Hoe kunnen we voorbereiden op NIS2?
Om je bedrijf voor te bereiden op de wetgeving die voortkomt uit de NIS2-richtlijn kun je nu al voorbereidingen treffen. Lees wat je kunt doen en gebruik de handige hulpmiddelen.
1. Maak een risicoanalyse van digitale dreigingen
Breng je risico's in kaart
Digitale dreigingen kunnen grote risico’s met zich meebrengen voor de continuïteit van de dienstverlening die je organisatie levert. Daarom is het van belang om de weerbaarheid op orde te hebben. Dat begint bij te weten welke fysieke en digitale dreigingen een risico vormen voor je organisatie en in welke mate zij jouw bedrijfsprocessen zouden kunnen verstoren. Om dat inzicht te krijgen, maak je een risicoanalyse.
Beoordeel de risico's
Nadat de risico’s in kaart zijn gebracht, is een beoordeling van de risico’s nodig. Dit helpt bij het treffen van passende maatregelen. Een beoordeling van de risico's kun je maken door de volgende vragen te stellen:
- Welke digitale risico’s zijn relevant voor de organisatie omdat ze de continuïteit van de dienstverlening zouden kunnen verstoren?
Met behulp van het stappenplan voor het maken van een risicoanalyse van het DTC kun je in 4 concrete stappen achterhalen wat je kunt doen om risico’s te beheersen.
Een ander hulpmiddel is de Rijksbrede Risicoanalyse die laat zien welke dreigingen onze samenleving kunnen ontwrichten.
- Wat zijn de 'kroonjuwelen' van je bedrijf? Wat zijn de te beschermen belangen?
Door in kaart te brengen welke zaken voor je bedrijf en dienstverlening van groot of minder groot belang zijn, kun je de afweging maken voor welke risico’s maatregelen genomen moeten worden om die belangen te beschermen.
- Welke maatregelen heeft de organisatie (al) genomen om de belangen te beschermen tegen de risico’s?
Door deze vraag te beantwoorden breng je de weerbaarheid van je bedrijf in kaart. De weerbaarheid is het vermogen van je bedrijf om verstoringen te voorkomen, erop te anticiperen, erop aan te passen, er snel van te herstellen en ervan te leren.
Werk met scenario's
Tijdens het beantwoorden de bovenstaande drie vragen kan het helpen om te werken met scenario’s. Via scenario’s kun je onderzoeken op welke verschillende manieren de risico’s de belangen kunnen raken en schaden. Zo kun je per scenario bedenken welke maatregelen nodig zijn.
Meer informatie
- Ontdek met de Risicoklassenindeling Digitale Veiligheid in welke risicoklasse jouw organisatie zit door 11 vragen te beantwoorden. Ga daarna gericht aan de slag met de maatregelen die bij je risicoklasse passen.
- Het Nationaal Cyber Security Center (NCSC) heeft een factsheet over het in kaart brengen en beheersen van digitale risico’: ‘Risico’s beheersen: de waarde van informatie als uitgangspunt’.
2. Neem maatregelen die je organisatie (beter) beschermen tegen deze risico’s
Nadat de risico’s in kaart zijn gebracht, kun je passende maatregelen nemen.
Het antwoord op de vraag welke maatregelen, is uiteraard maatwerk en afhankelijk van je eigen analyse en beoordeling van de risico’s. In generieke zin kun je ter voorbereiding denken aan de volgende maatregelen:
- Het opstellen van bedrijfscontinuïteitplannen en crisisbeheersingsprotocollen
Om de gevolgen van incidenten te beperken is de aanwezigheid van risico- en crisisbeheersingsprocedures en waarschuwingsroutines noodzakelijk.
- Het identificeren van alternatieve toeleveranciers
Het kan zijn dat een bedrijf voor zijn dienstverlening afhankelijk is van andere bedrijven. Het is daarom van belang om alternatieve toeleveranciers in de keten te identificeren, zodat de continuïteit van de dienstverlening niet verstoord wordt als een toeleverancier (tijdelijk) uitvalt.
- Het vergroten van bewustwording onder het personeel
Je kunt alvast identificeren welke personeelsleden kritieke functies vervullen binnen je bedrijf om hen vervolgens bewust te maken van de risico’s en veiligheidsmaatregelen.
Daarnaast kun je aan de slag met de maatregelen die voortkomen uit de 5 basisprincipes van veilig digitaal ondernemen.
3. Zorg voor procedures die helpen bij detecteren, monitoren, oplossen en melden van incidenten
Organisaties die straks onder de wetgeving vallen zijn verplicht om incidenten te melden. Factoren die een incident meldingsplichtig maken zijn bijvoorbeeld de duur van een incident of het aantal personen dat door het incident getroffen wordt.
De eisen van de meldplicht zullen in de bedrijfsprocessen verankerd moeten worden. Het opstellen van een incident response plan kan hierbij helpen.
Het NCSC geeft meer informatie over hoe je de detectie van digitale incidenten inricht. Detectie is de aanpak om met technische middelen zicht te krijgen op de dreigingen als gevolg van deze activiteiten. Via detectie ontstaat er een duidelijk beeld van een incident. Ook kunnen beveiligingsmaatregelen via detectie worden aangescherpt.
Voor alle bedrijven die meer willen weten over de reikwijdte van de nieuwe NIS2-wetgeving heeft het Ministerie van Economische Zaken en Klimaat een informatief webinar georganiseerd. Je kan het webinar 'De impact van NIS2 op jouw organisatie' terugkijken op YouTube
Stel jouw vragen over NIS2 via de DTC Community
Het DTC biedt ondernemers en professionals de mogelijkheid om vragen over NIS2 te stellen via de DTC Community en de NIS2-samenwerkruimte. Meld je aan, stel je vraag of deel je kennis met andere professionals die zich ook met de NIS2-richtlijn bezighouden.