NIS2-richtlijn: dit zijn de 13 cybersecurity eisen

Na het lezen van dit artikel:

• weet u aan welke 13 wettelijke eisen uw organisatie moet voldoen per oktober 2024. 

• kent u de 5 stappen om NIS2 compliant te worden en blijven. 

Organisaties die essentieel of belangrijk zijn voor de maatschappij én hun toeleveranciers, worden verplicht om systemen en processen te beveiligen tegen cyberaanvallen. Denk aan gezondheidszorg, transport en energieaanbieders. Maar ook overheidsdiensten, levensmiddelenorganisaties, waterbeheerbedrijven en IT-aanbieders. De Europese Unie heeft daarom de Network and Information Systems Directive (NIS2) opgesteld. Deze richtlijn verplicht organisaties om hun beveiligingsmaatregelen op orde te hebben en aan te tonen dat zij voldoen aan de gestelde eisen. De richtlijn wordt momenteel omgezet naar Nederlandse wetgeving die naar verwachting in oktober 2024 van kracht wordt. Ondanks dat de vereisten nog niet zijn geformaliseerd in nationale wetgeving is wel duidelijk welke richting het op gaat en zijn de parallellen met bestaande raamwerken en good practices zoals ISO 27001 duidelijk. 

De 13 NIS2-eisen  

We delen de NIS2 eisen onder in Opleidingsplicht (1), Zorgplicht (2-12) en Meldplicht (13). 

Opleidingsplicht

1. Opleiding bestuur 
Bestuurders, commissarissen en toezichthouders moeten een opleiding doen waarmee ze voldoende kennis en vaardigheden opdoen om risico’s op het gebied van cyberbeveiliging te herkennen en de gevolgen ervan te beoordelen op de diensten die de organisatie levert. 

Zorgplicht 

2. Periodieke risico-analyse
U moet periodieke risico-analyses uitvoeren ten aanzien van cyberbeveiliging en aantonen dat op basis van de uitkomsten maatregelen genomen worden om de beveiliging te verbeteren.
Dit zou onderdeel moeten zijn van het overkoepelende risicomanagementproces waarin vervolgstappen worden bepaald om risico’s naar een acceptabel niveau te brengen die passen bij de organisatie en risicobereidheid. 

3. Proces voor opvolgen cyberincidenten  
Uw organisatie moet beschikken over een procedure om cyberincidenten passend op te volgen.
Het proces voor de opvolging van cyberincidenten (Incident Response Plan) heeft als doel om zo snel mogelijk te reageren op een incident en de impact ervan te minimaliseren. Het proces omvat het detecteren, analyseren en rapporteren van incidenten, evenals het nemen van maatregelen om de oorzaak van het incident te identificeren en te verhelpen.

4. Bedrijfscontinuïteitsplannen
Beleid, procedures en maatregelen waarmee de continuïteit van uw organisatie kan worden gewaarborgd in het geval van onvoorziene omstandigheden of calamiteiten worden verplicht. 
Denk hierbij aan: identificatie kritieke processen, behoud en herstel van deze processen met bijvoorbeeld back-up beheer, noodvoorzieningen, incident respons plannen en testen van de plannen in geval van een noodsituatie.

5. Zicht op de cybersecurity van leveranciers 
Zicht op en bijhouden van de staat en het niveau van cyberbeveiliging van uw leveranciers, is een belangrijk onderdeel van de NIS2-regelgeving. Het proces omvat het evalueren van de cybersecurity van leveranciers, het monitoren van hun activiteiten en het nemen van passende maatregelen om eventuele zwakke plekken te verhelpen.

6. Veilige netwerk- en informatiesystemen 
Cyberbeveiliging structureel borgen bij verwerving, ontwikkeling en onderhoud van netwerk- en informatiesystemen. Om de vertrouwelijkheid, integriteit en beschikbaarheid van informatie te waarborgen en de risico's op cyberaanvallen te minimaliseren dient u een voldoende beveiligingsmaatregelen te implementeren zoals firewalls, intrusion detection en prevention systemen, geavanceerde authenticatiemethoden en het monitoren van het netwerk en de systemen op mogelijke bedreigingen.

7. Volledig zicht op aanvalsoppervlakte (sub)domeinnamen.
De ICT-omgeving van uw organisatie is wellicht groter dan waar u zicht op heeft. Vaak is er op het internet niet alleen allerlei informatie over de organisatie en werknemers te vinden maar kunnen er ook nog vergeten IT assets toegankelijk zijn. Over de tijd heen kunnen er bijvoorbeeld applicaties of systemen tijdelijk toegankelijk zijn gemaakt voor werknemers, klanten of leveranciers. Oude systemen zijn echter niet buiten gebruik gesteld, de externe omgeving is niet veilig geconfigureerd, er staan poorten open, of kwetsbare software is niet gepatched of niet actueel.  Het is daarom vereist om volledig zicht te krijgen en te houden op de ICT omgeving.  

8. Managementproces voor kwetsbaarheden 
Vulnerabilities ofwel kwetsbaarheden zijn een zwakte of fout in software, netwerk, applicatie of ICT infrastructuur die door een aanvaller kan worden misbruikt om ongeoorloofde toegang te verkrijgen of schade aan het systeem te veroorzaken. Kwetsbaarheden kunnen in verschillende vormen voorkomen, waaronder softwarefouten, ontwerpfouten, configuratiefouten en zwakke authenticatiemechanismen. Deze kwetsbaarheden zijn een van de grootste oorzaken van cyberaanvallen door hackers en kunnen worden misbruikt voor ransomware, data diefstal of het verstoren van systemen. Om veilig te blijven voor kwetsbaarheden, moeten organisaties een combinatie van technische en operationele maatregelen gebruiken die zijn ontworpen om kwetsbaarheden te identificeren en te verminderen. Dit kan onder meer het gebruik van kwetsbaarheidsscanners, beveiligingsaudits, patchbeheer en penetratietesten omvatten. 

9. Evaluatieproces van cyberbeveiligingsmaatregelen
Een Informatie Security Management Systeem (ISMS) is een gestructureerd en gedocumenteerd systeem dat organisaties helpt bij het beheren van hun informatie met als doel de effectiviteit van de beveiligingsmaatregelen te beoordelen en te verbeteren. Het ISMS omvat het evalueren van de beveiligingsmaatregelen op basis van de laatste ontwikkelingen op het gebied van cybersecurity, het testen van de maatregelen en het nemen van maatregelen om eventuele zwakke plekken te verhelpen. 

10. Beleid ten aanzien van encryptie
Een encryptiebeleid zorgt ervoor dat alle gevoelige en vertrouwelijke informatie van klanten en medewerkers goed beschermd wordt. Dit gebeurt door middel van het versleutelen van data tijdens 
transport en opslag, het gebruik van sterke wachtwoorden en het beperken van toegang tot gevoelige informatie tot alleen geautoriseerde personen. Het beleid is van toepassing op alle systemen en apparaten die door een organisatie gebruikt worden, inclusief laptops en mobiele apparaten. Het doel van het encryptiebeleid is om de privacy en veiligheid van gevoelige informatie te waarborgen en te voldoen aan de wettelijke vereisten op het gebied van databeveiliging.

11. Procedures gebruikerstoegang
Een logische toegangsbeveiligingsprocedure zorgt ervoor dat alleen geautoriseerde medewerkers toegang hebben tot systemen, applicaties en data die nodig zijn voor hun werkzaamheden. Dit gebeurt door middel van het toekennen van unieke gebruikersnamen en sterke wachtwoorden, het beperken van toegang tot alleen die informatie die nodig is voor de uitvoering van de werkzaamheden en het gebruik van multi-factor authenticatie waar nodig. De procedure is van toepassing op alle systemen en applicaties die door een organisatie gebruikt worden, inclusief het netwerk en mobiele apparaten. 

12. Multifactor authenticatie proces
Het multifactor authenticatie proces is een extra beveiligingslaag die gebruikt wordt om de toegang tot gevoelige informatie te beschermen. Het proces vereist dat gebruikers zich identificeren met twee of meer verschillende vormen van authenticatie, zoals een wachtwoord in combinatie met een token, biometrische gegevens of een smartcard. Het doel van het multifactor authenticatieproces is om de vertrouwelijkheid en integriteit van gevoelige informatie te waarborgen en te voorkomen dat onbevoegde personen toegang krijgen. 

Meldplicht

13. Meldproces incidenten aan toezichthouders
Het meldproces aan toezichthouders heeft als doel om ervoor te zorgen dat eventuele incidenten of inbreuken op de beveiliging zo snel mogelijk worden gemeld aan de bevoegde toezichthouders. Het proces omvat het identificeren van de incidenten die gemeld moeten worden, het verzamelen van de relevante informatie en het indienen van de meldingen bij de betreffende toezichthouders.