Een Nederlandse uitwerking mag dan nog op de tekentafel liggen; feit is dat de Network and Information Security Directive, oftewel NIS2, eraan gaat komen. Eerder schreven we daarom al over wat de NIS2-richtlijn precies inhoudt en wat het voor klant-leveranciersrelaties betekent. Maar de belangrijkste stip op de horizon is natuurlijk dat veel organisaties vroeg of laat verplicht zijn om aan de NIS2 te voldoen. Hoe pak je dat aan? Dat lees je in deze blog.

Het zwaartepunt van de werkzaamheden voor NIS2 ligt bij de juiste invulling van de zorg- en meldplicht. Dat is voor de meeste organisaties dan ook de grootste uitdaging. Die zorg- en meldplicht omvatten namelijk veel verschillende onderwerpen. Denk aan beveiliging van de toeleveringsketen, opstellen van organisatiebreed beleid en procedures, encryptie, incidentenafhandeling, enzovoorts. Een juiste invulling van al deze onderwerpen bij elkaar bepaalt of je compliant bent aan NIS2. Hoe organiseer je dit succesvol binnen alle lagen van jouw organisatie?

Door de bomen het NIS2-bos niet zien

Er zijn ondertussen veel frameworks en methodieken beschikbaar om organisaties te ondersteunen bij de implementatie van de NIS2-richtlijn. Maar het valt niet mee om hier een succesvolle aanpak uit te destilleren die werkbaar is voor jouw organisatie. Dat kost natuurlijk ook veel tijd. Het is begrijpelijk dat je deze tijd niet hebt en door alle beschikbare informatie (lees: bomen) het bos niet meer ziet.

Bij Ictivity maken wij graag het pad in dit NIS2-bos beter zichtbaar. Dat doen we aan de hand van een 6-stappenplan dat je helpt om een Information Security Management Systeem (ISMS) op te stellen. Hierin beschrijf je vanuit een risicomanagementbenadering en in lijn met NIS2 welke maatregelen je neemt op het gebied van cybersecurity en informatiebeveiliging.

Stap 1: Risicoanalyse
Het begint met het vaststellen van de cybersecurity- of informatiebeveiligingsrisico’s van jouw organisatie. Het is aan te raden om dit samen met medewerkers uit verschillende organisatielagen in kaart te brengen tijdens een risicosessie. Brainstorm tijdens de sessie gezamenlijk over jullie vitale processen, met als hoofdvragen: welke risico’s zie je en welke maatregelen zijn reeds aanwezig? Het doel van zo’n sessie is tweeledig.

Enerzijds verzamel je input waar je in de volgende stappen mee verder kunt. Anderzijds geeft het ruimte om samen een goed gesprek te hebben over risico’s. Dit vergroot de bewustwording en creëert draagvlak om met de risico’s aan de slag te gaan. Door elkaar op te zoeken, wordt het veilig(er) maken van de organisatie een gezamenlijke effort.

Stap 2: Beleid opstellen
De input uit stap één gebruik je om een risicoregister op te stellen. Dit register vertaal je vervolgens naar beleid en procedures om die risico’s en reeds genomen maatregelen te beheersen. Niet de meest aantrekkelijke stap, maar wel ontzettend belangrijk om op papier te zetten en alle neuzen in de organisatie dezelfde kant op te krijgen. Verdeel taken en rollen aan namen en rugnummers en schrijf een organisatiebreed information security managementplan waarin je het securitybeleid en de daarop gebaseerde procedures toelicht.

Stap 3: Maatregelen bepalen
Voor de meeste organisaties wordt het in deze stap interessant. Je hebt een risicoanalyse gedaan en het organisatiebrede beleid en de processen staan beschreven. Nu ga je de puzzel leggen rondom de aanvullende maatregelen die nodig zijn op het gebied van mensen, processen en techniek. Welke maatregelen neem je al? Wat is er extra nodig? Dat maak je in deze stap concreet. Het gaat dan bijvoorbeeld om maatregelen zoals security awareness trainingen voor medewerkers of bestuurders. Per maatregel beschrijf je hoe je er invulling aan hebt gegeven of gaat geven, zodat je de geïnventariseerde risico’s voldoende mitigeert en compliant bent aan de normeringen die je als organisatie nastreeft (zoals NIS2).

Stap 4: Implementatie
Als de maatregelen helder zijn, is het tijd voor actie: implementeren in de organisatie. Het is best een uitdaging om maatregelen op strategisch en tactisch niveau te vertalen naar de dagelijkse praktijk. Hoe geef je het concrete invulling? Een procesverantwoordelijke en KPI’s helpen hierbij. Denk bijvoorbeeld aan hoe vaak en wanneer je dit jaar securitytrainingen organiseert, met welke frequentie je incidentresponsoefeningen doet of hoeveel tijd je als gemiddelde aanhoudt om te reageren op beveiligingsincidenten.

Stap 5 en 6: Reviewen voor compliance
Door de bovenstaande stappen te volgen, staat je ISMS. Hierna is het tijd om het te reviewen, te verbeteren én te onderhouden. Je hebt een risicoanalyse uitgevoerd en maatregelen genomen. Was dat voldoende? Of is er meer nodig om digitaal weerbaar te zijn? Dat is wat je in deze twee stappen opnieuw beoordeelt. Risico’s voor cybersecurity en informatiebeveiliging zijn dynamisch en veranderen. Eén keer in kaart brengen is niet voldoende, je zult het periodiek moeten blijven herhalen.

Digitaal weerbare organisatie

Uiteraard is NIS2-compliance maatwerk. Voor elke organisatie zal de specifieke ‘reis’ er anders uitzien. Toch geeft dit stappenplan je handvatten om te voldoen aan de NIS2-richtlijn. Het belangrijkste? Zorg dat je niet alleen maatregelen neemt om administratief gezien ‘vinkjes’ te zetten, maar bovenal de essentie van de richtlijn omarmt. Beleid opstellen is één, groeien naar een digitaal weerbare organisatie is waar het om draait.

Wij helpen je hier bij Ictivity graag mee. Bijvoorbeeld door een risicosessie te faciliteren, je te ondersteunen bij het opstellen van beleid en procedures of door als sparringpartner op te treden. Dit stappenplan is een systematiek en werkwijze die binnen jouw organisatie moet landen. We zijn hier graag de kartrekker van, maar toewijding vanuit het management in jouw organisatie is cruciaal om er genoeg tijd, aandacht en middelen in te steken. Alleen daarmee is jouw organisatie straks voorbereid op de NIS2-richtlijn.