NIS2: begin met deze basismaatregelen

Op 31 januari 2024 werd bekend gemaakt dat de NIS2-richtlijn niet in gaat vanaf oktober 2024. Naar verwachting wordt in 2025 de implementatie van de richtlijn afgerond. Maar dat betekent niet dat je nu achterover kunt leunen. Sterker nog, het zogeheten cybersecuritybeeld van Nederland komt steeds meer onder druk te staan. De digitale dreiging groeit. En dat betekent dat je als bedrijf kwetsbaar bent. Op verschillende websites is veel informatie te vinden over wat de NIS2-richtlijn voor organisaties betekent en wat je moet doen om volledig aan de richtlijn te voldoen. Alles bij elkaar is dat best veel werk. Daarom heb ik in deze blog een aantal praktische tips waarmee je de veiligheid binnen jouw bedrijfsnetwerk naar een hoger niveau kunt tillen. Begin vandaag al met deze basismaatregelen!

Wat is NIS2?

De NIS2-richtlijn schrijft voor hoe bedrijven die hieraan moeten voldoen maatregelen kunnen nemen om hun informatiebeveiliging tot een gewenst niveau te krijgen. Dit zijn bijvoorbeeld maatregelen die gaan over het veilig en vertrouwd inloggen op een informatiesysteem, het beschikbaar hebben van de (juiste) informatie en het kunnen herstellen van informatie nadat dit door bijvoorbeeld een storing verloren is gegaan. 

Beleid en risicoanalyse

Twee belangrijke aspecten bij het inrichten van informatiebeveiliging zijn het vaststellen van je beleid en het uitvoeren van een risicoanalyse. In je beleid stel je vast op welke manier je invulling geeft aan de welbekende BIV-classificatie. Deze classificatie schrijft voor dat:

• informatie beschikbaar moet zijn (kan ik erbij?)
• die informatie integer is (klopt het?)
• de vertrouwelijkheid van informatie geregeld is (mag ik erbij?)

Kans x impact = score

De maatregelen die je neemt om dit te borgen komen voort uit het beleid dat je hanteert. Welke precieze maatregelen je neemt, is sterk afhankelijk van het risico dat je loopt. Dat bepaal je door het uitvoeren van een risicoanalyse. Hierbij stel je vast welke dreigingen op het gebied van informatiebeveiliging voor jouw bedrijf relevant zijn, waarna je een inschatting maakt van de kans op die dreiging en wat de impact zou zijn als de dreiging zich voordoet. Hier komt een score uit (kans x impact = score) op basis waarvan je het risico kunt behandelen. 

Begin met deze basismaatregelen  

In het rooskleurigste scenario stel je eerst het beleid vast en voer je een risicoanalyse uit voordat je aan de slag gaat met maatregelen, maar de ervaring leert dat daar veel tijd in gaat zitten. Voordat je dan goed en wel de eerste maatregelen hebt ingevoerd ben je zo een paar maanden of misschien wel jaren verder. Daarom deel ik hieronder een paar maatregelen die iedere organisatie eigenlijk zou moeten implementeren. Ongeacht het beleid dat gevoerd wordt of de mate waarin je als organisatie risico loopt op het gebied van informatiebeveiliging. 

• Een eenmalige code die gegenereerd wordt door een token of authenticator app op je telefoon
• Het gebruik van een biometrisch gegeven zoals gezichtsherkenning en vingerafdruk op je telefoon
• Het toepassen van e-mailverificatie: bij het inloggen wordt er een mail met een link gestuurd naar het in het systeem bekende e-mailadres waarmee de gebruiker verder kan inloggen

Veel informatiesystemen hebben al de mogelijkheid om MFA aan te zetten, maar omdat dit als lastig wordt ervaren wordt er niks mee gedaan. Het effect is dat systemen waarop geen MFA wordt toegepast veel kwetsbaarder zijn voor een hack en dus voor het lekken van data, terwijl met het toepassen van MFA 99,9 % van de aanvallen kan worden geblokkeerd (bron). 

Maak dus vandaag nog een plan om morgen MFA te activeren op de systemen waar dat mogelijk is! 

Veel bedrijven laten onnodig vaak een applicatie nog even in de lucht terwijl het nieuwe systeem al een tijdje in productie is of laten her en der nog archief met data slingeren, omdat het “wel eens handig kan zijn”. Vaak zijn dit onderdelen van het netwerk die buiten het zicht van het personeel verdwijnen, niet meer onderhouden worden en dus ook niet meegenomen worden in het veilig(er) maken en houden van de IT-omgeving. Met alle gevolgen van dien!

Het verkleinen van het aanvalsoppervlak is ook van toepassingen op ongebruikte functionaliteiten in operationele systemen (bijvoorbeeld apps in Microsoft 365 die je niet gebruikt) of het onnodig actief houden van allerlei gebruikersaccounts. Zet uit wat je niet nodig hebt en gooi accounts die niet meer gebruikt worden weg. Stel bijvoorbeeld bij het aanmaken van een (gast)account alvast een verloopdatum in. Vanaf die dag wordt het account in ieder geval geblokkeerd en vormt het geen dreiging meer voor de IT-omgeving.

In de waan van de dag komt het er vaak niet van om te controleren of de back-up überhaupt goed gelopen heeft. Laat staan dat we testen of hij bruikbaar is. Toch is het een cruciaal onderdeel bij informatiebeveiliging. Want heb je nagedacht wat het voor jouw organisatie betekent als je een groot deel of zelfs alle cruciale data écht kwijt bent? Vertrouw dus niet blindelings op je back-upprocedure en ga ervan uit dat je niet alle data kunt teruglezen op het moment dat het nodig blijkt. 

Een paar handvatten die van belang zijn om je back-up goed te regelen: 

• Stel vast welke data cruciaal is voor je organisatie. Welke data is nodig voor de continuïteit van je bedrijf? 
• Maak een back-up plan en implementeer die. Neem in het plan op hoe vaak je een back-up maakt, welke software of back-up leverancier je gaat gebruiken, waar de back-up terechtkomt en wanneer je een back-up weer zonder zorgen kan verwijderen
• Richt een aparte omgeving in waarop je frequent de back-up kunt testen. Bij voorkeur is de omgeving een kopie van de live omgeving, maar heeft hij minder resources nodig
• Maak tijd en ruimte om het restoren van je back-ups uit te voeren. Dit zou kunnen betekenen dat je wat meer personeel nodig hebt of dat je de uitvoering hiervan uitbesteedt aan een externe partij. Besef dat deze kosten vaak een schijntje zijn van de kosten die je krijgt als de back-up niet blijkt te werken

In dit voorbeeld ben ik er vanuit gegaan dat binnen jouw organisatie in ieder geval back-ups zijn geregeld.

Extra tips

Om af te sluiten heb ik nog een paar korte tips waar je als organisatie direct mee aan de slag kunt: 

Bewustwording: Maak je medewerkers bewust van het feit dat ze vaak met zeer gevoelige informatie werken die niet mag kwijtraken of in handen mag komen van onbevoegden. Hanteer daarom spelregels waar iedereen zich aan houdt, zoals je PC vergrendelen als je van je plek loopt en geen wachtwoorden op een briefje laten slingeren. 

Zero Trust beleid: Pas Zero Trust beleid toe: alleen toegang na autorisatie, gebruik minimale machtigen en ga uit van een security-incident bij het inrichten van je systemen. 

Capaciteit: Zorg voor voldoende capaciteit in je organisatie. Naast gekwalificeerde mensen en middelen is het van groot belang dat er voldoende tijd wordt gereserveerd om bezig te zijn met informatiebeveiliging. 

Patchmanagement: Richt patchmanagement in. Dit betekent dat je controle hebt over bijvoorbeeld de updates die nodig zijn om veilig te kunnen blijven werken. Dit zorgt ervoor dat je systemen up-to-date blijven en altijd voorzien zijn van de laatste security updates.