De verwachting is dat de Europese wet rond cybersecurity, NIS2, aan het eind van het jaar ook in Nederland effectief wordt. De wet heeft nogal wat impact op het regelen van cybersecurity voor essentiële en belangrijke bedrijven en organisaties. Wachten tot de wet werkelijk van kracht is, is geen goed idee. Maar wat kun je nu al doen? We gingen in gesprek met Harm Teerenstra Systems Engineer Public bij onze partner Fortinet.
In onze voorgaande blog vertelden we wat NIS2 inhoudt en welke verplichtingen voor essentiële en belangrijke bedrijven en organisaties gelden. Dat betekent ook voor veel bedrijven en organisaties dat zij met hun beleid rondom cybersecurity aan de slag moeten om te zorgen dat zij compliant zijn.
Tien punten
“Er zijn tien punten waar je wat mee moet als organisatie”, vertelt Harm. “Dat is bijvoorbeeld een beleid rondom risicoanalyse. Het periodiek analyseren van securityrisico’s is voor veel organisaties op dit moment nog vreemd. Die doen dat helemaal niet, maar dat moet straks wel. Periodiek een kwalitatieve of kwantitatieve risicoanalyse is een must, het is geen optie meer. Net als het hebben en periodiek testen van een incident response plan, dat is ook voor veel organisaties nog steeds een ver van hun bedshow. Of het is verouderd.”
Zorgplicht
Al deze punten vallen onder de zogenoemde zorgplicht. “Belangrijk is in ieder geval het punt rondom beveiliging van de toeleveringsketen. Dat is nieuw en lastig om te implementeren. Het punt is, is dat veel incidenten of hacks die plaatsvinden, niet eens direct gebeuren bij de organisatie zelf, maar bij een toeleverancier, waarna via een VPN (Virtual Private Network) alsnog toegang wordt verkregen.” Daarnaast wijst Harm op het punt rondom het beoordelen van de effectiviteit van genomen security maatregelen. “Ik denk dat het gemiddelde mkb-bedrijf zich afvraagt hoe ze dat moeten beoordelen”, aldus Harm. “In ieder geval is met het lanceren van NIS2 duidelijk dat deze maatregelen ook wel nodig zijn. De algemene tendens is dat bedrijven en organisaties te weinig aandacht hebben gehad voor cybersecurity. Het wordt vaak als een last gezien, een kostenpost. Dat betekent dat er maar een heel beperkt budget naar cybersecurity ging. Met alle gevolgen van dien. Ik zie het als een soort verzekering. Je betaalt ook verzekeringspremie zonder dat je daar iets voor terugkrijgt, tot het moment dat het fout gaat.”
Dit kun je nu al doen
Harm: “Vanaf dag 1 dat de wet geldt, moet je eraan voldoen. Daarom is het goed om nu al te kijken wat je kunt of zelfs moet doen.” Het Amerikaanse NIST Cybersecurity Framework (CSF) biedt gelukkig de handvaten om tot een procesmatige aanpak van informatiebeveiliging te komen. Het CSF bestaat uit een verzameling van richtlijnen, procedures en best practices die organisatie helpen bij het beheersen van cyberrisico’s met als resultaat het verhogen van de digitale weerbaarheid. In zijn presentatie tijdens het Labs Event gaat Harm in zes stappen door te nemen maatregelen. Naast de punten van dit Amerikaanse framework kijkt hij ook naar het normenkader van ISO. “Maar in Amerika wordt het iets makkelijker omschreven dan in de ISO, daarom wordt het NIST Framework ook steeds meer geadopteerd. De rode draad is vaak behoorlijk hetzelfde. De zes punten uit het NIST framework kunnen bijdragen aan het doelgericht en logisch maken van je informatiebeveiligingsbeleid. Daarmee kun je voldoen aan NIS2.” De punten samengevat:
- Het vaststellen en bewaken van de beveiligingsrisicobeheersstrategie, – verwachtingen en -beleid.
- In kaart brengen van belangrijke activa met bijbehorende risico’s
- Implementatie van preventieve maatregelen om de activa te beschermen
- Implementatie van detectieve mechanismen waarmee indicatoren kunnen worden ontdekt die wijzen op een beveiligingsincident
- Effectieve reactie op een incident om de situatie te beheersen en impact te verminderen
- Herstel van normale werking van een organisatie na een incident.
“Breng je organisatie eens in kaart aan de hand van deze functies. Dat geeft al een heel behoorlijk beeld en kun je inventariseren waar nog aan gewerkt moet worden. Goed idee ook om een IT-partner in de arm te nemen voor advies en aantoonbaar maakt dat je ermee bezig bent. Andersom geldt ook dat resellers dit onderwerp ook goed onder de aandacht moeten brengen van hun klanten”, aldus Harm.
Doe de NIS2-Scan
Speciaal voor bedrijven die worstelen met de invoeren van NIS2 hebben we een scan ontwikkeld waarmee je direct inzicht krijgt in de status van je cybersecurity. Het is een uitgebreide checklist, die is opgesteld in samenwerking met een advocatenkantoor en een adviesbureau. De scan kost je anderhalf uur investering van je tijd, verder is deze kosteloos. Je krijgt hierna een waardevol rapport in handen waarmee je vooruit kunt en die je handvaten geeft voor de NIS2-wetgeving.