NIS2 compliance checklist: 7 voorbereidende stappen | 52 Topics
Kan jij onze NIS2 compliance checklist volledig afvinken?
De NIS2 richtlijn is een nieuwe EU-regelgeving die strengere eisen stelt aan de cybersecurity van essentiële en belangrijke bedrijven.
In deze 52 Topics aflevering geven Kevin Couvreur en Maarten Verhaghe je een praktische checklist met zeven voorbereidende stappen die je nu al kunt ondernemen om aan de NIS2 richtlijn te voldoen. Klinkt dit als Chinees voor jou? Lees hier dan wat NIS2 is en voor wie.
In 52 Topics gaat Kevin wekelijks de strijd aan met een technisch topic. Onderwerpen van ‘XR’ over ‘big data’ tot ‘zero trust’, die hij in 10 minuten en in begrijpelijke taal duidelijker maakt.
Bekijk de aflevering hierboven als video, lees het hieronder als blog of beluister hem als podcast op Spotify, Apple Podcasts of Google Podcasts. 👇
Stap 1: Maak je technisch veilig
De eerste stap om aan de NIS2 richtlijn te voldoen is om je technisch veilig te maken. Dit betekent dat je technische maatregelen moet nemen om je netwerk- en informatiesystemen te beschermen tegen cyberaanvallen.
Deze maatregelen kunnen gebaseerd zijn op internationaal erkende normen en best practices, denk bijvoorbeeld aan ISO 27001. Je moet ook rekening houden met de specifieke kenmerken van jouw sector en dienst, en de specifieke risico’s binnen jouw bedrijf.
Analyseer de stand van zaken
Om te zien waar je vandaag staat op het gebied van technische beveiliging, kun je het beste een technische audit laten uitvoeren door een onafhankelijke expert.
Een technische audit kan je een goed zicht geven op welke technische maatregelen specifiek voor jouw bedrijf nodig zijn, en waar je eventueel nog verbeteringen kunt aanbrengen. Wil je zo een audit door ConXioN laten uitvoeren? Neem hier dan contact met ons op.
Beveilig de toegang tot informatie
Een van de belangrijkste technische maatregelen die je kan nemen is het invoeren van een sterke authenticatie voor je gebruikers en systemen.
Dit betekent dat je minstens een tweefactorauthenticatie (2FA) moet gebruiken, en liefst een multifactorauthenticatie (MFA). Een 2FA vereist dat je naast een wachtwoord ook nog een andere factor gebruikt om in te loggen, zoals een code die naar je telefoon wordt gestuurd of een biometrische scan. Een MFA voegt nog meer factoren toe, zoals een locatie of een apparaat. Door een sterke authenticatie te gebruiken, verklein je de kans dat onbevoegden toegang krijgen tot je systemen.
Het optimaal gebruiken van jouw licenties
Een andere belangrijke technische maatregel die je kan nemen is het optimaal gebruiken van je licenties. Veel bedrijven hebben licenties voor software of diensten die ze niet volledig benutten.
Dit is zonde, want vaak bevatten deze licenties tools die je security posture kunnen verhogen. Denk bijvoorbeeld aan antivirussoftware, firewallsoftware, of encryptiesoftware. Ga dus zeker na als je bepaalde zaken nu al kan aanpassen met jouw huidige licentie.
Stap 2: Maak je organisatorisch veilig
De tweede stap om aan de NIS2 richtlijn te voldoen is om je organisatorisch veilig te maken. Dit betekent dat je organisatorische maatregelen moet nemen om je medewerkers, processen en beleid af te stemmen op de cybersecurity-eisen. Deze maatregelen moeten gericht zijn op het creëren van een cultuur van cyberbewustzijn, verantwoordelijkheid en samenwerking binnen je organisatie.
Inzetten op training
Een van de belangrijkste organisatorische maatregelen die je kan nemen is het trainen en informeren van je medewerkers over hoe ze met cybersecurity moeten omgaan en wat de mogelijke gevolgen zijn. Je medewerkers zijn immers de eerste verdedigingslinie tegen cyberaanvallen, maar ook de zwakste schakel als ze niet goed opgeleid of geïnformeerd zijn.
Toegangsbeheer
Een andere belangrijke organisatorische maatregel die je kan nemen is het beheren van de toegang tot je systemen en data. Dit betekent dat je moet bepalen wie er toegang moet hebben tot welke systemen en data, en in welke situatie. Dit geldt zowel voor de fysieke als de online toegang.
Stap 3: Stel een incident response plan op
De derde stap om aan de NIS2 richtlijn te voldoen is om een incident response plan op te stellen.
Wat is een incident response plan?
Dit is een document dat een antwoord bied op de vragen: Hoe ga ik ermee om, hoe reageer ik en wie breng ik op de hoogte bij een incident?
Hier is het belangrijk om duidelijk in kaart te brengen wat er moet gebeuren wanneer er iets fout gaat, zodat je goed voorbereid bent.
Een cyberincident is een gebeurtenis die een negatieve impact heeft op de veiligheid, betrouwbaarheid of beschikbaarheid van je netwerk- of informatiesystemen. Een cyberincident kan bijvoorbeeld een hack, een virus, een ransomware, een datalek of een denial-of-service-aanval zijn.
Enkele belangrijke onderdelen van een goede incident response plan
- De rollen en verantwoordelijkheden van het incident response team
- De procedures voor het detecteren, analyseren, beperken en herstellen van incidenten
- De communicatiekanalen voor het melden van incidenten aan interne en externe belanghebbenden
- De escalatiecriteria voor het inschakelen van hogere autoriteiten of externe experts
- De evaluatiecriteria voor het beoordelen van de impact en de lessen die uit incidenten kunnen worden getrokken
Stap 4: Maak een business continuity plan
De vierde stap in onze NIS2 compliance checklist is om een business continuity plan te maken om je dienstverlening te kunnen voortzetten in geval van een cyberincident.
Wat is een business continuity plan?
Een business continuity plan beschrijft hoe je je kritieke processen, systemen en data kunt herstellen en beschermen, en hoe je je klanten, leveranciers en partners kunt informeren en ondersteunen.
Een business continuity plan kan je ook helpen om de impact van een cyberincident op je reputatie, omzet en concurrentiepositie te beperken.
Belangrijke punten voor een business continuity plan
- Prioriteiten stellen: bepaal welke processen, systemen en data het meest kritisch zijn voor je dienstverlening, en hoe lang ze maximaal onderbroken kunnen worden.
- Back-up beheer: zorg voor een regelmatige en veilige back-up van je kritieke processen, systemen en data, en bewaar ze op een aparte locatie. Test ook regelmatig of je back-ups werken en of je ze snel kunt herstellen.
- Herstelstrategie: bepaal hoe je je kritieke processen, systemen en data kunt herstellen na een cyberincident, en welke middelen, mensen en procedures je daarvoor nodig hebt.
- Communicatieplan: stel een communicatieplan op om je interne en externe belanghebbenden op de hoogte te houden van de status van het cyberincident, de genomen maatregelen en de verwachte hersteltijd. Zorg ook voor een alternatief communicatiekanaal in geval je reguliere communicatiemiddelen niet werken.
- Oefening: test je business continuity plan regelmatig door middel van oefeningen of simulaties, en evalueer de resultaten. Verbeter je plan op basis van de feedback en de geleerde lessen.
Stap 5: Maak cybersecurity bespreekbaar
De vijfde stap in onze NIS2 compliance checklist is om het onderwerp van cybersecurity bespreekbaar te maken binnen je organisatie. Dit kan je helpen om het bewustzijn, de betrokkenheid en de verantwoordelijkheid van je medewerkers, managers en bestuurders te vergroten.
Het kan ook bijdragen aan het creëren van een cultuur van cybersecurity, waarin iedereen zijn of haar rol kent en naleeft.
Hoe je cybersecurity bespreekbaar kan maken binnen jouw organisatie
- Informeer: informeer je medewerkers, managers en bestuurders over de NIS2 richtlijn, de mogelijke gevolgen voor je organisatie, en de maatregelen die je neemt of plant om eraan te voldoen.
- Train: train je medewerkers, managers en bestuurders over de basisprincipes van cybersecurity, de meest voorkomende cyberdreigingen en -aanvallen, en de beste praktijken om zich ertegen te beschermen.
- Sensibiliseer: sensibiliseer je medewerkers, managers en bestuurders over het belang van cybersecurity voor je organisatie, de potentiële risico’s en impact van cyberincidenten, en de rol die zij kunnen spelen om ze te voorkomen of te beperken.
- Betrek: betrek je medewerkers, managers en bestuurders bij het ontwikkelen, implementeren en evalueren van je cybersecuritybeleid, -strategie en -maatregelen. Vraag naar hun mening, feedback of suggesties. Creëer een open dialoog waarin iedereen zijn of haar vragen, zorgen of ideeën kan delen.
Stap 6: Wees op je hoede en proactief
De zesde stap om aan de NIS2 richtlijn te voldoen is om op je hoede en proactief te zijn op het gebied van cybersecurity.
Dit betekent dat je niet alleen reageert op cyberincidenten, maar ook anticipeert op en voorkomt dat ze zich voordoen.
Zelfs als je niet onder NIS2 valt
Ookal van je niet onder nis2 is het belangrijk om deze stappen door te nemen om ook jouw bedrijf zo veilig mogelijk te maken
Wees kritisch over wat je vandaag doet en wat je eventueel zou kunnen optimaliseren
Stap 7: Evalueer
De zevende en laatste stap van onze NIS2 compliance checklist is om je cybersecuritybeleid, -strategie en -maatregelen regelmatig te evalueren om hun effectiviteit, efficiëntie en relevantie te beoordelen.
Dit kan je helpen om je verbeterpunten, actiepunten of leerpunten vast te stellen.
Heb jij ook een vraag voor Kevin? Geef een virtueel seintje en laat je vraag achter op sociale media! #RodeTelefoon
Gerelateerde artikelen
NIS2 Compliance Checklist
is jouw bedrijf wel NIS2 compliant?
NIS2 Readiness C-Table met sterrenlunch
Het wordt binnenkort dus de taak van de zaakvoerder en zijn IT-team om het belang van de NIS2-regelgeving te begrijpen en uit te dragen.
Onze drie topsprekers zullen je tonen hoe je deze wettelijke verplichtingen naleeft, de cybersecurity van je bedrijf versterkt en hoe je cyberincidenten effectief en efficiënt kan aanpakken.