Zorgplicht

Bereid jouw organisatie tijdig voor op de Cyberbeveiligingswet. Om te voldoen aan de zorgplicht, adviseert het NCSC tenminste de onderstaande drie stappen te nemen. Het NCSC heeft verschillende adviesproducten ontwikkeld die je kunnen helpen om deze eerste stappen te zetten. 

Ben je op zoek naar welke vragen je als bestuurder moet stellen aan de CISO om je voor te bereiden  op de komst van de Cyberbeveiligingswet? De publicatie Vragen die je als bestuurder kunt stellen aan de CISO geeft je concrete handvaten en voorbeeld vragen die je kunt stellen aan jouw CISO om gesprekken richting en vorm te geven.   

Het realiseren van passende digitale weerbaarheid vereist een samenspel van de gehele organisatie. In de publicatie “Hoe stuur je op effectieve informatiebeveiliging?” geven we een aantal concrete handvatten waarmee je jouw organisatie kan meenemen in het realiseren van effectieve informatiebeveiliging.

1. Maak een risicoanalyse

Digitale dreigingen kunnen grote risico’s met zich meebrengen voor de  dienstverlening van jouw organisatie. Via een helder en cyclisch risicomanagementbeleid kun je komen tot een passend niveau van (digitale) weerbaarheid. Dat begint met een risicoanalyse waarin de te beschermen belangen, dreigingen en de huidige weerbaarheid van jouw organisatie worden bekeken. Op basis hiervan kun je weloverwogen keuzes maken hoe om te gaan met de gevonden risico’s.

Je kunt jouw risicoanalyse sturen door de volgende vragen te beantwoorden:

2. Neem passende maatregelen

Via jouw risicomanagementproces krijg je zicht op de passende maatregelen. Welke maatregelen passend zijn is maatwerk en afhankelijk van de beoordeling van jouw risico’s. Een goed vertrekpunt is het toepassen van de vijf basisprincipes van het NCSC of ga aan de slag met voorbereidende maatregelen.

Voorbeelden van maatregelen zijn:

3. Zorg voor procedures om te reageren op en te herstellen van incidenten

Organisaties die straks onder de NIS2-wetgeving vallen zijn verplicht om incidenten te melden bij de nationale en/of sectorale CSIRT en de toezichthouder. Hiervoor wordt een centrale meldvoorziening ingericht. Factoren die een incident melding plichtig maken zijn bijvoorbeeld een verstoring van diensten of het aantal personen dat door het incident getroffen wordt.