Voorbereiding

Hoe kan uw organisatie zich voorbereiden op de NIS2-richtlijn?

Om uw organisatie voor te bereiden op de nationale wetgeving die voortkomt uit de NIS2-richtlijn is het nodig om zo snel mogelijk te starten met de volgende maatregelen:

  1. Maak een risicoanalyse van digitale dreigingen die de dienstverlening van uw organisatie kunnen verstoren.
  2. Neem waar mogelijk maatregelen die uw organisatie (beter) beschermen tegen deze risico’s.
  3. Zorg voor procedures die uw organisatie in staat stellen om incidenten die bedrijfsprocessen (kunnen) verstoren te detecteren, monitoren, op te lossen en te melden
  4. Maak personeel bewust van de mogelijke risico’s en benodigde maatregelen.
  5. Zorg dat uw organisatie voldoet aan bestaande normenkaders, zoals de geldende NEN7510 voor de zorgaanbieders.

Deze pagina biedt meer informatie over de wijze waarop de eerste drie stappen gezet kunnen worden.

  1.  Maak een risicoanalyse van digitale dreigingen.

Digitale dreigingen kunnen grote risico’s met zich meebrengen voor de continuïteit van de dienstverlening die uw organisatie levert. Daarom is het van belang om de weerbaarheid op orde te hebben. Dat begint bij te weten welke digitale dreigingen een risico vormen voor uw organisatie en in welke mate zij uw bedrijfsprocessen zouden kunnen verstoren. Om dat inzicht te krijgen, moet een risicoanalyse gemaakt worden.

Nadat de risico’s in kaart zijn gebracht, is een beoordeling van de risico’s nodig, zodat uw organisatie passende maatregelen kan nemen. Deze afweging kunt u maken door de volgende vragen te stellen:

  • Welke digitale risico’s zijn relevant voor uw organisatie omdat ze de continuïteit van de dienstverlening zouden kunnen verstoren?

Voor het in kaart brengen van digitale risico’s kan onder meer gebruik worden gemaakt van de Rijksbrede Risicoanalyse, die laat zien welke dreigingen onze samenleving kunnen ontwrichten.

  • Wat zijn de kroonjuwelen of te beschermen belangen van de organisatie?

Door in kaart te brengen welke zaken voor uw organisatie en dienstverlening van groot of minder groot belang zijn, kunt u de afweging maken voor welke risico’s maatregelen genomen moeten om die belangen te beschermen.

  • Welke maatregelen heeft uw organisatie (al) genomen om de belangen te beschermen tegen de digitale risico’s?

Door deze vraag te beantwoorden brengt u de weerbaarheid van uw organisatie in kaart. De weerbaarheid is het vermogen van uw organisatie om verstoringen te voorkomen, erop te anticiperen, zich erop aan te passen, er snel van te herstellen en ervan te leren.

Tijdens het beantwoorden de bovenstaande drie vragen kan het helpen om te werken met scenario’s. Via scenario’s kan onderzocht worden op welke verschillende manieren de risico’s de belangen kunnen raken en schaden, zodat per scenario bedacht kan worden welke maatregelen nodig zijn om de weerbaarheid te verbeteren.

Via de onderstaande links vindt u meer informatie, tips en adviezen die kunnen helpen bij het analyseren en beoordelen van digitale risico’s.

Nadat de risico’s in kaart zijn gebracht, kan uw organisatie waar mogelijk passende maatregelen nemen om de weerbaarheid te versterken.

Het antwoord op de vraag welke maatregelen uw organisatie moet nemen, is uiteraard maatwerk en afhankelijk van uw eigen analyse en beoordeling van de risico’s die uw organisatie loopt. Organisaties kunnen in ieder geval denken aan de volgende maatregelen:

  • Opstellen van bedrijfscontinuïteitplannen en crisisbeheersingsprotocollen.

Om de gevolgen van incidenten te beperken is de aanwezigheid van risico- en crisisbeheersingsprocedures en waarschuwingsroutines noodzakelijk.

  •  Het identificeren van alternatieve toeleveranciers.

Het kan zijn dat een organisatie voor zijn dienstverlening afhankelijk is van andere organisaties. Het is daarom van belang om alternatieve toeleveranciers in de keten te identificeren, zodat de continuïteit van de dienstverlening niet verstoord wordt indien een toeleverancier (tijdelijk) uitvalt.

  • Het vergroten van bewustwording onder het personeel

Organisaties kunnen alvast identificeren welke personeelsleden kritieke functies vervullen binnen de organisatie, om ze vervolgens bewust te maken van de risico’s en veiligheidsmaatregelen.

Wat betreft bewustwording van personeel op het gebied van digitale weerbaarheid, is er meer informatie te vinden op de pagina ‘Cyberbewustwording’ van het Digital Trust Center (DTC).  

Als het gaat om digitale risico’s dan schrijven het Nationaal Cyber Security Centrum (NCSC) en het Digital Trust Center (DTC) beide maatregelen voor die organisaties kunnen implementeren om zich beter te beschermen tegen risico’s en schade door cyberaanvallen. Klik hier voor de basismaatregelen van het NCSC. En klik hier voor de 5 basisprincipes van digitaal veilig ondernemen van het DTC.
 

  • 3. Zorg ervoor dat er procedures zijn die uw organisatie in staat stellen om incidenten die de dienstverlening (kunnen) verstoren te detecteren, monitoren, op te lossen en melden.

Organisaties die straks onder de wetgeving vallen zijn verplicht om significante incidenten te melden. Factoren die een incident meldingsplichtig maken zijn bijvoorbeeld de duur van een incident of het aantal personen dat door het incident getroffen wordt.

De eisen van de meldplicht zullen in de bedrijfsprocessen verankerd moeten worden. Het opstellen van een incident response plan kan hierbij helpen. Lees op de website van het DTC hoe u een response plan opstelt t.a.v. digitale incidenten.

Meer informatie over hoe u de detectie van digitale incidenten inricht vindt u op de website van het NCSC. Detectie is de aanpak om met technische middelen zicht te krijgen op de dreigingen als gevolg van deze activiteiten. Via detectie ontstaat er een duidelijk beeld van een incident. Ook kunnen beveiligingsmaatregelen via detectie worden aangescherpt.