Hinnekensbergen 2A • B-2460 Kasterlee
Fr. Rooseveltlaan 348-349 • B-9000 Gent
+32 (0)14 85 37 97
info@cisanet.be

Linkedin
Home
Neem contact op

NIS2: Hoe pak ik het aan?

Lees meer

NIS2: Hoe pak ik het aan?

NIS2 is een Europese verordening die op 17 mei werd opgenomen in het Belgisch Staatsblad. Initieel zal de wetgeving een 2.000-tal ondernemingen dwingen om te investeren in cyberveiligheid. De bedrijven moeten aan een aantal voorwaarden voldoen en actief zijn in kritische sectoren. Indien een bedrijf zich niet schikt naar NIS2, riskeert het boetes die tot enkele miljoenen euro’s kunnen oplopen. Elke bedrijfsleider doet er dus goed aan aandacht te besteden aan dit onderwerp.

In deze blogpost willen we graag enkele handvatten aanreiken om aan de slag te gaan met NIS2. Het is goed mogelijk dat je bedrijf nog niet hoeft te voldoen aan bepaalde normen, maar wetgeving evolueert continu en cybersecurity zal enkel hoger op de politieke agenda komen na de verkiezingen.

1. Risicoanalyse en -beoordeling

Een risicoanalyse verplicht ons als IT-afdeling in dialoog te gaan met het bedrijf en de bedrijfsleiders, en misschien nog belangrijker, het verplicht de bedrijfsleiders om naar de IT-afdeling te luisteren als het over informatiebeveiliging gaat.

Een risicoanalyse moet helpen bij het bepalen van welke zaken/processen je met prioriteit moet beschermen en tegen welke bedreigingen.

Risico = kans x impact

Een goede risicoanalyse kan daarom de volgende vragen beantwoorden:

  • Wat moeten we beschermen?
  • Wie of wat veroorzaakt een bedreiging en wat hebben ze als doel/eindresultaat voor ogen?
  • Welke incidenten kunnen zich voordoen?
  • Welke impact (financieel, operationeel, imago) heeft dit incident?
  • Wat is de kans dat dit incident zich voordoet?
  • Hoe kunnen we ons wapenen om dit incident te voorkomen of de kans dat het voorvalt te verkleinen?
  • Hoe kunnen we ons organiseren om de impact te verminderen of eventuele impact uit te sluiten?

In het kader van risicoanalyse zijn er verschillende standaarden en methodologieën die gehanteerd kunnen worden.

De frameworks leiden je stapsgewijs langs de elementen en scenario’s waarmee je in het kader van informatieveiligheid geconfronteerd kan worden.

2. Het informatiebeveiligingsplan

Een informatiebeveiligingsplan is een verzameling van standaarden, richtlijnen, procedures en controles ter waarborging van de informatieveiligheid.

Dit plan moet de beschikbaarheid, integriteit en vertrouwelijkheid van de informatie en de systemen waarin deze informatie wordt verwerkt en opgeslagen, garanderen.

Door dit plan uit te voeren en op te volgen creëer je een veilige IT-cultuur en draag je op een positieve manier bij tot het beperken van de cyberrisico’s.

Om je te helpen een goed beleid te ontwikkelen, heeft het CCB (Centrum voor Cybersecurity Belgium) het CyFun-framework ontwikkeld.

Het CyFun Framework, dat voluit staat voor het Cyber Fundamentals Framework, bestaat uit drie niveaus – Basis, Belangrijk en Essentieel.

Elke variant heeft een concrete doelstelling voor ogen.

Voldoe je als organisatie aan de maatregelen van het framework “BASIS,” dan zal je 82% van de huidige bekende cyberaanvallen kunnen afweren.

Kies je als organisatie om aan de maatregelen van het framework “BELANGRIJK” te voldoen, dan stijgt dit tot 94% van de huidige bekende cyberaanvallen.

Ga je voor alle maatregelen van het framework “ESSENTIEEL,” dan kan je je verweren tegen 100% van de momenteel bekende cyberaanvallen.

Hoe kies je het juiste framework?

Ook daar heeft het CCB aan gedacht.

Op basis van een beperkte risicoanalyse helpt het CCB je het juiste framework te kiezen.

Je bepaalt de omvang van je organisatie, de impact die een aantal scenario’s op jouw werking hebben en schat dan de waarschijnlijkheid in dat bepaalde bedreigingen zich voordoen.

Hieruit volgt dan een besluit over welk framework voor jouw organisatie geschikt is.

Hoe ga ik aan de slag met het framework?

We geven je graag enkele tips om je informatiebeveiligingsplan tot een goed einde te brengen.

  1. Wees bij het begin niet té ambitieus, begin bij het geadviseerde niveau en groei later eventueel door naar een hoger niveau wanneer dit wenselijk is.
  2. Neem rustig de tijd om de brochure die bij het framework hoort grondig door te nemen en aan te geven wat je reeds in huis hebt.
  3. Focus eerst op de kernmaatregelen.
  4. Ga in tweede instantie voor de quick-wins.
  5. Maak gebruik van de templates die het CCB aanbiedt.
  6. Maak een gap-analyse om te zien wat er nog ontbreekt.
  7. Stel een plan van aanpak op om je framework af te werken.
  8. Onderschat niet de tijd die nodig is om dit informatiebeveiligingsbeleid op basis van deze frameworks af te werken.
  9. Gebruik tooling om een overzicht te blijven houden over de voortgang van jouw acties.
  10. Bespreek je resultaten met een sparringpartner.

3. Uitrollen van passende en evenredige maatregelen

Deze rubriek betreft de toepassing van het informatiebeveiligingsbeleid met als doelstelling een beveiligingsniveau te bereiken om incidenten te voorkomen of de impact voor de organisatie, zijn partners, afnemers en/of toeleveranciers te beperken.

Met passend bedoelt de wetgever dat de maatregelen aangepast moeten zijn aan de stand van de techniek en waar mogelijk in lijn moeten zijn met Europese en/of internationale standaarden rond deze materie.

Evenredig betekent dat ze in verhouding moeten staan tot de risico’s van de betrokken organisatie.

4. Verhogen van het algemeen bewustzijn rond informatiebeveiliging

Uit een studie van verzekeringsmakelaar Vanbreda Risk & Benefits blijkt dat er in 90% van de cyberinbreuken sprake is van een menselijke fout.

Volgens het laatste M-trendrapport van Mandiant is 17% van de cyberinbreuken het gevolg van een geslaagde phishingaanval en gaat het in 10% van de gevallen over inbraken met gestolen credentials.

Daarom is er meer dan ooit nood aan het sensibiliseren en trainen van medewerkers, zodat medewerkers van uw organisatie de steeds professionelere cyberbedreigingen kunnen herkennen en juist kunnen reageren.

Maak van je gebruikers actieve deelnemers aan je security-strategie, want een ketting is niet sterker dan zijn zwakste schakel.

Belangrijk voor een goede security-awareness-strategie is:

  • Zorg voor een regelmatig trainingsaanbod.
  • Volg de voortgang van de trainingen goed op en spoor gebruikers aan de trainingen te volgen.
  • Maak de trainingen en inhoud leuk, interactief, competitief en uitdagend – zo creëer je betrokkenheid.
  • Zorg ervoor dat de kennis regelmatig wordt getoetst (bijvoorbeeld phishingcampagnes, verplichte wachtwoordwissels, …).
  • Zorg dat je als IT-afdeling toegankelijk bent voor mensen die security-issues melden, zo moedig je hen aan en zorg je voor een echte “security-cultuur”.

Wil je graag hulp bij de keuze van de juiste tooling, assistentie bij het invullen van je framework of advies over welke technologie welke risico’s kan afdekken, geef ons dan zeker een seintje, CISA helpt je graag verder!

Vond je dit bericht interessant? Deel het met je netwerk!

Inhoudstafel

Recente berichten

De laatste Friday Academy voor de zomer
Friday Academy
Het belang van goede documentatiepraktijken: essentieel voor kwaliteit en compliance
Tips & tricks
Mijn stage – Een stap naar professioneel succes: een duik in de wereld van CISA
Divers
Alle berichten
Samen jouw IT-uitdagingen bespreken?
Neem contact op

Contact

Hinnekensbergen 2A • B-2460 Kasterlee
Fr. Rooseveltlaan 348-349 • B-9000 Gent
+32 (0)14 85 37 97
info@cisanet.be
BTW: BE 0860.244.894

Linkedin

Diensten

IT-services
Cloud & collaboration
Security
Infrastructuur

Nuttig

Nieuws
Contact
Academy
Werken bij CISA
Partners
Algemene voorwaarden

© 2024 CISA. Wij verzamelen gegevens conform ons privacy-en cookiebeleid.