NIS2 Compliance: Een strategische aanpak voor IT security en continuïteit
Blog 3 van 9
De Network and Information Security Directive 2 (NIS2) vereist dat organisaties maatregelen nemen om de beveiliging en continuïteit van hun IT-omgevingen inclusief de fysieke omgeving waarin deze zich bevinden, te waarborgen. Deze verplichte maatregelen vallen onder de zogenaamde zorgplicht en hebben tot doel een bedrijfsnetwerk -en informatiesystemen tegen incidenten te beschermen, de weerbaarheid tegen cyberincidenten te vergroten en stelt eisen aan de auditbaarheid.
ICT Risk Management Framework
Een belangrijke maatregel om op gestructureerde wijze ICT-risico's te detecteren en te beheersen is een ICT Risk Management Framework. In het ICT Risk Management Framework worden strategieën, beleidslijnen, procedures en technische maatregelen vastgelegd om de impact van ICT-risico's te minimaliseren.
Het framework omvat de volledige IT-omgeving, van data tot onderliggende verwerkende systemen, ICT-werkprocessen en procedures, veilige verwerking en opslag van gegevens, bijhouden van logbestanden, monitoring, toegangsbeheer, scheiding van ICT-risicobeheer functies, controlefuncties, en interne auditfuncties en scholing en bewustwording. Dit alles met als belangrijkste doel de weerbaarheid tegen onverwachte gebeurtenissen te vergroten.
Organisaties die al werken volgens security standaarden zoals ISO27001 en NIST hebben vaak een solide basis voor een ICT Risk Management Framework.
Het Risk Management Framework omvat zowel cyberdreigingen als verstoringen in het IT-landschap. Speciale aandacht wordt besteed aan legacy-systemen, die een grotere impact op de continuïteit kunnen hebben dan vaak gedacht.
Daarnaast benadrukt NIS2 het belang van communicatie tijdens verstoringen en samenwerking bij het delen van informatie, wat vaak nog ontbreekt in bestaande processen. Een belangrijk nieuw aspect is de verantwoordelijkheid voor de kwaliteit en beveiliging van dienstverleners in de keten, wat deels onder de verantwoordelijkheid van de opdrachtgever valt.
Het is van belang dat het ICT Risk Management Framework minimaal een keer per jaar wordt geëvalueerd, en periodiek onderworpen wordt aan een onafhankelijke audit.
De Complexiteit van Moderne IT-Omgevingen
Moderne IT-omgevingen zijn vaak hybride, met een combinatie van on-premise en cloud-oplossingen. De opkomst van Software as a Service (SaaS) voegt complexiteit toe aan de keten. Data worden opgeslagen in fysiek gescheiden omgevingen, en de vraag rijst hoe de data-eigenaar invloed kan uitoefenen op de continuïteit en weerbaarheid. Dit vereist een herziening van processen en procedures inzake continuïteit en weerbaarheid.
Een Analyse om Te Bepalen Wat Ontbreekt
De eerste stap naar NIS2-compliance is een IST-SOLL analyse, om te identificeren waar er omissies zijn. Het is cruciaal om een aanpak te kiezen die inzicht geeft in prioriteit, impact en doorlooptijd. Deze analyse moet beginnen bij de processen en governance en eindigen bij de IT-middelen en inrichting. Belangrijke aandachtspunten zijn:
- Welke garanties kunnen nu al gegeven worden op IT-continuïteit, met betrekking tot de veiligheid en beschikbaarheid van data en functionaliteit?
- In hoeverre is er voldoende overzicht en inzicht in het beheer van data binnen de IT-keten?
- Welke rol spelen servicepartners in de keten en is er een eenduidige set aan afspraken in het kader van NIS2?
- Welk proces en welke (te auditen) resultaten zijn beschikbaar voor regelmatige testen van de IT-oplossing onder een procesketen?
- Hoe is de communicatie ingericht?
- Hoe worden bovenstaande aspecten bestuurd, bewaakt en verantwoord?
Door processen en data centraal te stellen in het denkproces, kan men bepalen wat de status is en wat er aangevuld of aangepast dient te worden. Deze aanpak maakt snel inzichtelijk waar de echte uitdagingen liggen en wat de prioriteiten moeten zijn. Door dit op te nemen in een riskmanagement framework wordt voldaan aan de voorschriften van NIS2 en biedt dit houvast voor opvolging. Er zijn diverse tools beschikbaar om dit proces te ondersteunen en de opvolging vast te leggen, waardoor rapportage (een verplichting) eenvoudiger wordt.
Conclusie
Binnen het kader van NIS2 zijn organisaties verplicht om risico’s in kaart te brengen en mitigerende maatregelen te treffen voor digitale weerbaarheid, met data beschikbaarheid als prioriteit. Dit vereist een continu proces van risico-inventarisatie en management. Inzicht leidt tot overzicht en stelt organisaties in staat te handelen in lijn met de voorschriften.
BPSOLUTIONS kan helpen bij het gedetailleerd in kaart brengen van IT-ketens en bijbehorende data, en de mogelijke risico’s identificeren. Wij maken gebruik van standaard tools en methodieken en kunnen adviseren over digitale hulpmiddelen voor overzicht en rapportage.
Neem contact op met Louis Joosse voor een op maat gemaakt advies over NIS2-compliance en de implementatie van een robuust ICT-risk management framework. Of ga voor meer informatie naar onze website over NIS 2
Wil je op de hoogte blijven van al het nieuws omtrent de NIS2-richtlijnen? Meld je dan hier aan voor onze NIS2-nieuwsbrief.
Wil je ook ons eerste blog over NIS2 lezen? Klik dan hier.
Wil je jouw wereld een stukje slimmer maken?
Neem dan contact op met Mark Jenster.