Bereid jouw organisatie tijdig voor op de Cyberbeveiligingswet. Om te voldoen aan de zorgplicht, adviseert het NCSC tenminste de onderstaande drie stappen te nemen. Het NCSC heeft verschillende adviesproducten ontwikkeld die je kunnen helpen om deze eerste stappen te zetten.
Ben je op zoek naar welke vragen je als bestuurder moet stellen aan de CISO om je voor te bereiden op de komst van de Cyberbeveiligingswet? De publicatie Vragen die je als bestuurder kunt stellen aan de CISO geeft je concrete handvaten en voorbeeld vragen die je kunt stellen aan jouw CISO om gesprekken richting en vorm te geven.
Het realiseren van passende digitale weerbaarheid vereist een samenspel van de gehele organisatie. In de publicatie “Hoe stuur je op effectieve informatiebeveiliging?” geven we een aantal concrete handvatten waarmee je jouw organisatie kan meenemen in het realiseren van effectieve informatiebeveiliging.
1. Maak een risicoanalyse
Digitale dreigingen kunnen grote risico’s met zich meebrengen voor de dienstverlening van jouw organisatie. Via een helder en cyclisch risicomanagementbeleid kun je komen tot een passend niveau van (digitale) weerbaarheid. Dat begint met een risicoanalyse waarin de te beschermen belangen, dreigingen en de huidige weerbaarheid van jouw organisatie worden bekeken. Op basis hiervan kun je weloverwogen keuzes maken hoe om te gaan met de gevonden risico’s.
Je kunt jouw risicoanalyse sturen door de volgende vragen te beantwoorden:
Door in kaart te brengen welke zaken cruciaal zijn voor jouw organisatie en/of dienstverlening, kun je afwegingen maken om de juiste passende maatregelen te nemen om deze belangen te beschermen. Voorbeelden van kroonjuwelen kunnen zijn: klantgegevens, productiemethoden, gegevens over de medewerkers, financiële gegevens of reputatie van jouw organisatie.
De publicatie 'Hoe breng ik mijn te beschermen belangen in kaart?' biedt organisaties praktische handvatten aan personen die werkzaam zijn op tactisch niveau in de organistie. Wanneer je jouw te beschermen belangen in kaart hebt gebracht, kun je deze gebruiken om een risicoanalyse uit te voeren.
Dit product is het vervolg op de publicatie “Wat zijn te beschermen belangen (kroonjuwelen) van mijn organisatie?” Dit tweede deel "Hoe breng ik mijn technische te beschermen belangen in kaart?" helpt je in drie stappen om jouw te beschermen belangen op het niveau van netwerk- en informatiesystemen in kaart te brengen. Na het doorlopen van de stappen heb je een lijst met de te beschermen belangen van jouw organisatie op het niveau van netwerk- en informatiesystemen.
Dreigingen kunnen zich richten op de beschikbaarheid (is de informatie toegankelijk wanneer dat nodig is?), integriteit (is de informatie correct?) of vertrouwelijkheid (hebben enkel geautoriseerden toegang tot de informatie?). Deze BIV-classificatie kun je gebruiken om te bepalen waar de dreigingen zich op richten. Door de dreigingen per te beschermen belang in kaart te brengen, krijg je een duidelijk overzicht.
De publicatie ‘Hoe breng ik mijn dreigingen in kaart’ biedt organisaties praktische handvatten om digitale dreigingen in kaart te brengen ter voorbereiding op de NIS2-richtlijn. Het in kaart brengen van relevante dreigingen is onderdeel van een risicoanalyse. Deze publicatie helpt organisaties bij het zetten van de eerste stappen. De handvatten in deze publicatie zijn ter voorbereiding op de NIS2-richtlijn geschreven, maar kunnen ook breder worden toegepast om dreigingen in kaart te brengen.
Nu je inzicht hebt in de te beschermen belangen en dreigingen van jouw organistie, breng je de huidige weerbaarheid in kaart. Hierdoor is duidelijker grip te krijgen op de passende maatregelen die je kan treffen om je digitale weerbaarheid te vergroten. Voorbeelden van weerbaarheidsmaatregelen zijn het implementeren van multi-factorauthenticatie en trainen van het personeel.
De NCSC publicatie 'Hoe krijg ik grip op mijn security controls?' helpt je bij het in kaart brengen en zicht houden op de security controls binnen jouw organisatie. Security controls zijn onderdeel van de huidige weerbaarheid van jouw organisatie.
Cybersecurity risico’s beperken zich niet alleen tot de eigen organisatie. Toeleveranciers van jouw organisatie spelen hierin ook een essentiële rol. Als één van de leveranciers getroffen wordt door een cyberaanval kan dat grote gevolgen hebben voor jouw organisatie. Door de (rechtstreekse) toeleveranciers van jouw organisatie in kaart te brengen maak je inzichtelijk waar je afhankelijkheden liggen en welke risico’s dit met zich mee brengt.
Deze publicatie biedt praktische handvatten voor jouw organisatie om de meest relevante risico's te bepalen. Door met deze handvatten aan de slag te gaan, kun je prioriteren met welke risico's je als eerst aan de slag moet. Het doel van deze publicatie is om je hier stapsgewijs bij te helpen.
2. Neem passende maatregelen
Via jouw risicomanagementproces krijg je zicht op de passende maatregelen. Welke maatregelen passend zijn is maatwerk en afhankelijk van de beoordeling van jouw risico’s. Een goed vertrekpunt is het toepassen van de vijf basisprincipes van het NCSC of ga aan de slag met voorbereidende maatregelen.
Voorbeelden van maatregelen zijn:
Om de beveiliging van informatie op orde te krijgen, is het noodzakelijk om de bijbehorende risico's inzichtelijk te maken en onacceptabele risico's te beheersen. De waarde van informatie is daarbij een belangrijk uitgangspunt.
Beleg het eigenaarschap van informatie en de daarvoor geldende risico's en bepaal de bijbehorende verantwoordelijkheden. Meer informatie over het vaststellen van eigenaarschap van informatie kun je vinden in de factsheet: ’Risico’s beheersen: de waarde van informatie als uitgangspunt’.
Medewerkers die zich bewust zijn van de risico’s rondom informatiebeveiliging, weten hoe zij moeten handelen in het geval van onveilige situaties en dragen een belangrijke steen bij aan de digitale weerbaarheid. Dit geldt niet alleen voor medewerkers, ook voor bestuurders en managers.
Een cultuur waarin incidenten veilig gemeld en verwerkt kunnen worden, helpt hierbij. Meer informatie over veilig gedrag op het gebied van digitale weerbaarheid is te vinden op de pagina ’Cyberhygiëne’ van het Digital Trust Center.
Het is van belang dat de organisatorische kant van cybersecurity goed geregeld is binnen jouw organisatie. Door het juist beleggen van verantwoordelijkheden zorg je ervoor dat de risicomanagementcyclus verankerd is. Meer informatie over de organisatorische maatregelen die je kunt nemen is te vinden op de pagina ‘Organisatorische inbedding van maatregelen’.
Via onderstaande links vind je meer informatie, tips en adviezen die kunnen helpen bij het analyseren en beoordelen van digitale risico’s:
Vind uitgebreide en concrete stappen voor het maken van een beleidsplan risicoanalyse op de pagina ‘Hoe maak je een beleidsplan risicoanalyse’ van het Digital Trust Center.
Met behulp van het ‘stappenplan risicoanalyse’ kun je in vier concrete stappen achterhalen wat je kunt doen om risico’s te beheersen.
Voor het in kaart brengen van risico’s kan onder meer gebruik worden gemaakt van de ‘Rijksbrede Risicoanalyse’. Deze laat zien welke dreigingen de Nederlandse samenleving kunnen ontwrichten.
In deze publicatie “Hoe organiseer ik identiteit en toegang?” licht het NCSC toe wat het belang van identiteits- en toegangsbeheer is. En welke eerste stappen je kunt zetten om dit beheer in te richten om effectief grip te krijgen op je gebruikers en hun toegang.
3. Zorg voor procedures om te reageren op en te herstellen van incidenten
Organisaties die straks onder de NIS2-wetgeving vallen zijn verplicht om incidenten te melden bij de nationale en/of sectorale CSIRT en de toezichthouder. Hiervoor wordt een centrale meldvoorziening ingericht. Factoren die een incident melding plichtig maken zijn bijvoorbeeld een verstoring van diensten of het aantal personen dat door het incident getroffen wordt.
Om de impact van een incident te verminderen en snel weer aan de slag te kunnen, stelt de Cyberbeveiligingswet dat organisaties beleid moeten hebben op de behandeling van incidenten. Met een incident respons plan (IRP) zet je daar de eerste stappen voor. In de publicatie “Incident respons plan: hoe stel ik die op?” vind je de eerste handvatten voor het opstellen van een IRP.
Naast het nemen van passende maatregelen om incidenten te voorkomen, is het van belang procedures te ontwikkelen voor het detecteren, monitoren, oplossen en melden van incidenten. Mocht je te maken krijgen met een cyberincident, dan is het van belang te weten hoe je daarvan kunt herstellen. Lees daarover meer in de Publicatie 'Herstel van een cyberincident'.
