Deze publicatie biedt praktische handvatten voor jouw organisatie om dreigingen in kaart te brengen ter voorbereiding op de NIS2-richtlijn. De NIS2-richtlijn bevat een zorgplicht die jouw organisatie verplicht om een risicoanalyse uit te voeren. Op basis van deze risicoanalyse kun je beoordelen wat passende maatregelen zijn om de continuïteit van diensten te waarborgen en informatie te beschermen.
Het in kaart brengen van relevante dreigingen is onderdeel van een risicoanalyse. Deze publicatie helpt je bij het zetten van de eerste stappen voor het onderdeel dreiging.
Doelgroep: Deze publicatie richt zich op organisaties die onder de NIS2-richtlijn komt te vallen en is geschreven voor personen die binnen deze organisaties een rol hebben bij het uitvoeren van een risicoanalyse in het kader van de zorgplicht.
Achtergrond
De afgelopen jaren zien we dat diverse ontwikkelingen in toenemende mate de veiligheid van onze maatschappij en economie onder druk zetten. Denk daarbij aan COVID-19, de oorlog in Oekraïne en cyberdreigingen. In het licht van deze ontwikkelingen is er sinds 2020 vanuit de Europese Unie gewerkt aan de Network and Information Security (NIS2) directive. Deze richtlijn is gericht op een verbetering van de digitale en economische weerbaarheid van Europese lidstaten. In Nederland zal de NIS2-richtlijn geïmplementeerd worden in de vorm van de Cyberbeveiligingswet.
De Rijksoverheid adviseert organisaties om niet af te wachten totdat de wet- en regelgeving volledig duidelijk is. De risico’s die organisaties en systemen lopen, zijn er immers nu ook al. Organisaties die nu al in actie komen beveiligen zich niet alleen tegen deze bestaande risico’s, maar zijn straks ook beter voorbereid op de komst van de nieuwe wetgeving.
Deze publicatie maakt onderdeel uit van een publicatiereeks en biedt praktische handvatten voor het uitvoeren van een risicoanalyse in het kader van de NIS2-richtlijn. De handvatten in deze publicatie zijn ter voorbereiding op de NIS2-richtlijn geschreven, maar kunnen ook breder worden toegepast om dreigingen in kaart te brengen.1
Wat is een dreiging?
Onder dreiging verstaan we iets wat gevaar of schade kan opleveren voor een organisatie. Dit kan bijvoorbeeld leiden tot verstoring, reputatieschade of financieel verlies. Er bestaan verschillende actoren met uiteenlopende intenties die een cyberdreiging voor jouw organisatie kunnen vormen. Denk hierbij bijvoorbeeld aan criminelen, hacktivisten, insiders of statelijke actoren. De implementatie van de NIS2-richtlijn levert een belangrijke bijdrage aan het doel dat organisaties zicht hebben op cyberdreigingen en risico’s en dat zij daar op een passende manier mee omgaan.
Om cyberdreigingen in kaart te kunnen brengen, moet er doorgaans extra tijd en capaciteit vrijgemaakt worden. Hiervoor heb je de steun van het bestuur nodig. We adviseren als eerste stap om dit gesprek voor te bereiden. Dit kun je bijvoorbeeld doen door:
In gesprek te gaan met personen binnen jouw organisatie die over dreigingsinformatie beschikken. Dit zijn bijvoorbeeld de personen die zich met risicomanagement processen bezig houden, maar ook de technisch experts of de inkoopafdeling. Inventariseer met behulp van deze gesprekken in hoeverre jouw organisatie zicht heeft op cyberdreigingen. Welke informatie is al beschikbaar?
Het verzamelen van praktijkvoorbeelden van cyberincidenten. Dit kunnen incidenten binnen je eigen organisatie zijn, maar ook voorbeelden van incidenten bij vergelijkbare organisaties in binnen-en buitenland.
Het bijeenbrengen van het huidige zicht op cyberdreigingen en eventuele cyberincidenten om als input voor het gesprek met je bestuur te gebruiken.
Het vertalen van deze input op een heldere manier die het bestuur aanspreekt en begrijpelijk is. Dit kun je bijvoorbeeld doen door cyberdreigingen en (eerdere) cyberincidenten zo concreet en tastbaar mogelijk te maken. Hiermee laat je zien dat een dreiging niet alleen theoretisch, maar ook heel voorstelbaar of zelfs concreet kan zijn.
In de eerste stap heb je een beeld gevormd van de mate waarin jouw organisatie nu zicht op dreigingen heeft. In deze stap ga je op basis van deze inventarisatie het gesprek met het bestuur aan en kun een plan presenteren met de middelen die je concreet nodig hebt. Het is tijdens dit gesprek ook van belang om afspraken te maken over de opvolging van de uitkomsten van dit plan.
Uitgangspunten voor dit gesprek zijn bijvoorbeeld:
Een toelichting waarom zicht op dreigingen belangrijk is voor een risicoanalyse als onderdeel van de NIS2-richtlijn. Op basis van deze risicoanalyse kun je beoordelen wat passende maatregelen zijn om de continuïteit van diensten te waarborgen en informatie te beschermen.
Een plan presenteren om het zicht op dreigingen a) in kaart te brengen of b) te verbeteren.
De benodigde capaciteit en middelen toelichten. Gebruik hiervoor de input uit de eerste stap. Vraag het bestuur om het plan formeel goed te keuren.
Het maken van concrete afspraken om de resulaten van het plan terug te koppelen aan het bestuur. Dit is nodig om vervolgstappen te kunnen bepalen om tot een afgeronde risicoanalyse te komen.
Met de steun en formele goedkeuring van het bestuur kun je aan de slag met het zetten van de eerste stappen om cyberdreigingen in kaart te brengen of het zicht op cyberdreigingen te verbeteren.
Om een beeld te kunnen vormen van mogelijke cyberdreigingen voor jouw organisatie, zul je dreigingsinformatie moeten verzamelen. Dit kan op verschillende manieren:
Inventariseer welke dreigingsinformatie er al binnen je eigen organisatie aanwezig is. Zie hiervoor ook het advies in stap één.
Verzamel publiek beschikbare dreigingsinformatie. Denk hierbij aan publicaties zoals het Cybersecurity Beeld Nederland (CSBN), het AIVD jaarverslag of het Dreigingsbeeld Statelijke Actoren. Ook commerciële cybersecurity bedrijven brengen openbaar beschikbare dreigingsrapporten uit.
Bekijk openbare dreigingsinformatie die wordt gedeeld door het Nationaal Cyber Security Centrum (NCSC) of het Digital Trust Centre (DTC).
Verken of andere organisaties binnen jouw sector bereid zijn om dreigingsinformatie uit te wisselen.
Het inkopen van dreigingsinformatie bij commerciële bronnnen. Verschillende marktpartijen bieden deze diensten aan. Overweeg of deze informatie van toegevoegde waarde voor jou organisatie is.
Maak op basis van de verzamelde dreigingsinformatie een overzicht van de verschillende dreigingsactoren en de bijbehorende intenties.
Door dreigingsinformatie te verzamelen kun je het bestaande beeld van cyberdreigingen verruimen. Om vervolgens te bepalen welke dreigingen het meest relevant voor jouw organisatie zijn, kun je een workshop organiseren. Dit wordt toegelicht in de volgende stap.
Het organiseren van een workshop is een praktische manier om af te wegen welke cyberdreigingen het meest relevant voor jouw organisatie zijn. Door verschillende expertises bij elkaar te brengen kun je vanuit meerdere invalshoeken tot een vollediger en gedeeld dreigingsbeeld komen.
Nodig hiervoor de interne stakeholders uit die je ook in de vorige stappen hebt bevraagd. Je kunt overwegen om externe (dreigings-) experts uit te nodigen, maar het is in dit geval belangrijk om op voorhand afspraken over de vertrouwelijkheid van de sessie te maken.
Voor de inhoudelijke invulling en opzet van de workshop kun je denken aan:
Het toesturen van een overzicht van mogelijke dreigingsactoren en bijbehorende intenties die je hebt verzameld in stap 3 voorafgaand aan de workshop. Vraag de deelnemers om zich alvast in te lezen zodat ze een beeld hebben van mogelijke cyberdreigingen.
Bespreek tijdens de workshop in tijdsblokken deze dreigingsactoren en bijbehorende intenties. Houd de tijd goed in de gaten en ook het onderwerp van het betreffende tijdsblok. Dit is noodzakelijk om tot bruikbaar eindresultaat te komen.
Vraag in het eerste tijdsblok aan de deelnemers om, individueel en zonder te communiceren, een rangschikking te maken van de verschillende dreigingsactoren op basis van de intentie van deze actor en op basis van de eigen kennis over de organisatie. Hierbij is het doorgaans ook belangrijk om kennis te hebben van de te beschermen belangen van jouw organisatie. Nadat alle deelnemers individueel een rangschikking hebben aangebracht, vraag je de deelnemers om hun eigen rangschikking voor alle deelnemers toe te lichten en te onderbouwen. Bied voldoende ruimte voor discussie. Sluit het blok af door vervolgens tot een gedeelde rangschikking te komen. Leg hierbij ook de onderbouwing van de keuzes vast.
Vraag tijdens het tweede tijdsblok aan de deelnemers om hetzelfde te doen voor de meest voorstelbare aanvalsmethoden. Gebruik hiervoor de vastgestelde rangschikking van dreigingsactoren. Vraag wederom eerst om een individuele inschatting en vraag de deelnemers vervolgens om de inschatting voor alle andere deelnemers toe te lichten. Bied voldoende ruimte voor discussie en vraag de deelnemers om tot een gedeelde inschatting te komen.
Vat de bevindingen samen en sluit de workshop af.
Met behulp van de resultaten en het overzicht in de vorige stap kun je weer met het bestuur in gesprek gaan. Vermijd bij voorkeur technisch jargon en probeer de resultaten sprekend te maken door concrete en sprekende voorbeelden uit de workshop aan te halen of voorstelbare scenario’s te schetsen. Houdt het eenvoudig en overzichtelijk.
Benadruk dat zicht op dreigingen een belangrijke stap is, maar nog geen afgeronde risicoanalyse betreft. Hiervoor moeten de cyberdreigingen afgewogen worden tegen de te beschermen belangen van de organisatie en moet ook het huidige niveau van weerbaarheid in kaart worden gebracht.
Bespreek tot slot met je bestuur welke vervolgstappen er nodig zijn om tot een afgeronde risicoanalyse te komen en wat je hiervoor nodig hebt.
1 Het doel van deze publicatie is om organisaties te ondersteunen bij de voorbereiding op de NIS2-richtlijn. Deze publicatie biedt geen officiële of juridische basis om aan de NIS2-richtlijn te voldoen
