10 aandachtspunten voor de BIO als gevolg van de NIS2 richtlijn
In onze snel evoluerende digitale wereld worden overheidsorganisaties steeds vaker geconfronteerd met cybercriminaliteit. Dagelijks horen we verhalen over de gevolgen van falende beveiliging. Daarom is het van cruciaal belang dat overheidsorganisaties grondige beveiligingsmaatregelen treffen om zich te beschermen tegen cybercriminaliteit en tegelijkertijd de digitale weerbaarheid te versterken. Eisen over de mate van beveiliging komen onder meer uit de NIS2-richtlijn die ultimo 2024 moet zijn omgezet naar Nederlands recht. Opvallend is dat het vanuit onze overheid behoorlijk stil is rond de impact van de NIS2-richtlijn terwijl er wel geadviseerd wordt om alvast voorbereidingen te treffen. In een andere blog zetten we uiteen waarom een goed werkend ISMS cruciaal is onder de NIS2 richtlijn. In dit artikel delen we 10 aandachtspunten voor de BIO als gevolg van de NIS2 richtlijn.
Door Gerrit Goud
Het is nog maar de vraag of de NIS2-richtlijn van toepassing wordt op gemeenten. Artikel 2 lid 5a van de richtlijn geeft namelijk aan dat elke lidstaat zelf bepaalt of overheidsinstanties op lokaal niveau onder de richtlijn vallen. Ik heb begrepen van de Digitale Overheid dat hiermee in het wetsvoorstel rekening wordt gehouden, maar zolang er geen formeel besluit is genomen, kan het alle kanten op gaan. En dat zorgt voor onzekerheid en bemoeilijkt de voorbereiding, wat leidt tot een afwachtende houding. Helaas! Laten we er echter vanuit gaan dat de richtlijn ook van toepassing wordt voor gemeenten. Trouwens, elke organisatie die buiten de NIS2-richtlijn valt, staat vrij om deze toch te volgen in de strijd tegen cybercriminaliteit.
BIO als basis
De BIO of zijn opvolger is op zich een prima basis voor de implementatie van de NIS2-richtlijn. Je hebt immers een kapstok nodig en dit normenkader is bij de overheid bekend en gebaseerd op de wereldwijde standaard ISO 27002. Daarbij zijn als gevolg van de NIS2-richtlijn diverse aanscherpingen nodig om de digitale weerbaarheid te versterken.
De belangrijkste zijn:
- Zorgdragen voor een goed werkend ISMS voorzien van een jaarlijks terugkerende risico-gebaseerde PDCA-cyclus die in eerste instantie belangrijker is dan de inhoud. Dat klinkt raar, maar bedenk dat het beheersingsproces de inhoud borgt (lees 112 normen uit de BIO). Anders valt alles wat je optuigt als los zand op de grond. Dit beheersingsproces is nu precies wat onder een ISO 27001 certificering valt en daarmee betrek je alle belanghebbenden waaronder de nationale autoriteit bij dit beheersingsproces, hetgeen ten goede komt aan de digitale weerbaarheid. Zonder een goed werkend beheersingsproces wordt het lastig te (blijven) voldoen aan de NIS2-richtlijn.
- Het inrichten van een managementsysteem voor bedrijfscontinuïteit (BCMS) dat gericht is op het voorkomen van beveiligingsincidenten en het beperken van de schade (respons en herstel) bij een calamiteit of ramp onder buitengewone, onstabiele en complexe situaties.
- Bepalen van keycontrols op basis van een risico-gebaseerde benadering waarop de focus wordt gelegd als het gaat om het toetsen van de werking. Niet elke norm uit de BIO is even belangrijk. Sommige dek je af door het vaststellen van alleen opzet en bestaan, andere en vooral keycontrols door vooral de effectieve werking te toetsen.
- Meer diepgang creëren door alle kritische informatiesystemen op te nemen in het ISMS. Het gaat natuurlijk niet alleen om Suwinet, DigiD, BRP en PNIK zoals we dat kennen vanuit ENSIA.
- Het professionaliseren van functioneel beheer in de gebruikersorganisatie voor alle kritische informatiesystemen voor noodzakelijke beheertaken op het gebied van informatie- en cyberbeveiliging. Zij zijn immers de poortwachters van hun applicaties. Realiseer je dat zwak functioneel beheer een potentieel risico is dat met de juiste training en opleiding en beveiligingsrichtlijnen is op te lossen.
- De inzet van de 3e lijn vanuit het governance model van interne beheersing dat zich vooral bezighoudt met het toetsen van de werking van keycontrols. Deze inzet is noodzakelijk om objectief tegenwicht te bieden aan direct betrokkenen in de 1e lijn die wellicht een ander (vertekend) beeld hebben over de opzet, bestaan en werking.
- Het inrichten van SIEM/SOC-toepassingen in het kader van informatie- en cyberbeveiliging waarop monitoringbeleid van toepassing is en rekening wordt gehouden met AVG-aspecten.
- Zorgdragen voor deugdelijk contractenbeheer van toeleveringsketens met de nodige aandacht voor het bepalen van passende informatie- en cyberbeveiligingsmaatregelen indien sprake is van ICT-gerelateerde diensten en producten en het regelmatig vaststellen dat aan de gestelde afspraken is voldaan.
- Het inrichten van een deugdelijke procedure voor het melden en afhandelen van beveiligingsincidenten en datalekken die voldoet aan de eisen van de AVG en de NIS2-richtlijn.
Ik ga overigens in deze blog voorbij aan de zogenaamde procesbesturingssystemen (SCADA/ICS) die ook onder de NIS2-richtlijn vallen en van toepassing kunnen zijn bij gemeenten. Voorbeelden hiervan zijn de besturing op afstand van bruggen, sluizen, stoplichten en andere relevante apparaten die verbonden zijn met het internet (IoT). Hacks op dit soort besturingssystemen kunnen leiden tot slachtoffers.
Wat kan Key2Control voor u betekenen?
Voor organisaties die serieus aan de bak willen met informatie- en cyberbeveiliging en ambities hebben om te groeien naar een gewenst volwassenheidsniveau, bieden wij een ISMS-platform in het Key2Control management control systeem. Dit platform is gebaseerd op gangbare beheersingsprincipes inclusief een risico- en auditmodule rondom een PDCA-cyclus en ondersteunt het zogenaamde drielijnenmodel. Ons ISMS-platform is geschikt voor certificeringstrajecten. De Key2Control software beschikt over diverse normenkaders op het gebied van informatie- en cyberbeveiliging waaronder de BIO, ISO 27001 en 27002, NEN 7510 en een volwaardig BCMS gebaseerd op de ISO 22301 met concrete beveiligingsmaatregelen.
Meer weten?
We zijn ervan overtuigd dat een persoonlijk gesprek altijd toegevoegde waarde biedt. Neem gerust contact op voor een vrijblijvende kennismaking.