening met veranderingen binnen de organisatie en actuele risico's. Neem de testresultaten op in de herziene beleidsdocumenten.

Een BCP is een document dat beschrijft hoe een bedrijf omgaat met ernstige verstoringen of calamiteiten. Het doel is om personeel, vitale processen en primaire bedrijfsprocessen te beschermen en te zorgen dat deze blijven functioneren tijdens en na een incident. Het bevat procedures en instructies om operationeel te blijven tijdens een ernstige verstoring. De invulling van een BCP kan per organisatie verschillen, maar hier focussen we op digitale bedrijfsprocessen. Zonder IT- en OT-systemen vallen veel bedrijfsprocessen stil, dus cyberbeveiliging speelt een belangrijke rol in een BCP.

Stap 1 - Risicoanalyse als startpunt

De basis van een BCP is een risicoanalyse. Deze helpt om vitale en primaire processen te identificeren en de impact van langdurige uitval in te schatten. Lees hier een concreet stappenplan voor het uitvoeren van een risicoanalyse.

Stap 2 - Raamwerk BCP

Met de risicoanalyse heb je de basis gelegd voor je bedrijfscontinuïteitsplan. Je weet nu op welke verstoringen je de focus wilt leggen en welke bedrijfsonderdelen aandacht verdienen. Een BCP bevat meestal de volgende onderdelen:

• Doel en Reikwijdte: Bedenk scenario's van uitval, zoals stroomuitval, extreem weer, toegang tot locatie en cybercrises.
• Activatie en Deactivatie: Beschrijf wanneer het BCP in werking treedt en wanneer het weer gedeactiveerd kan worden.
• Incident Response Plan: Beschrijf de rollen, taken en verantwoordelijkheden van betrokken medewerkers en dienstverleners. Lees meer over het incident response plan.
• Interne en Externe Communicatie: Breng de belangrijkste contacten en communicatiekanalen in kaart en beschrijf de verplichte communicatie met bevoegde autoriteiten.
• Effectiviteit en Herziening: Test en herzie het BCP periodiek op effectiviteit en pas het aan bij veranderingen in de organisatie of dreigingsbeeld.

Stap 3 - Back-up of Redundantieplan

Een back-up plan beschrijft hoe vaak je back-ups maakt, waar je ze bewaart en wanneer je ze test. Een redundantieplan beschrijft welke extra componenten of systemen je gebruikt als vervanging van uitgevallen systemen.

Stap 4 - Uitwijk- en Herstelplan

Een uitwijk- en herstelplan, ook wel Disaster Recovery Plan (DRP) genoemd, beschrijft de procedures voor het gebruik van uitwijk- en fallbackvoorzieningen en het terugkeren naar de normale situatie. Het focust op het herstellen van IT-processen en beschrijft de werkwijze bij verstoringen van netwerken, servers en apparaten.

Incident response is het proces van beheer en mitigatie dat je doorloopt bij een incident. Het is beter om je acties vooraf te plannen, zonder tijdsdruk. Een Incident Response Plan (IRP) zorgt ervoor dat er gecoördineerd actie kan worden ondernomen tijdens een incident.

Het plan bevat instructies om medewerkers te helpen beveiligingsincidenten te detecteren, hierop te reageren en mogelijke schade te herstellen. Dit is essentieel bij verstoringen, datalekken of digitale aanvallen. Het doel is om snel, kalm en adequaat te reageren om schade te beperken en herstelwerkzaamheden te minimaliseren.

Wil je meer weten over incident response? Lees dan onze publicatie: “Incident Response, waar begin ik.”

Volgens de NIS2-richtlijn moeten medewerkers getraind zijn in cyberveiligheid. Ze moeten cyberdreigingen herkennen en weten hoe te reageren. Stimuleer veilig gedrag om schade door besmette USB-sticks, zwakke wachtwoorden of phishingmails te voorkomen.

Voordat je beleid kunt opstellen voor cyberhygiëne, is het belangrijk om de basisprincipes te definiëren. Cyberhygiëne houdt in dat een organisatie de basisprincipes van cyberveiligheid naleeft. Door deze praktijken op te nemen in het cybersecuritybeleid, zorg je ervoor dat alle werknemers zich aan dezelfde afspraken houden.

Cyberbewuste medewerkers zijn essentieel voor je organisatie. Veel cyberincidenten ontstaan door menselijke fouten. Er zijn verschillende manieren om medewerkers bewust te maken van cyberveiligheid, zoals bewustmakingsprogramma's, onboardingscursussen en e-learnings. Bied cybersecuritytrainingen aan, organiseer bewustwordingscampagnes en houd cybercrisisoefeningen. Dit helpt medewerkers veilig te handelen en bedreigingen te voorkomen. Goed getrainde medewerkers zijn de sleutel tot een veilige werkomgeving.

Ontwikkel een programma dat elke medewerker bewust maakt van cyberrisico's en veilig gedrag bevordert. Overweeg trainingen die praktische en effectieve thema's behandelen, zoals:

• Duidelijk bureau- en schermbeleid
• Gebruik van sterke wachtwoorden en multifactorauthenticatie (MFA)
• Veilig e-mailgebruik
• Anti-phishing
• Back-uppraktijken
• Het uitvoeren van updates

Deze thema's kunnen worden aangepast aan de specifieke risico's en het beleid van je organisatie.

Medewerkers moeten zich bewust zijn van de basisafspraken op het gebied van cyberhygiëne. Continu aandacht voor bewustwordingsprogramma's en trainingen is essentieel. Zorg ervoor dat alle medewerkers weten waar en hoe mogelijke incidenten gemeld moeten worden, welke contactpersonen ze kunnen benaderen en waar ze extra informatie kunnen vinden.

Wil je meer lezen over hoe je veilig digitaal gedrag van medewerkers bevordert? Lees erover in de publicatie 'Voorbij de e-learning'.

Beleid en procedures voor netwerk- en informatiesystemen zorgen ervoor dat passende maatregelen worden genomen. De basis voor dit beleid zijn risicoanalyses die worden vertaald naar risicomanagementbesluiten.

Lees meer: Hoe stuur je op effectieve Informatiebeveiliging.

Volgens de NIS2-richtlijn moet een organisatie beleid hebben voor de beveiliging van het verwerven, ontwikkelen en onderhouden van het netwerk, evenals voor het omgaan met kwetsbaarheden. Hier zijn enkele belangrijke onderwerpen:

Netwerkbeveiliging

Een organisatie moet beleid hebben voor de inrichting van het bedrijfsnetwerk en de toegepaste veiligheidsmaatregelen. Monitoring is cruciaal om ongewenste activiteiten te detecteren en aan te pakken. Documenteer en houd de netwerkarchitectuur actueel.

Daarnaast moeten maatregelen worden getroffen om het bedrijfsnetwerk te beveiligen tegen ongewenst verkeer van buitenaf, zoals firewalls of datadiodes. Maak beleidsmatige keuzes over het toestaan van beheerde apparaten of 'Bring Your Own Device' (BYOD).

Netwerksegmentatie

Pas netwerksegmentatie toe om te voorkomen dat virussen of aanvallers zich binnen het bedrijfsnetwerk kunnen verspreiden. Scheid belangrijke informatie en systemen en bescherm het netwerk tegen ongeautoriseerde software en gebruik van zakelijke apparaten.
Lees ook: Bescherm Systemen, Applicaties en Apparaten.

Configuratiemanagement

Een goed configuratiemanagementbeleid is essentieel voor het correct instellen van bedrijfsnetwerken, systemen, hardware en software. Zorg ervoor dat standaardwachtwoorden van nieuwe routers altijd worden gewijzigd en onnodige opties worden uitgeschakeld. Dit proces, bekend als 'hardening', helpt om overbodige functies uit te schakelen. De Informatiebeveiligingsdienst (IBD) biedt een handreiking voor hardening en een factsheet over configuratiemanagement die nuttig is voor diverse organisaties.

Change management

Change management beschrijft hoe een organisatie omgaat met het implementeren en bewaken van veranderingen, reparaties en onderhoud. Een consistente procedure is cruciaal. Het change managementproces moet ten minste de volgende punten bevatten:

• Aanvraag voor de verandering
• Mogelijke risico’s en impact van de verandering
• Criteria voor prioritering van veranderingen en vereisten voor testen
• Vereisten voor roll-backs (het terugdraaien van veranderingen)
• Logging van de veranderingen

Kies voor veilige instellingen

Een veilig netwerk biedt bescherming tegen aanvallen van buitenaf en lekken van binnenuit. Maak zorgvuldige afwegingen bij het configureren van je netwerk, NAS-apparaten, routers en firewalls.

Patchmanagement

Om kwetsbaarheden te minimaliseren, is het belangrijk om beveiligingsupdates (patches) zo snel mogelijk te installeren. Dit is een basisprincipe van veilig digitaal ondernemen. Beveiligingsupdates verbeteren de software en dichten beveiligingslekken, wat de digitale weerbaarheid verhoogt.

In het patchmanagementbeleid beschrijf je onder welke voorwaarden beveiligingsupdates worden geïnstalleerd. Welke systemen update je direct en welke kunnen wachten? Test patches voorafgaand aan installatie in een testomgeving en controleer ze op integriteit en betrouwbaarheid. Volg het change managementproces bij het implementeren van patches.

Let op: Hardware- en softwareproducten in je netwerk kunnen End-of-Life (EoL) zijn, wat betekent dat ze niet meer worden gepatcht. Zorg voor een beleid voor het omgaan met EoL-producten.

Tip: Voorbeeld van een Patchbeleid

In een patchbeleid breng je in kaart welke apparaten en software je voorziet van (beveiligings)updates, en hoe en wanneer je dit uitvoert. Gebruik een handig template als basis om snel een eigen patchbeleid op te stellen.

Lees ook: Zicht op risico's van legacy-systemen

Vulnerability management

Elke dag worden nieuwe kwetsbaarheden in software ontdekt. Als organisatie wil je op de hoogte zijn van beveiligingslekken in de software die je gebruikt. Daarom is het belangrijk om deze kwetsbaarheden te monitoren. Je kunt dit zelf bijhouden voor de producten die je hebt afgenomen bij leveranciers. Ondersteuning hierbij kan komen van de RSS-feed van beveiligingsadviezen van het Nationaal Cyber Security Centrum (NCSC) en de DTC Community, waar kennis en informatie over ernstige kwetsbaarheden in veelgebruikte bedrijfssoftware wordt gedeeld.

Impact Beoordelen en Mitigerende Maatregelen

Er moet een procedure zijn om de impact van een kwetsbaarheid op de organisatie te beoordelen en om mitigerende maatregelen te treffen. Als onderdeel van vulnerability management kun je een beleid voor coordinated vulnerability disclosure (CVD) of responsible disclosure opstellen. Lees meer in de publicatie: Verbeter je kwetsbaarhedenbeheer

Secure Development Life Cycle

Het beleid voor de Secure Development Life Cycle (SDLC) heeft als doel dat de ontwikkeling van software en systemen op een veilige manier plaatsvindt. Veiligheid moet in elke ontwikkelfase integraal worden meegenomen. Dit betekent dat de ontwikkelomgeving beveiligd wordt en dat software en systemen in een vroeg stadium worden getest op kwetsbaarheden, een aanpak die bekend staat als security by design. Het is ook aan te raden om de principes van secure coding te hanteren tijdens de ontwikkelfase.

Inkoopbeleid

Tijdens het inkoopproces kunnen nieuwe kwetsbaarheden of onjuist geconfigureerde systemen in de organisatie worden geïntroduceerd. Daarom moeten organisaties in hun aanbestedings- of inkoopproces aandacht besteden aan cybersecurity om risico’s vroegtijdig te verminderen. Denk hierbij aan:

• Het opnemen van beveiligingseisen in het 'programma van eisen'
• Garantie op beveiligingsupdates
• Een handleiding of training over de juiste configuratie-instellingen

Lees ook: Hoe breng ik mijn rechtstreekse leveranciers in kaart

Operational Technology

Operational Technology (OT) omvat diverse systemen die worden gebruikt voor het beheer van operationele processen in de fysieke wereld, zoals het aansturen en monitoren van industriële apparatuur. OT-apparatuur, zoals robots, beveiligingscamera's en kassasystemen, speelt een cruciale rol in verschillende industrieën, waaronder de maakindustrie, chemie, waterschappen, transportsector en energiesector.

Risico's van Internetverbinding

OT-systemen worden steeds vaker verbonden met het internet, wat het beheer op afstand vergemakkelijkt. Echter, deze benaderbaarheid brengt ook risico's met zich mee. Onvoldoende beveiligingsmaatregelen kunnen onbevoegden de kans geven om misbruik te maken en toegang te krijgen tot je OT-systemen.

Als je bedrijfsproces sterk leunt op OT, ICS of SCADA, doorloop dan de Security Check Procesautomatisering om de status van je OT-beveiliging te beoordelen. Ga direct aan de slag met het verbeteren van je OT- of ICS-beveiliging. Lees ook: Aan de slag met het beveiligen van OT/IACS

Breng je netwerk in kaart

Na het opstellen van een beleid voor de beveiliging van netwerk- en informatiesystemen, is het belangrijk om je netwerk in kaart te brengen. Alleen door je netwerk te kennen en te begrijpen, kun je de juiste maatregelen nemen om de digitale weerbaarheid te verbeteren. Volg deze stappen om je netwerk in kaart te brengen:

• Maak een weergave van je netwerk met alle IT-assets, inclusief IoT-apparaten.
• Breng het doel van de verschillende systemen in kaart.
• Bepaal welke netwerk- en informatiesystemen afhankelijk van elkaar zijn.
• Zoom in op de systemen in je netwerk.
• Verwerk details van elk systeem en apparaat, zoals de OS-versie.
• Bepaal fysieke dreigingen voor je netwerk.
• Beoordeel waar belangrijke informatie zich binnen je netwerk bevindt.
• Breng de informatiestromen tussen netwerkcomponenten in kaart.

Door deze stappen te volgen, krijg je een goed beeld van je netwerk en kun je beoordelen of het voldoet aan het netwerkbeveiligingsbeleid van je organisatie.

Lees ook onze publicatie: Grip op Security Controls

Er zijn aanzienlijke verschillen in digitale weerbaarheid tussen bedrijven, sectoren en ketens. Zelfs als je eigen digitale weerbaarheid op orde is, loop je risico's als je toeleverancier of IT-dienstverlener kwetsbaar is voor cyberrisico's. Dit kan de beschikbaarheid, vertrouwelijkheid en integriteit van je bedrijfsprocessen en informatie in gevaar brengen. Daarom moeten leveranciersrisico's worden opgenomen in de risicoanalyse en risicomanagementbesluitvorming.

Voorbeelden van Digitale Supply Chain Risico's

Hier zijn drie scenario's die je bedrijf kunnen beïnvloeden:

• Een toeleverancier levert niet meer door een digitale aanval.
• Je IT-dienstverlener is gehackt, waardoor de aanvaller mogelijk toegang heeft tot jouw systemen.
• Er is een kritieke kwetsbaarheid ontdekt in een product of dienst die je gebruikt.

Lees meer over de 'kaashack', die de Rotterdamse haven platlegde, en hoe vijf gemeenten in Limburg hun dienstverlening moesten stopzetten na een hack in de keten.

Het is niet eenvoudig om zicht en grip te krijgen op cybersecurityrisico's in de toeleveringsketen. Voor een sterke cyberveilige keten moet je een beleid opstellen dat de afhankelijkheidsrelaties met directe leveranciers en dienstverleners in kaart brengt. Richt je ook op de IT-toeleveringsketen om potentiële risico's te beperken.

Als NIS2-organisatie ben je verantwoordelijk voor het identificeren en beperken van risico's, ook die voortkomen uit de toeleveringsketen. Maak goede afspraken om zicht te houden op de risico's en beperk deze waar nodig tot een acceptabel niveau.

Lees ook:

• Hoe breng ik mijn rechtstreekse leveranciers in kaart
• Hoe versterk je de weerbaarheid van leveranciers

Beleidsplan voor de toeleveranciersketen

Een beleidsplan voor de toeleveringsketen is een strategisch document dat beschrijft:

• Hoe je leveranciers selecteert en contracteert.
• Hoe je afhankelijkheden in kaart brengt.
• Hoe je risico's en afhankelijkheden classificeert.
• Hoe je risico's of afhankelijkheden beheerst.
• Hoe je dit periodiek evalueert en herziet.

Bij het afnemen van diensten of producten bij leveranciers vereist de NIS2-richtlijn inzicht in de volgende zaken:

• Kan een leverancier aantonen dat hij voldoet aan de opgelegde cybersecurityspecificaties?
• Risicoclassificaties van de geleverde IT-diensten of -producten.
• Een gecoördineerde risicobeoordeling van kritieke toeleveranciers, zoals vereist in artikel 22 lid 1 van de richtlijn.

Het doel van beleid en procedures voor cryptografie en encryptie is om de vertrouwelijkheid, integriteit, onweerlegbaarheid, authenticiteit en authenticatie van data te waarborgen. In een beleidsdocument beschrijf je de technieken en maatregelen die je hebt geïmplementeerd om de vertrouwelijkheid en integriteit van informatie te beschermen.

Onderdelen van het beleidsdocument

• Configuratiemanagement: Gebruik binnen de gehele organisatie alleen goedgekeurde encryptiestandaarden. Het beleid moet een minimale sleutellengte voorschrijven per asset en standaard.
• Benodigde Encryptiestandaard: Op basis van de risicoanalyse en assetclassificatie moeten de eisen voor de encryptiestandaard per beveiligingsniveau worden vastgesteld.
• Benodigde Sleutellengte: De aanbevolen sleutellengte hangt af van de gekozen encryptiestandaard. Raadpleeg de documentatie van de gebruikte encryptiestandaard voor advies.
• Sleutelmanagement: Beleid voor de gehele levenscyclus van cryptografische sleutels is essentieel. Dit omvat procedures, rollen en verantwoordelijkheden voor:
  • Het genereren en distribueren van sleutels
  • Het vernietigen of intrekken van sleutels
  • Het archiveren van sleutels
  • Het back-uppen van sleutels
  • Het loggen van sleutelmanagementactiviteiten
  • De uitgifte en verkrijging van certificaten, indien van toepassing

Effectiviteit en herziening

Het cryptografiebeleid moet periodiek worden getoetst en herzien, rekening houdend met veranderingen in de organisatie en actuele risico's. De testresultaten moeten worden opgenomen in de herziene versie van het beleidsdocument.

Lees meer: Wat is encryptie?

De mate en sterkte van de authenticatie moeten passen bij de classificatie van de activa waartoe toegang wordt verkregen. Deze classificatie heb je geïnventariseerd in de risicoanalyse. Extra authenticatie voorkomt dat een aanvaller toegang krijgt tot een account door het wachtwoord te raden of te achterhalen via bijvoorbeeld social engineering of phishing.

Multifactorauthenticatie (MFA) vereist het gebruik van twee of meer verschillende factoren om de echtheid van je identiteit of bevoegdheid vast te stellen. Deze factoren kunnen zijn:

• Iets dat je weet: Bijvoorbeeld een wachtwoord of een persoonlijk identificatienummer.
• Iets dat je hebt: Bijvoorbeeld een cryptografisch identificatieapparaat of tokens.
• Iets dat je bent: Bijvoorbeeld biometrische gegevens zoals een irisscan of handafdruk.

Een voorbeeld van MFA is een wachtwoord in combinatie met een token. Een ander voorbeeld is het gebruik van een vingerafdruk in combinatie met een eenmalige code die je op een ander apparaat ontvangt.

Lees meer: Gebruik Tweefactorauthenticatie.

Gebruik tweefactorauthenticatie (2FA) of multifactorauthenticatie (MFA) in elk geval bij:

• Accounts die vanaf het internet bereikbaar zijn
• Accounts met beheerrechten
• Accounts op essentiële systemen

Hoewel 2FA, tweestapsverificatie en MFA technisch gezien verschillen, worden ze allemaal gebruikt om de toegang tot accounts en digitale systemen veiliger te maken. Wil je een MFA-methode gaan gebruiken? Lees de tips voor het kiezen en gebruiken van een MFA-toepassing.

Voor beveiligde communicatie kan een organisatie gebruik maken van een Virtual Private Network (VPN). Een VPN maakt het mogelijk om over een bestaand netwerk, zoals het internet, een beveiligde verbinding op te zetten tussen twee apparaten. Deze verbinding, een VPN-tunnel, versleutelt het dataverkeer. Je kunt een VPN als dienst afnemen of zelf een VPN-server opzetten.

Het uitvoeren van een risicoanalyse is de eerste stap om de digitale weerbaarheid van je organisatie te verhogen. Deze analyse identificeert de bestaande risico's, waarna je de nodige maatregelen kunt bepalen en implementeren. Als tweede stap implementeer je, waar nodig, deze beheersmaatregelen. Na implementatie is het cruciaal om te weten of de maatregelen effectief zijn en de beoogde risico's afdekken. Dit vereist gestructureerde en systematische toetsing, die in het beleid van de organisatie moet worden opgenomen. Een van de manieren om de effectiviteit van maatregelen te toetsen, is via een securitytest.

Het beleid voor het toetsen van de effectiviteit van maatregelen verschilt per organisatie, afhankelijk van de eerder genomen maatregelen en specifieke processen. Hier zijn enkele elementen die vaak in dit beleid worden opgenomen:

• Doel en Scope: Leg vast wat de doelen van de toetsing en evaluatie zijn. Het doel moet omvatten of de juiste maatregelen zijn genomen om de risico's binnen acceptatiecriteria te houden en of aan geldende regelgeving wordt voldaan. Bepaal de scope van de test op basis van deze doelen.
• Frequentie: Neem de frequentie van de toetsing op in het beleid. Verschillende security frameworks, zoals ISO 27001, vereisen jaarlijkse audits. Als er geen specifieke frequentie-eis is, bepaal dan de frequentie op basis van een risicomanagementafweging.
• Manieren van Toetsing: Toetsing kan plaatsvinden via audits, risicoanalyses, pentests, code reviews of securityscans. Kies de meest geschikte toetsingsvorm op basis van het doel en de scope van de test.
• Rollen: Bepaal welke functie verantwoordelijk is voor de toetsing. Dit kan door een interne of externe partij worden gedaan, maar zorg ervoor dat de partij onafhankelijk is voor een onpartijdige beoordeling.
• Uitkomsten: Beschrijf hoe de uitkomsten worden gerapporteerd en aan wie. Voor onafhankelijkheid is het raadzaam om aan de directie of het bestuur te rapporteren. Gebruik de uitkomsten als input voor het actualiseren van de risicoanalyse.

Het beleidsplan voor het toetsen van de effectiviteit van maatregelen moet periodiek worden getoetst en herzien, rekening houdend met veranderingen in de organisatie en nieuwe risico's. Neem verbeterpunten op in de herziene versie van het beleidsplan.

Volg de handleiding voor het uitvoeren van een securitytest.
Deze handleiding bevat vier stappen:

1. Bepaal het doel: Definieer wat je wilt bereiken met de securitytest.
2. Bepaal het middel: Stel de manier van testen en de scope vast in een opdrachtomschrijving.
3. Voer regie over de uitvoering: Maak duidelijke afspraken met de externe partij die de test uitvoert.
4. Borg de verbeteringen: Evalueer de uitkomsten, bespreek en borg de verbeterpunten. Gebruik de resultaten als input voor de volgende risicoanalyse.

Lees ook: Infosheet Securitytesten