Voorwoord
Binnenkort is het zover: op 18 oktober zal in België de NIS2-wet in werking treden en bedrijven verplichten om de cyberbeveiliging aan te scherpen.
Bij CISA krijgen we van veel klanten de vraag wat dit voor hen concreet zal betekenen, waarop het antwoord vaak hetzelfde is: naast wat technische ingrepen, veel documentatie en opzoekwerk.
Het hele NIS2-gebeuren kun je eigenlijk het beste zien als een grote cyberbeveiliging-strategie waarbij je niet alleen moet zeggen dat je ‘compliant’ bent, maar dit ook daadwerkelijk kunt aantonen. Vroeger werd verwacht dat enkel de IT binnen een bedrijf een oogje in het zeil zou houden, maar de EU heeft nu ook bepaald dat het management zijn verantwoordelijkheid moet nemen.
Kortom: als management zul je ook goed op de hoogte moeten zijn van wat er juist speelt in je bedrijf op het gebied van IT en hoe het bedrijf zich beschermt tegen de risico’s die actief spelen.
Merk op dat we hierbij verwijzen naar ‘het bedrijf’ en niet alleen naar de IT-afdeling.
Tegenwoordig heeft bijna elk personeelslid te maken met IT: de boekhouder die met gevoelige informatie werkt met zijn account, de productie-verantwoordelijken die met hun programma’s moeten werken en data moeten bijhouden, HR die persoonsgebonden zaken raadplegen en verwerken, …
Op elk punt schuilen potentiële risico’s waarbij mogelijks grote gevolgen kunnen komen moest er iets mislopen.
Daarom is het van vitaal belang voor een bedrijf om te zorgen dat deze risico’s bekend zijn en dat men weet hoe men hiermee moet omgaan.
Sommige bedrijven zijn hier al heel vergevorderd in en anderen moeten nog een tandje bijsteken, maar juist om iedereen naar een goed basisniveau van cyberbeveiliging te brengen heeft men op Europees niveau beslist om de NIS2 wetgeving uit te brengen.
De Belgische wetgeving rond cybersecurity / NIS2
De NIS2-richtlijn is op Europees niveau vastgelegd, maar laat het aan de landen zelf om uit te werken hoe men er op nationaal niveau mee wil omgaan.
Het hele framework hiervan bestaat uit een reeks maatregelen (controls) die tot doel hebben gegevens te beschermen, het risico van de meest voorkomende cyberaanvallen
te verminderen en de algemene cyberweerbaarheid van een organisatie te vergroten.
De CyberFundamentals-niveaus:
Op Belgisch niveau heeft het CCB (Centrum voor Cybersecurity België) de richtlijnen opgesplitst in vier niveaus van het CyberFundamentals-raamwerk:
“small”, “basis”, “belangrijk” en “essentieel”.
Deze onderverdelingen zijn er op basis van de grootte en de risico’s die bedrijven lopen.
Ben je niet zeker in welk niveau je bedrijf zich bevindt?
Met de volgende link kunt u met de CyFun Selection tool aan de slag om snel te bezien welk niveau je bedrijf moet behalen:
De informatie met details per niveau kan je hier vinden.
“Small” duidt op enkele zeer eenvoudige zaken om op orde te zetten: het is bedoeld
voor micro-organisaties of organisaties met heel beperkte technische kennis.
De bedoeling hier is om een eerste beoordeling te maken waarbij we de aspecten met
betrekking tot de interne werking van de organisatie nog niet bekijken.
Bij de “Basis”, “Belangrijk” en “Essentieel” gedeelten komen we bij de concrete zaken die we
als bedrijf kunnen aanpakken.
Hiervoor heeft het CCB zich gebaseerd op enkele bestaande frameworks in het
cybersecurity-landschap; namelijk de NIST CSF, ISO 27001 / ISO 27002, CIS Controls en
IEC 62443.
De aspecten binnen de niveaus:
Ze delen de vragen op in 5 categorieën:
- Identificeren
- Beschermen
- Detecteren
- Reageren
- Herstellen
Bij het Identificeren-aspect gaan we na welke zaken binnen het bedrijf belangrijk zijn en waar deze zich bevinden. Je kunt immers maar beschermen waarvan je weet dat het beschermd moet worden.
Het Beschermen-gedeelte gaat over het effectief ontwikkelen en uitvoeren van de maatregelen die nodig zijn om de geïdentificeerde zaken te beschermen.
Hierbij kan gekozen worden voor verschillende aanpakken, gaande van het aanvaarden dat iets kan gebeuren tot het volledig proberen voorkomen én een aanpak te hebben, mits het mis zou lopen.
Vervolgens is er het Detecteren-gedeelte waarin het de bedoeling is dat cyber-incidenten tijdig worden opgemerkt. Denk hierbij bijvoorbeeld aan het gebruik van software die uitvallen van connecties detecteert en mails uitstuurt of een antivirus die bij een verdachte bijlage direct melding maakt.
Voor het Reageren-onderdeel gaat het om controles die helpen reageren op cyber-incidenten. Hierbij is het primaire doel om de impact van incidenten te beperken.
Hierbij is de basis een goed uitgewerkt ‘playbook’ waarin stap voor stap wordt omschreven wat moet gebeuren in specifieke situaties.
Ten slotte is er het Herstel-aspect: hierbij komen maatregelen aan bod die helpen om diensten te herstellen als ze door een incident zijn getroffen. Vaak gaat het hier om procedures en technologie voor backup en herstel, maar ook hoe na een “disaster”-gebeurtenis je als bedrijf weer zo snel mogelijk kan doorstarten.
Voor het technische aspect (de uitvoering) zijn er verschillende oplossingen te vinden van een veelvoud aan fabrikanten die uitstekende producten hebben, maar de grootste uitdaging zit hem in de eerste stap, het begrijpen waar je risico’s liggen.
Zoals in het begin van deze blog reeds aangehaald komt dit voornamelijk neer op risico’s inventariseren en inschatten, bepalen hoe je het risico wil aanpakken en dat alles goed documenteren en in procedures- of draaiboeken gieten.
Hoe begin je aan een risico-analyse voor je cybersecurity
We begrijpen dat dit allemaal vrij overweldigend kan overkomen; hoe begin je hier dan ook efficiënt aan?
Wat we kunnen aanbevelen is om eerst samen te zitten met de IT-verantwoordelijken (en/of IT-partner) en een opsomming te maken van de belangrijke IT-systemen en processen binnen het bedrijf die van vitaal belang zijn om de continuïteit van de bedrijfsvoering te garanderen.
Vertrek vanuit processen zoals:
- “Hoe ontvangt onze organisatie zijn orders”
- “Hoe zetten we orders om in werk-instructies/productie-opdrachten”
- “Welke informatie hebben we nodig om de productie/opdracht toe een goed einde te brengen”
- “Hoe worden afgewerkte producten/geleverde diensten geregistreerd”
- ”Wat hebben we nodig om tot facturatie over te gaan”
- ”Hoe verwerken we de betalingen door klanten/ betalingen aan leveranciers”
Denk ook aan de systemen die bij deze processen gebruikt worden zoals servers waarop programma’s draaien die gebruikt worden voor orderadministratie of in de productie, de fileshares waarmee sales-documenten worden opgeslagen en de domain controller die ervoor zorgt dat men effectief kan aanmelden op het lokale netwerk…
We raden aan om tijdens deze vergadering beroep te doen op tools zoals de gratis RAVIB-tool (ravib.nl).
De Ravib-tool laat toe om op een gestructureerde manier de risico-analyse voor te bereiden en de uitkomst van de risico-analyse te documenteren.
Zo kan je er onder meer risico-scenario’s in beschrijven die je dan als uitgangspunt kan gebruiken om de risico’s met je werkgroep te bespreken.
Hierbij kan bijvoorbeeld worden nagegaan wat de impact is van een hacking;
- Wie zijn de actoren die hiertoe in staat zijn?
- Wat is hun mogelijks doel?
- Hoe groot is het risico dat een dergelijk scenario zich voordoet?
- Als informatie niet beschikbaar is, welke processen worden dan getroffen?
- Hoe lang kan het bedrijf verder als informatie gedurende langere tijd niet beschikbaar is?
- Wat zijn de directe gevolgen als we in zo’n situatie terechtkomen?
- Wat kunnen we doen om ons hiertegen te wapenen?
In de RAVIB-tool maakt men gebruik van een risicomatrix om na te gaan wat de kans is dat een bepaald scenario voorvalt en wat de impact ervan zou zijn op het bedrijf.
Hierop gebaseerd kan dan ook bepaald worden wat de aanpak zal zijn voor elk van de situaties.
Bij RAVIB erkent men 4 manieren om met een risico om te gaan:
Beheersen: Maatregelen nemen om de impact en de kans op een risico te verminderen
Ontwijken: Maatregelen nemen om de kans op een incident te verkleinen
Verweren: Maatregelen nemen om de impact van een incident te verkleinen
Accepteren: Geen bijkomende maatregelen nemen en louter accepteren dat dit soort incident bepaalde gevolgen meebrengt.
Uiteraard zal dit laatste punt (accepteren) enkel bij lage kans/impact situaties voorkomen.
Het is natuurlijk altijd beter om plannen uit te werken voor elke situatie, maar realistisch genomen zullen enkel de belangrijkste zaken eerst behandeld worden.
Het doel van NIS2 of de Belgische CyberFundamentals is niet om een bundel te voorzien die 100% klaar is; het is de bedoeling dat de cyberbeveiliging-strategie een levend document/verzameling van documenten is dat telkens aangevuld zal worden.
Na deze eerste meeting gaan er al zeker enkele belangrijke zaken aan bod komen waarrond procedures kunnen worden uitgewerkt.
Onze tip is om de procedures zo duidelijk mogelijk te maken:
– met vermelding van de specifieke control (de puntjes binnen de CyberFundamentals)
– Een korte, duidelijke omschrijving die begrijpbaar is voor niet-ITers
– Specifieke acties (richtlijnen) die opgevolgd en vlot gecontroleerd kunnen worden
– Optioneel: wie verantwoordelijk is
– Optioneel: tegen wanneer dit van kracht zou zijn
Om hierbij een voorbeeld te geven:
Vermelding van de specifieke control (de puntjes binnen de CyberFundamentals)
Punt PR.AC-5: “Netwerkintegriteit (netwerksegregatie, netwerksegmentatie…) wordt beschermd.”
Omschrijving:
Op alle netwerken van de organisatie moeten firewalls worden geïnstalleerd en geactiveerd.
Specifieke acties:
- Er is een firewall geïnstalleerd die zich tussen het interne netwerk en het internet bevindt.
- Er is een antivirus aanwezig op de firewall.
- Elk gebruikerstoestel binnen het netwerk is voorzien van een antivirus die is opgelegd en beheerd door het bedrijf.
Verantwoordelijke:
De IT-dienst voorziet de uitvoering van bovengenoemde zaken. Het management is mede-verantwoordelijk voor de opvolging dat dit ook effectief is voorzien.
Datum van uitvoering:
- De firewall is reeds aanwezig
- De antivirus op de firewall is reeds geïmplementeerd
90% van de gebruikerstoestellen zijn voorzien van de antivirus-software. Voor de laatste toestellen komen op datum x de toestellen weer op het bedrijfsnetwerk om dan van de software te worden voorzien via een geautomatiseerd proces (Intune).
Afsluiting
We hopen dat met de informatie in deze blog en de voorbeelden je een beter beeld hebt van wat we kunnen verwachten met de start van NIS2.
Het lijkt allemaal veel werk, maar zie het als een initiële investering van tijd om orde op zaken te stellen. Het opvolgen en kunnen aantonen dat je volledig in regel bent is niet alleen een wettelijke verplichting, maar een serieuze gemoedsrust dat je weerbaarder bent tegen cyberdreigingen.
Het is altijd beter om te voorkomen dan te moeten genezen!
Wil je meer weten over hoe CISA jou kan helpen bij het implementeren van de NIS2-wetgeving? Neem dan gerust contact met ons op.