NIS2-richtlijn voor cybersecurity: De eisen en voorbereidingen

25 april 2024 Consultancy.nl 7 min. leestijd
Profiel
Meer nieuws over

De aankomende Network and Information Systems Directive (NIS2) verplicht een grote groep organisaties om zich te beveiligen tegen cyberaanvallen. Kees Plas van BDO zet uiteen wat de NIS2-eisen precies zijn en wat organisaties moeten doen om compliant aan de verordening te zijn.

De NIS2 verplicht organisaties die essentieel of belangrijk zijn voor de maatschappij (én hun toeleveranciers) om hun systemen en processen te beveiligen tegen cyberaanvallen. Denk aan bedrijven in de gezondheidszorg, transport en energiesector, maar ook overheidsdiensten, levensmiddelenorganisaties, waterbeheerbedrijven en IT-aanbieders.

De richtlijn wordt momenteel omgezet naar Nederlandse wetgeving die naar verwachting in oktober 2024 van kracht zal worden.

Kees Plas, Partner, BDO

Ondanks dat de vereisten nog niet zijn geformaliseerd in nationale wetgeving, is wel duidelijk welke richting het op gaat en zijn de parallellen met bestaande raamwerken en good practices, zoals ISO 27001, wel al duidelijk.

De NIS2-eisen

De NIS2-eisen kunnen worden verdeeld over dertien thema’s:

1: Opleiding bestuur 
Bestuurders, commissarissen en toezichthouders moeten een opleiding doen, waarmee ze voldoende kennis en vaardigheden opdoen om risico’s op het gebied van cyberbeveiliging te herkennen en de gevolgen ervan te beoordelen op de diensten die de organisatie levert.

2: Periodieke risicoanalyse
Organisaties moeten periodieke risicoanalyses uitvoeren ten aanzien van cyberbeveiliging en aantonen dat op basis van de uitkomsten maatregelen genomen worden om de beveiliging te verbeteren. Dit zou onderdeel moeten zijn van het overkoepelende risicomanagementproces waarin vervolgstappen worden bepaald om risico’s naar een acceptabel niveau te brengen die passen bij de organisatie en hun risicobereidheid. 

3: Proces voor opvolgen cyberincidenten 
Organisaties dienen te beschikken over een procedure om cyberincidenten passend op te volgen. Het proces voor de opvolging van cyberincidenten (Incident Response Plan) heeft als doel om zo snel mogelijk te reageren op een incident en de impact ervan te minimaliseren. Het proces omvat het detecteren, analyseren en rapporteren van incidenten, evenals het nemen van maatregelen om de oorzaak van het incident te identificeren en te verhelpen.

4: Bedrijfscontinuïteitsplannen
Beleid, procedures en maatregelen waarmee de continuïteit van een organisatie kan worden gewaarborgd, in het geval van onvoorziene omstandigheden of calamiteiten, worden verplicht. Denk hierbij aan: identificatie kritieke processen, behoud en herstel van deze processen met bijvoorbeeld back-up beheer, noodvoorzieningen, incident respons plannen en testen van de plannen in geval van een noodsituatie.

5: Zicht op de cybersecurity van leveranciers
Zicht op en bijhouden van de staat en het niveau van cyberbeveiliging van de leveranciers van een organisatie vormt een belangrijk onderdeel van de NIS2-regelgeving. Het proces omvat het evalueren van de cybersecurity van leveranciers, het monitoren van hun activiteiten en het nemen van passende maatregelen om eventuele zwakke plekken te verhelpen.

6: Veilige netwerk- en informatiesystemen
Cyberbeveiliging moet structureel worden geborgd bij de verwerving, ontwikkeling en het onderhoud van netwerk- en informatiesystemen.

Om de vertrouwelijkheid, integriteit en beschikbaarheid van informatie te waarborgen en de risico’s op cyberaanvallen te minimaliseren dienen er voldoende beveiligingsmaatregelen te worden geïmplementeerd. Denk aan firewalls, indringingsbewaking en preventiesystemen, geavanceerde authenticatiemethoden en het monitoren van het netwerk en de systemen op mogelijke bedreigingen.

7: Volledig zicht op aanvalsoppervlakte (sub)domeinnamen
De ICT-omgeving van een organisatie is mogelijk groter dan men denkt. Vaak is er op het internet niet alleen allerlei informatie over de organisatie en werknemers te vinden, maar kunnen er ook nog vergeten IT-assets toegankelijk zijn. Over de tijd heen kunnen er bijvoorbeeld applicaties of systemen tijdelijk toegankelijk zijn gemaakt voor werknemers, klanten of leveranciers. 

Ook kan het zijn dat oude systemen niet buiten gebruik gesteld zijn, de externe omgeving niet veilig geconfigureerd is, er poorten open staan, of dat kwetsbare software niet gepatcht of niet actueel is. Het is daarom vereist om volledig zicht te krijgen en te houden op de ICT omgeving.

8: Managementproces voor kwetsbaarheden
‘Vulnerabilities’, oftewel kwetsbaarheden, zijn een zwakte of fout in de software, het netwerk, de applicatie of ICT-infrastructuur, die door een aanvaller kunnen worden misbruikt om ongeoorloofde toegang te verkrijgen of schade aan het systeem te veroorzaken. Deze kwetsbaarheden kunnen in verschillende vormen voorkomen, waaronder softwarefouten, ontwerpfouten, configuratiefouten en zwakke authenticatiemechanismen. 

Deze zwakke plekken vormen een van de grootste oorzaken van cyberaanvallen door hackers en kunnen worden misbruikt voor ransomware, datadiefstal of het verstoren van systemen. Om veilig te blijven voor kwetsbaarheden, moeten bedrijven een combinatie van technische en operationele maatregelen inzetten, ontworpen om kwetsbaarheden te identificeren en te verminderen. Dit kan onder meer het gebruik van kwetsbaarheidsscanners, beveiligingsaudits, patchbeheer en penetratietesten omvatten.

9: Evaluatieproces van cyberbeveiligingsmaatregelen
Een Informatie Security Management Systeem (ISMS) is een gestructureerd en gedocumenteerd systeem dat organisaties helpt bij het beheren van hun informatie, met als doel de effectiviteit van de beveiligingsmaatregelen te beoordelen en te verbeteren.

Het ISMS omvat het evalueren van de beveiligingsmaatregelen op basis van de laatste ontwikkelingen op het gebied van cybersecurity, het testen van de maatregelen en het nemen van maatregelen om eventuele zwakke plekken te verhelpen.

10: Beleid ten aanzien van encryptie
Een encryptiebeleid zorgt ervoor dat alle gevoelige en vertrouwelijke informatie van klanten en medewerkers goed beschermd wordt. Dit gebeurt door middel van het versleutelen van data tijdens transport en opslag, het gebruik van sterke wachtwoorden en het beperken van toegang tot gevoelige informatie tot alleen geautoriseerde personen. 

Het beleid is van toepassing op alle systemen en apparaten die door een organisatie gebruikt worden, inclusief laptops en mobiele apparaten. Het doel van het encryptiebeleid is om de privacy en veiligheid van gevoelige informatie te waarborgen en te voldoen aan de wettelijke vereisten op het gebied van databeveiliging.

11: Procedures gebruikerstoegang
Een logische toegangsbeveiligingsprocedure zorgt ervoor dat alleen geautoriseerde medewerkers toegang hebben tot systemen, applicaties en data die nodig zijn voor hun werkzaamheden. Dit gebeurt door middel van het toekennen van unieke gebruikersnamen en sterke wachtwoorden, het beperken van toegang tot alleen die informatie die nodig is voor de uitvoering van de werkzaamheden en het gebruik van multifactor-authenticatie waar nodig. 

De procedure is van toepassing op alle systemen en applicaties die door een organisatie gebruikt worden, inclusief het netwerk en mobiele apparaten.

12: Multifactor-authenticatieproces
Het multifactor-authenticatieproces is een extra beveiligingslaag die gebruikt wordt om de toegang tot gevoelige informatie te beschermen. Het proces vereist dat gebruikers zich identificeren met twee of meer verschillende vormen van authenticatie, zoals een wachtwoord in combinatie met een token, biometrische gegevens of een smartcard. 

Het doel van het multifactor-authenticatieproces is om de vertrouwelijkheid en integriteit van gevoelige informatie te waarborgen en te voorkomen dat onbevoegde personen toegang krijgen.

13: Meldproces incidenten aan toezichthouders
Het meldproces aan toezichthouders heeft als doel om ervoor te zorgen dat eventuele incidenten of inbreuken op de beveiliging zo snel mogelijk worden gemeld aan de bevoegde toezichthouders. Het proces omvat het identificeren van de incidenten die gemeld moeten worden, het verzamelen van de relevante informatie en het indienen van de meldingen bij de betreffende toezichthouders.