10. Effectiviteit van de genomen maatregelen
Het uitvoeren van een risicoanalyse is de start om de digitale weerbaarheid van je organisatie te verhogen. Uit een risicoanalyse komt naar voren welke risico’s er bestaan en daarna kun je bepalen welke maatregelen nodig zijn. Als tweede stap implementeer je, waar nodig, deze beheersmaatregelen. Na het implementeren is het noodzakelijk om te weten of de genomen maatregelen effect hebben en de beoogde risico's ermee zijn afgedekt. Om het effect te meten, moeten de maatregelen getoetst en geëvalueerd worden. Om dit gestructureerd en systematisch te laten plaatsvinden, moet de toetsing in het beleid van de organisatie worden opgenomen. Eén van de manieren om de effectiviteit van maatregelen te toetsen, is via een securitytest.
Beleid om effectiviteit te toetsen
De invulling van het beleid om de effectiviteit van de maatregelen te toetsen, verschilt per organisatie. De basis van het opstellen van het beleid ligt bij de al eerder genomen maatregelen. Iedere organisatie zit nou eenmaal anders in elkaar, met ieder andere processen waardoor ook de genomen maatregelen per organisatie verschillen. Van een aantal elementen is het gebruikelijk dat ze in dit beleid staan. Het is mogelijk dat het beleid van jouw organisatie de volgende punten bevat:
Doel en scope
In het beleid leg je vast wat de mogelijke doelen van toetsing en evaluatie van de digitale weerbaarheid van jouw organisatie is. Het doel van de toets moet in elk geval bevatten of je de juiste maatregelen hebt genomen om de risico's binnen je acceptatiecriteria te laten vallen. Daarnaast wil je meten of je voldoet aan geldende regelgeving. Aan de hand van de doelstelling kan de scope van de test worden bepaald waarbij je bijvoorbeeld definieert welk beheersmaatregelen geëvalueerd worden.
Frequentie
In het beleid moet de frequentie van de toetsing worden opgenomen. In verschillende security frameworks wordt een jaarlijkse toetsing geëist van organisaties. Dit is bijvoorbeeld bij he ISO 27001 framework waarbij ieder jaar zogeheten audits plaatsvinden. Een andere mogelijkheid is dat jouw organisatie gebonden is aan een frequentie-eis door contractuele afspraken. Heeft jouw organisatie geen frequentie-eis, dan is het aan de organisatie zelf om de frequentie te bepalen. Om dit te bepalen moet er een risicomanagementafweging worden gemaakt. Hier kun je factoren in meenemen zoals mogelijke wet- en regelgeving, contractuele afspraken en de kosten-batenafweging.
Manieren van toetsing
De toetsing van de effectiviteit van de maatregelen kan in verschillende vormen worden toegepast. Dit kan in de vorm van audit, risicoanalyse, pentest, code review of securityscan. Lees meer over deze toetsingsvormen. Aan de hand van het doel en de scope van de test kun je kiezen welke toetsingsvorm het beste past.
Rollen
In het beleid neem je op welke functie verantwoordelijk is voor het uitvoeren van de toetsing. Dit kan door een interne of externe partij worden gedaan. In ieder geval is het van belang dat de partij onafhankelijk is zodat ze een onpartijdige beoordeling kunnen uitvoeren.
Uitkomsten
In het beleid kan worden opgenomen hoe de uitkomsten worden gerapporteerd en aan wie. Voor de onafhankelijkheid van de toetsing is het raadzaam om te rapporteren aan de directie of het bestuur van je organisatie.
Het helpt de organisatie als de beoordeling van de effectiviteit van de maatregelen voor het beheersen van cyberbeveiligingsrisico’s weer als input worden gebruikt voor het actualiseren van je risicoanalyse. De effectiviteit van de genomen maatregelen heeft een directe relatie met restrisico's.
Effectiviteit en herziening
Het beleidsplan om de effectiviteit van maatregelen te toetsen, wordt periodiek getoetst (interne onafhankelijk toetsing/audit of door een externe partij) en herzien. Houdt hierbij rekening met veranderingen in de organisatie en de nieuwe risico's waarmee de organisatie wordt geconfronteerd. Neem de verbeterpunten op in de herziene versie van het beleidsplan voor het toetsen van de effectiviteit.
NIS2-zorgplicht
In de Europese NIS2-richtlijn wordt naar beleid en procedures gevraagd om de effectiviteit van de maatregelen voor het beheer van cyberveiligheidsrisico's te beoordelen. Dit staat in artikel 21 lid 2 sub f.
Bereid je voor op de NIS2
Voor de voorbereiding op Nederlandse wetgeving die voortkomt uit de NIS2-richtlijn, vind je hier suggesties, handvatten en aandachtspunten. Het uitvoeren of volgen ervan vergroot de cyberweerbaarheid van je organisatie, maar het is geen garantie dat je organisatie al voldoet aan komende wetgeving.
Hoe voer je een securitytest uit?
Bij het uitvoeren van een securitytest kan de handleiding van het Nationaal Cyber Security Centrum (NCSC) gevolgd worden. De handleiding is gericht op opdrachtgevers van securitytesten en kan als leidraad dienen om gestructureerd de securitytest uit te voeren. Het bevat vier stappen:
Stap 1 Bepaal het doel
In de eerste stap bepaal je wat jouw organisatie wil bereiken met het uitvoeren van een securitytest.
Stap 2 Bepaal het middel
Heb je bepaald wat het doel van de test is, dan is de volgende stap om de manier van testen en scope vast te stellen. Dit wordt in een opdrachtomschrijving opgeschreven.
Stap 3 Voer regie over de uitvoering
Als jouw organisatie de securitytest laat uitvoeren door een externe partij, maak dan duidelijke afspraken met deze partij over wat deze partij gaat doen en wat de partij mag doen.
Stap 4 Borg de verbeteringen in jouw organisatie
In de laatste stap worden de uitkomsten van de securitytest geëvalueerd. De verbeterpunten moeten worden besproken en geborgd. Door frequent een test te laten uitvoeren, kan jouw organisatie controleren of de verbeterpunten zijn opgelost. Daarnaast kunnen de resultaten van de toetsing en evaluatie weer input zijn voor de eerstvolgende actualisering van je risicoanalyse.
De NIS2-Quickscan
De NIS2-Quickscan is een tool voor organisaties die willen weten hoe zij zich kunnen voorbereiden. Deze scan is met name bedoeld voor IT- en cybersecurity-specialisten en -verantwoordelijken binnen organisaties. De scan biedt ook handelingsperspectief: per thema worden technische of organisatorische maatregelen voorgesteld die kunnen bijdragen aan de digitale weerbaarheid van organisaties en aan de voorbereiding op de NIS2.
1. Maak een beleidsplan risicoanalyse
NIS2-organisaties moeten een beleid inzake risicoanalyse en beveiliging van informatiesystemen hebben. Een risicoanalyse is een essentiële eerste stap voor het verkrijgen van de nodige inzichten. Je bepaalt ermee welke risico's zwaar drukken en waar beveiligingsmaatregelen het hardst nodig zijn.
2. Personeel, toegangsbeleid en beheer assets
NIS2-organisaties hebben beleid en procedures om de toegang en rechten voor assets zoals apparaten, servers etc. te beschermen. Daarvoor is nodig dat het personeel bewust is van de veilige omgang met de assets. Ook vraagt het beleid op het verstrekken van toegang tot de assets.
3. Maatregelen voor bedrijfscontinuïteit
Langdurige uitval van je primaire bedrijfsprocessen is onacceptabel. Een bedrijfscontinuïteitsplan (BCP) helpt om veerkrachtig te zijn bij onverwachte gebeurtenissen zoals stroomuitval, cyberincidenten en -aanvallen. Ook kun je met zo’n plan de impact van verstoringen op de bedrijfsvoering minimaliseren. Bekijk hoe je dit aanpakt.