Effectief omgaan met wetten en regelgeving die op organisaties afkomt

Een risicoanalyse helpt bij het in kaart brengen van de meest essentiële risico’s voor jouw organisatie en voor degenen buiten jouw organisatie die van het goed en veilig functioneren van de digitale middelen in jouw organisatie afhankelijk zijn. Daarmee is het uitvoeren van een risicoanalyse een fundamentele stap in het kennen van de eigen organisatie.

De vragen in dit hoofdstuk ondersteunen bij het uitvoeren van een risicoanalyse. Aan elke vraag zijn andere adviespublicaties gekoppeld die je helpen bij het zetten van de eerste stappen. In de bijlage is een overzicht toegevoegd met gerelateerde publicaties.

Met behulp van de uitgevoerde risicoanalyse krijg je zicht op passende maatregelen. Welke maatregelen passend zijn, is afhankelijk van de beoordeling van de risico’s en de risicobereidheid van de organisatie. Daarmee is dit maatwerk per organisatie. Echter, een goed vertrekpunt is het toepassen van de vijf basisprincipes van het NCSC en DTC.

Wacht niet, ga alvast aan de slag met het op orde brengen van de digitale weerbaarheid.

Begin met het inwinnen van advies vanuit de branchevereniging waar jij toebehoort.

Dit soort verenigingen weten vaak wat voor wet- en regelgeving voor jouw organisatie van toepassing is en kunnen je hier goed mee op weg helpen. Daarnaast bieden zij vaak hulp bij het in kaart brengen van de, voor jouw organisatie, relevante eisen van de verschillende wet- en regelgeving. Ook delen zij soms praktische handvatten en ervaringen over de implementatie van wet- en regelgeving.

Maak ook zelf een inschatting welke wet- en regelgeving relevant is voor jouw organisatie. Een eerste inschatting maak je met het overzicht in de bijlage onderaan deze publicatie.

Door deze wet -en regelgeving te beoordelen, krijg je een eerste indruk van de regels. Dit helpt je om prioriteiten te stellen en ervoor te zorgen dat je organisatie tijdig aan de relevante wet -en regelgeving voldoet.

Vergeet niet dat na deze analyse op hoofdlijnen een grondiger analyse en begrip van deze wetten essentieel is om juridische risico’s te beperken.

Wet -en regelgeving stelt soms ook eisen in de vorm van concrete risicobeperkende maatregelen zoals het toepassen van multifactorauthenticatie (MFA) in NIS2 (artikel 21.2 punt J).

Het mappen van de uitkomsten van de risicoanalyse op de eisen en criteria van de wet- en regelgeving geeft een mooie basis. Aan de hand van deze basis maak je geïnformeerde afwegingen om te bepalen waar je wilt beginnen met het treffen van maatregelen.

Maak daarom een weergave van de concrete maatregelen die de wet- en regelgeving vereist en vergelijk die met de risico’s uit de risicoanalyse en de voorgenomen passende maatregelen. Met dit overzicht ga je op zoek naar overlappende maatregelen.

Als je de basis van je digitale weerbaarheid op orde hebt en specifieke maatregelen uit wet- en regelgeving voor jouw organisatie hebt getroffen, is het ook belangrijk om te kijken naar je leveranciers. Gebruikt jouw organisatie digitale systemen, diensten of processen van een ander bedrijf? Dat ontslaat je niet van de verantwoordelijkheid om zelf te voldoen aan wet -en regelgeving.

Daarom is het belangrijk om ook bij hen na te gaan of zij ook voldoen aan de eisen waar jij aan moet voldoen. Hiervoor check je periodiek in hoeverre die producten of diensten geschikt zijn voor gebruik binnen jouw risicoprofiel.

Lees ook eens:

• Ketenbeveiliging - Good Practices | Digital Trust Center (Min. van EZ)
• Hoe versterk je de weerbaarheid van leveranciers

Merk de wijzigingen in wet- en regelgeving tijdig op zodat je de organisatie hierop voorbereidt. Dit doe je door bijvoorbeeld de samenwerking op te zoeken met vakgenoten, events te bezoeken en je aan te sluiten bij een brancheorganisatie of samenwerkingsverband. 

- Je kunt je ook aansluiten bij een Information Sharing and Analysis Center (ISAC). Een ISAC is bedoeld om in een vertrouwelijke en vertrouwde omgeving de uitwisseling van informatie te faciliteren. 

- Een andere optie is om lid van de DTC Community te worden. Op dit besloten cyberforum is er ruimte voor kennisdeling en stel je vragen over wet- en regelgeving. 

- Verder is het ook nuttig om actief sociale media-accounts van rijksoverheidsorganisaties bij te houden, zoals op LinkedIn. Zo blijf je op de hoogte van ontwikkeling rondom wet- en regelgeving. Voorbeelden zijn: NCSC, DTC, NCTV, RDI, ILT, AFM, DNB, Z-Cert. 

Door goed geïnformeerd te blijven en proactief te handelen, bereid je de organisatie voor op veranderingen en nieuwe wet- en regelgeving. Dit helpt ook om juridische risico’s te minimaliseren. Als laatste geeft een proactieve houding de stakeholders van jouw organisatie het vertrouwen dat de naleving van wet -en regelgeving op orde is.  

Jouw organisatie begint met het uitvoeren van een risicoanalyse. Een van de bevindingen is dat het verlies van de vertrouwelijkheid van klantgegevens een grote impact heeft op jouw organisatie. Daarom wil je voorkomen dat deze informatie in handen van onbevoegden komt.

Door het uitvoeren van een risicoanalyse krijg je breed zicht op welke risico’s er zijn en maak je concreet welke risico’s het meest relevant zijn bij het gebruik van deze SaaS-oplossing.

Bekijk en beoordeel bijvoorbeeld de certificeringen van de SaaS-leverancier. Maak op basis van die informatie een inschatting over de mate waarin risico’s die jij hebt geidentificeerd door de leverancier worden beheerst. Zoals de manier waarop zaken als continuiteit, betrouwbaarheid, beveiliging worden geborgd.

Aansluitend start je met het treffen van maatregelen om de impact van deze meest relevante risico’s te verkleinen. Dit doe je o.a. aan de hand van de basisprincipes van NCSC en DTC.

Soms bieden SaaS-platforms opties in hun diensten aan waarmee afnemers risico’s in hun eigen organisatie kunnen verminderen. Onderzoek welke opties er mogelijk zijn en hoe die kunnen worden gebruikt. Voorbeeld is  multifactorauthenticatie, dat niet altijd standaard “aan” is gezet. Andere voorbeelden: extra versleuteling van data, backup-opties, uitwijkmogelijkheden, het toepassen van beveiligingsstandaarden, veiligheidsaudits op configuraties.

Daarnaast voer je een check uit welke relevante wetten er zijn bij het gebruik van deze SaaS-oplossing. Hierbij wordt duidelijk dat er tenminste twee relevante wetten zijn, namelijk: NIS2 en AVG.

• De NIS2 is relevant omdat jouw organisatie actief is in een van de sectoren van de NIS2.
• De AVG is relevant door de verwerking van persoonsgegevens van jouw klanten en vereist dat er passende maatregelen getroffen worden.

Zowel NIS2 als AVG hechten waarde aan het risicogebaseerd nemen van maatregelen. Uit de eerder uitgevoerde risicoanalyse heb jij al geïdentificeerd wat de meest relevante risico’s zijn en heb je maatregelen genomen, zoals het instellen van MFA. Hiermee is jouw organisatie door de eerder uitgevoerde risicoanalyse al op de goede weg met de invulling van beide wetten omdat een van de eisen in NIS2 het toepassen van MFA is. Het toepassen van MFA is ook een maatregel voor de bescherming van de persoonsgegevens die aansluit bij de eisen van de AVG.

NB: zoek goed uit of genoemde wet- en regelgeving wel voor jouw organisatie van belang is.