NIS2 checklist: Stappenplan voor de nieuwe cyberbeveiligingswet

De vraag naar een praktische NIS2 checklist groeit. Logisch, want de NIS2 richtlijn, in Nederland bekend onder de noemer cyberbeveiligingswet, is een gedetailleerde wet die specifieke eisen stelt aan organisaties. Een volledig plan van aanpak zou dan ook veel inhoudelijke details bevatten. De hoofdlijnen van zo’n plan zijn al terug te vinden in het blog NIS2 stappenplan voor NIS2 en ISO 27001 mapping wat eerder op onze website is gepubliceerd. Toch kunnen er, met het oog op de huidige fase – begin 2025 – nog enkele voorbereidende NIS2 checklist momenten worden toegevoegd. Dit helpt organisaties om proactief stappen te zetten in hun voorbereidingen. Goed om te weten: CertificeringsAdvies Nederland (CAN) biedt een NIS2-ISO 27001 implementatiepakket aan om de transitie naar NIS2-compliance te vergemakkelijken.

Omdat CAN veel advies geeft op het gebied van informatiebeveiliging en daarbij de internationaal erkende norm ISO 27001 hanteert, is het goed om te weten dat de NIS2 richtlijn in grote lijnen dezelfde structuur volgt. Een NIS2 checklist om te bepalen in hoeverre een organisatie klaar is voor NIS2 en hoe urgent de invoering is, zal daarom op detailniveau overlap vertonen met de aanpak binnen ISO 27001. Deze specifieke details zijn bewust niet opgenomen in het bestaande blogartikel van CAN, omdat dit een diepgaandere analyse en nulmeting zou vergen. Toch kunnen enkele aanvullende checklistvoorbeelden nuttig zijn om organisaties inzicht te geven in hun startpunt en gereedheid om te voldoen aan de cyberbeveiligingswet.

Als we het proces in grote lijnen bekijken, beschrijft het stappenplan van CAN wat je moet doen zodra je besluit met NIS2 compliance aan de slag te gaan. Voor een NIS2 checklist zijn echter enkele stappen voorafgaand aan dat besluit minder relevant. Belangrijk om te weten is dat de overheid organisaties ondersteunt bij het bepalen of ze onder de NIS2 richtlijn vallen. Daarbij speelt ook de omvang van het bedrijf een rol:

Dan gelden de NIS2 eisen waarschijnlijk niet voor jou. Dit is een algemene conclusie die nog verfijnd kan worden, want in sommige gevallen kan de regelgeving toch van toepassing zijn. Ben je wél groter dan deze grens? Dan is de volgende vraag: wat moet je doen? De overheid faciliteert deze eerste stap al met de NIS2 zelfevaluatietool, die helpt bij het vaststellen van de plicht om aan NIS2 te voldoen.

De NIS2 zelfevaluatie is beschikbaar op regelhulpenvoorbedrijven.nl, een platform van de Rijksoverheid. Een logische eerste stap in de NIS2 checklist is dan ook om zelf te beoordelen of jouw organisatie onder de cyberbeveiligingswet verplichtingen valt. Kom je er tijdens deze zelfevaluatie achter dat je bepaalde vragen niet goed kunt beantwoorden? Dan is de volgende stap in de checklist om na te gaan of je als organisatie wel in staat bent om dit grondig te evalueren. Blijkt dat niet het geval? Schakel dan een specialist in, zoals een jurist of een expert van CertificeringsAdvies Nederland. Kortom, het begint allemaal met de vraag: Wat moet ik eigenlijk? Daarnaast is het goed om te beseffen dat zelfs als jouw organisatie niet wettelijk verplicht is om aan NIS2 te voldoen, jouw klanten dat mogelijk wél zijn. In dat geval kun je, in het kader van NIS2 ketenverantwoordelijkheid, alsnog de vraag verwachten: Hoe borg jij je cybersecurity?

Omdat jij een schakel bent binnen de keten van je klant, is de vraag “Hoe borg jij je veiligheid?” onvermijdelijk. De NIS2 richtlijn verplicht organisaties om relevante beveiligingsmaatregelen te nemen op basis van een risicoanalyse. NIS2 bepaalt daarbij welke maatregelen relevant zijn, maar het is goed om te weten dat de internationaal erkende norm ISO 27001 hiervoor een sterke basis biedt. Er zijn bovendien veel meer specialisten op het gebied van ISO 27001 dan specifiek voor NIS2, wat het makkelijker maakt om ondersteuning te vinden.

Het is dus, zoals gezegd, slim om eerst de NIS2 zelfevaluatie te doen en vervolgens te onderzoeken welke experts jou kunnen helpen bij ISO 27001 en NIS2 compliance. Dit helpt niet alleen om te voldoen aan wet- en regelgeving, maar versterkt ook je informatiebeveiliging. Daarnaast is de Nederlandse wetgeving rondom NIS2 op dit moment nog niet definitief. De verwachting is dat de cyberbeveiligingswet in Nederland in het derde kwartaal van 2025 in werking zal treden.

Het is dus verstandig om je aan te sluiten bij een partij die je kan informeren over wanneer bepaalde zaken relevant worden en welke keuzes er in Nederland gemaakt moeten worden. Maar misschien ook bij een partij die, omdat NIS2 binnen heel Europa geldt, al ervaring heeft in andere landen en organisaties daar begeleidt bij dit thema.

De eerste stappen van de NIS2 checklist zijn dus eigenlijk:

Kom je tot de conclusie dat je actie moet ondernemen? Dan volgt een stappenplan dat begint met een meer gedetailleerde risicoanalyse. Maar om dit blog praktisch toepasbaar te maken, is het handig om dit nog wat concreter te maken. Als aanvulling op het bestaande stappenplan kun je je voorbereiden op de vragen die je aan je eigen organisatie gaat stellen, evenals de rollen die nodig zijn om deze vragen te beantwoorden. Met andere woorden: hebben we de juiste mensen in huis om dit in de toekomst goed op te pakken?

Deze snelle check vormt een waardevolle aanvulling op het stappenplan dat je eerder via CAN hebt kunnen lezen. De eerste vragen die je stelt, gaan over hoe je de organisatie bestuurt op het gebied van informatiebeveiliging – dus nog niet over de specifieke maatregelen die je zou nemen. Een belangrijk aandachtspunt is bijvoorbeeld of je weet dat bestuursorganen en bestuurders persoonlijk aansprakelijk kunnen worden gesteld als er inbreuken op de informatiebeveiliging plaatsvinden en er onvoldoende maatregelen zijn getroffen. Om deze verantwoordelijkheid goed te kunnen dragen, is het essentieel dat zij over voldoende kennis en training beschikken.

Je moet er dus voor zorgen dat op hoog bestuurlijk niveau de juiste kennis wordt ondergebracht binnen je organisatie. Daarnaast is het belangrijk om na te denken over bedrijfscontinuïteit en crisisbeheer. Dit gaat verder dan wat ISO 27001 voorschrijft. Ook cyberhygiëne speelt hierbij een grote rol – niet alleen als een vast onderdeel van je beveiligingsbeleid, maar vooral als een proactieve strategie om paraatheid te waarborgen.

Deze termen en vereisten gaan verder dan wat binnen ISO 27001 wordt geëist en zullen waarschijnlijk nog verder worden uitgewerkt zodra de Nederlandse wetgever hier definitieve uitspraken over doet. Een ander essentieel punt is het hanteren van zero trust als leidend principe binnen je informatiebeveiliging. Hoewel dit binnen ISO 27001 vaak al wordt toegepast, krijgt het binnen NIS2 explicieter aandacht. Daarnaast moet je niet alleen kijken naar IT-beveiliging, maar ook naar de informatiebeveiliging van OT (Operational Technology). Dit aspect valt niet expliciet binnen de ISO 27001-norm, maar is wel een cruciaal onderdeel van NIS2 compliance.

Je moet de beheersingsketen goed in kaart brengen en actief managen. Dit was altijd al belangrijk, maar wordt binnen NIS2 expliciet benadrukt. Stel jezelf daarom de vraag: beheersen we onze leveranciers van belangrijke IT-componenten wel voldoende? Of werken we nog steeds met bepaalde leveranciers puur omdat ze in het verleden goede producten hebben geleverd?

Daarnaast kan het verstandig zijn om je aan te sluiten bij een CSIRT (Cyber Security Incident Response Team). Ook moet je transparant zijn naar je stakeholders over je beveiligingsmaatregelen. Mocht de Nederlandse overheid in de toekomst besluiten om bepaalde technologieën of certificeringen op het gebied van informatiebeveiliging verplicht te stellen, dan zul je daar ook aan moeten voldoen.

Binnen Nederland speelt hierbij het Forum Standaardisatie een belangrijke rol. Dit forum stelt onder andere de Baseline Informatiebeveiliging Overheid (BIO) vast, die al als norm geldt voor overheidsorganisaties. Het is aannemelijk dat vergelijkbare beveiligingsmaatregelen ook voor andere organisaties een standaardvereiste zullen worden.

Dit zijn enkele belangrijke thema’s om bij stil te staan in de voorbereiding op de vraag: gaan we dit traject zelf in, of hebben we hier een partner bij nodig?

Een concreet voorbeeld van beheersmaatregelen die NIS2 expliciet vereist – en die normaal gesproken via een nulmeting veel gedetailleerder geanalyseerd zouden worden als je dit traject met een specialist zoals CAN ingaat – is het beheer van activa. Wat NIS2 als activa aanduidt, wordt binnen ISO 37001 ‘middelen’ genoemd.

Simpel gezegd gaat het om al je IT-middelen waarop gegevens staan of waarmee data wordt verwerkt. Dit betekent dat je een duidelijke inventaris moet hebben van wat je hebt, waar het zich bevindt en hoe je het beveiligt. Denk hierbij niet alleen aan cloudtoepassingen, maar ook aan laptops, servers en andere hardware, ongeacht of deze fysiek aanwezig zijn of als virtuele machines draaien.

Je moet nadenken over hoe je informatie communiceert en of je daarbij gebruikmaakt van ADES baseline profiles. Je moet daarbij denken aan:

Ook is toezicht en controle essentieel. Dit kan door middel van interne audits en externe audits volgens ISO 27001, maar ook via technische validaties, zoals PEN-tests. Verder moet je ervoor zorgen dat je systemen altijd up-to-date zijn. Dit betekent niet alleen het correct uitvoeren van software- en hardware-updates, maar ook het voorkomen van kwetsbaarheden. Dit doe je door alert te zijn op nieuwe beveiligingsrisico’s binnen de IT-gemeenschap. Zodra er een kwetsbaarheid bekend wordt in een technologie die jij gebruikt, moet je de juiste maatregelen nemen om dit risico te minimaliseren. Zo dien je ervoor te zorgen dat je gegevens voldoende worden geback-upt. Je moet ook vooraf bepalen hoe software geïnstalleerd wordt op gebruikersapparaten en in je operationele omgeving, op servers bijvoorbeeld.

Je moet, in lijn met de terminologie van NIS2, rekening houden met de specifieke kwetsbaarheden van elke rechtstreekse leverancier en dienstverlener. Daarnaast is het van belang om ook te kijken naar de algemene kwaliteit van hun producten en hun cyberbeveiligingspraktijken, inclusief veilige ontwikkelingsprocedures. Dit geldt met name voor software- en systeemontwikkeling, zoals eerder besproken.

Met andere woorden: je moet ervoor zorgen dat binnen jouw organisatie de juiste mensen aanwezig zijn om dit goed te beoordelen. Dit is een essentieel onderdeel van je NIS2 checklist.

Als je dit aan de voorkant goed hebt geregeld, kun je aan de slag met het stappenplan. In de taal van ISO 27001 betekent dit dat je jezelf de volgende vragen stelt:

Vervolgens moet je een behandelmethodiek introduceren, zodat je aantoonbaar kunt maken dat je deze stappen hebt doorlopen én dat je hier in de toekomst actief bij stilstaat.

In feite komt dit neer op het implementeren van een ISO 27001 managementsysteem (ISMS) als je wilt vaststellen of je organisatie écht veilig is of niet. Maar ook nadat je dit hebt ingericht, blijft het belangrijk om de ontwikkelingen in Nederland op het gebied van wetgeving en voorgeschreven technologieën te blijven volgen. Informatiebeveiliging is immers geen statisch vakgebied!

Dit vormt de aanvullende checklist op het stappenplan voor het NIS2-ISO 27001 implementatiepakket van CertificeringsAdvies Nederland. Wil je meer informatie, specifiek voor jouw organisatie, in het kader van NIS2? Of wil je aan de slag met NIS2 compliance? Neem dan gerust contact met ons. Onze adviseurs helpen je graag verder.