Menu

Sluit
Banner - Encryptie

8. Cryptografie voor gegevensbescherming

Cryptografie is de techniek van het versleutelen of ontsleutelen van gegevens zodat alleen bevoegde personen de gegevens kunnen lezen. Het vormt de basis om de vertrouwelijkheid en integriteit van jouw bedrijfsgegevens en assets te beschermen. Encryptie is een cryptografische methode om gegevens te versleutelen op basis van een cryptografisch algoritme. Lees meer over encryptie.

 

Beleid voor cryptografie

Het doel van beleid en procedures voor cryptografie en encryptie is dat de vertrouwelijkheid, integriteit, onweerlegbaarheid, authenticiteit en authenticatie van data gewaarborgd wordt.

In een beleidsdocument inzake cryptografie beschrijf je het beleid en de technieken die je ingezet hebt om de vertrouwelijkheid en integriteit van informatie te waarborgen. Onderdelen om mee te nemen in het beleidsdocument zijn:

  • Configuratiemanagement

    Binnen de gehele organisatie wordt alleen gebruik gemaakt van goedgekeurde encryptiestandaarden. Daarnaast moet het beleid een minimale lengte voorschrijven per asset en standaard.

    • Benodigde encryptiestandaard

      Op basis van de risicoanalyse en asset classificatie moet per beveiligingsniveau de eisen van de encryptiestandaard vastgesteld worden.

    • Benodigde sleutellengte

      De aan te raden sleutellengte hangt af van de gekozen encryptiestandaard. In de documentatie van de encryptiestandaard die de organisatie gebruikt, is terug te vinden welke sleutellengte geadviseerd wordt.

  • Sleutelmanagement

    Een organisatie moet beleid hebben op het gebied van de gehele levenscyclus van cryptografische sleutels. Dit houdt in dat minimaal voor de onderstaande punten de procedure, rollen en verantwoordelijkheden beschreven moet zijn:
    • Het genereren en distribueren van sleutels;
    • Het vernietigen of intrekken van sleutels;
    • Het archiveren van sleutels;
    • Het back-uppen van sleutels;
    • Het loggen van sleutelmanagementactiviteiten;
    • Indien van toepassing, de uitgifte en verkrijgen van certificaten.

  • Effectiviteit en herziening

    Het beleid op cryptografie wordt periodiek getoetst en herzien, waarbij rekening wordt gehouden met veranderingen in de organisatie en de actuele risico's voor je organisatie. De testresultaten neem je op in de herziene versie van het beleidsdocument voor cryptografie.

NIS2-zorgplicht

NIS2-richtlijn

In de Europese NIS2-richtlijn worden gevraagd naar beleid op cryptografie en encryptie. Dit staat in artikel 21 lid 2 sub h van de richtlijn.

 

Bereid je voor op de NIS2

Voor de voorbereiding op Nederlandse wetgeving die voortkomt uit de NIS2-richtlijn, vind je hier suggesties, handvatten en aandachtspunten. Het uitvoeren of volgen ervan vergroot de cyberweerbaarheid van je organisatie, maar het is geen garantie dat je organisatie al voldoet aan komende wetgeving.

Relevante links en hulpmiddelen

Vertel het ons:

Snel aan de slag

Wil je voorbereidingen treffen voor NIS2 op het gebied van cryptografie? Gebruik dan het stappenplan hieronder. De eerste stappen zijn om te weten waar je staat.

Stap 1 Breng de cryptografische systemen die je gebruikt binnen je organisatie in kaart. Het is belangrijk dat elk cryptografisch systeem geïdentificeerd wordt, zodat je weet waar de risico’s liggen.

Stap 2 Schrijf beleid over hoe jouw organisatie omgaat met cryptografie en encryptie. Zorg ervoor dat minimaal het hierboven beschreven configuratiemanagement, de benodigde encryptiestandaard en sleutelmanagement terugkomen in het beleidsplan.

Stap 3 Zorg dat elk cryptografisch systeem een eigenaar heeft.

Stap 4 Zorg dat per cryptografisch systeem het benodigde niveau van bescherming geïmplementeerd is.

Post-quantum cryptografie

Zodra je deze stappen doorgelopen hebt en periodiek herziet, kan het relevant zijn om in het beleid de komst van post-quantum cryptografie mee te nemen. Post-quantum cryptografie is cryptografie die bestand is tegen quantumcomputers. Het Nationaal Cyber Security Centrum (NCSC) en de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) adviseren bedrijven en organisaties waar dat relevant is om zich voor te bereiden op de risico's van quantumcomputers omdat deze tussen 2030 en 2040 waarschijnlijk over voldoende rekenkracht zullen beschikken om veel van de meest gebruikte vormen van cryptografie te breken. De stappen om voor te bereiden op post-quantum cryptografie zijn hetzelfde zoals deze voor de huidige cryptografie zijn, namelijk het helder in kaart brengen waar de relevantie zit, welke risico's er zijn en op welke wijze er (al dan niet in de toekomst) overgegaan kan worden op implementatie.

NIS2-Quickscan

De NIS2-Quickscan

De NIS2-Quickscan is een tool voor organisaties die willen weten hoe zij zich kunnen voorbereiden. Deze scan is met name bedoeld voor IT- en cybersecurity-specialisten en -verantwoordelijken binnen organisaties. De scan biedt ook handelingsperspectief: per thema worden technische of organisatorische maatregelen voorgesteld die kunnen bijdragen aan de digitale weerbaarheid van organisaties en aan de voorbereiding op de NIS2.

Naar de NIS2-Quickscan
Handboek Post Quantum Cryptografie

Het Post Quantum Cryptografie migratie-handboek

Dit handboek ondersteunt organisaties met concrete stappen om de dreiging van quantumcomputers voor cryptografie te beperken. Het moment waarop quantumcomputers een dreiging zullen vormen voor momenteel gebruikte cryptografie is onvoorspelbaar. Toch moeten bepaalde organisaties nu al aan oplossingen werken vanwege het risico dat quantumcomputers met zich meebrengen. Bijvoorbeeld organisaties die data verwerken die zelfs over 20 jaar nog vertrouwelijk moeten blijven, of die systemen met een lange levensduur ontwikkelen. De meest veelbelovende oplossing is de zogenaamde post-quantumcryptografie (PQC). 

Download handboek
Brochure Maak je organisatie quantumveilig

Maak je organisatie quantumveilig

De verwachting van experts is dat quantumcomputers tussen 2030 en 2040 waarschijnlijk over voldoende rekenkracht zullen beschikken om veel van de meest gebruikte vormen van cryptografie te kunnen breken. Daarom moeten bedrijven en organisaties nu in actie komen en zich gaan voorbereiden om tijdig te kunnen migreren naar quantumveilige cryptografie.

De Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en het Nationaal Cyber Security Centrum (NCSC) hebben daarom een gezamenlijke handreiking ’Maak je organisatie quantumveilig’ gepubliceerd. Deze handreiking is een aanvulling op het PQC-migratiehandboek en biedt een nadere uitwerking van de daarin beschreven stappen en maatregelen.

Naar de handreiking
NIS2 - MFA

9. Gebruik multifactorauthenticatie (MFA)

Gebruik MFA en andere beveiligde communicatie. Voor veilige bedrijfsprocessen is het nodig dat gebruikers, apparaten en andere activa worden geauthentiseerd door middel van meerdere authenticatiefactoren of continue authenticatiemechanismen om toegang te krijgen tot netwerken en informatiesystemen.

Lees verder
Cyberbeveiligingsrisico's

10. Effectiviteit van maatregelen

Je wilt weten of de genomen beheersmaatregelen effect hebben gehad. Vallen de beoogde risico's binnen de acceptatiecriteria? Met een beleid en procedures borg je de effectmeting. Om effect te meten, toets je de maatregelen. Dit kan via securitytesten. Het uitvoeren van een securitytest gaat in 4 stappen.

Lees verder
Risico-analyse

1. Maak een beleidsplan risicoanalyse

NIS2-organisaties moeten een beleid inzake risicoanalyse en beveiliging van informatiesystemen hebben. Een risicoanalyse is een essentiële eerste stap voor het verkrijgen van de nodige inzichten. Je bepaalt ermee welke risico's zwaar drukken en waar beveiligingsmaatregelen het hardst nodig zijn. 

Lees verder