Hoe kan uw organisatie zich voorbereiden?

Om uw organisatie voor te bereiden op de Wet weerbaarheid kritieke entiteiten en de Cyberbeveiligingswet die voortkomen uit de CER- en NIS2-richtlijnen is het nodig om zo snel mogelijk te starten met de volgende maatregelen:

  1. Maak een risicoanalyse van de fysieke en digitale dreigingen die de dienstverlening van uw organisatie kunnen verstoren.
  2. Neem waar mogelijk maatregelen die uw organisatie (beter) beschermen tegen deze risico’s.
  3. Zorg voor procedures die uw organisatie in staat stellen om incidenten die bedrijfsprocessen (kunnen) verstoren te detecteren, monitoren, op te lossen en te melden.

Deze pagina biedt meer informatie over de wijze waarop deze drie stappen gezet kunnen worden.

1. Maak een risicoanalyse van fysieke en digitale dreigingen

Digitale en fysieke dreigingen kunnen grote risico’s met zich meebrengen voor de continuïteit van de dienstverlening die uw organisatie levert. Daarom is het van belang om de weerbaarheid op orde te hebben. Dat begint bij te weten welke fysieke en digitale dreigingen een risico vormen voor uw organisatie en in welke mate zij uw bedrijfsprocessen zouden kunnen verstoren. Om dat inzicht te krijgen, moet een risicoanalyse gemaakt worden.

Nadat de risico’s in kaart zijn gebracht, is een beoordeling van de risico’s nodig, zodat uw organisatie passende maatregelen kan nemen. Deze afweging kunt u maken door de volgende vragen te stellen:

  • Welke fysieke en digitale risico’s zijn relevant voor uw organisatie omdat ze de continuïteit van de dienstverlening zouden kunnen verstoren? Voor het in kaart brengen van risico’s kan onder meer gebruik worden gemaakt van de Rijksbrede Risicoanalyse, die laat zien welke dreigingen onze samenleving kunnen ontwrichten.
     
  • Wat zijn de kroonjuwelen of te beschermen belangen van de organisatie? Door in kaart te brengen welke zaken voor uw organisatie en dienstverlening van groot of minder groot belang zijn, kunt u de afweging maken voor welke risico’s maatregelen genomen moeten om die belangen te beschermen.
     
  • Welke maatregelen heeft uw organisatie (al) genomen om de belangen te beschermen tegen de risico’s? Door deze vraag te beantwoorden brengt u de weerbaarheid van uw organisatie in kaart. De weerbaarheid is het vermogen van uw organisatie om verstoringen te voorkomen, erop te anticiperen, zich erop aan te passen, er snel van te herstellen en ervan te leren.

Tijdens het beantwoorden de bovenstaande drie vragen kan het helpen om te werken met scenario’s. Via scenario’s kan onderzocht worden op welke verschillende manieren de risico’s de belangen kunnen raken en schaden, zodat per scenario bedacht kan worden welke maatregelen nodig zijn om de weerbaarheid te verbeteren.

Via de onderstaande links vindt u meer informatie, tips en adviezen die kunnen helpen bij het analyseren en beoordelen van digitale risico’s.

2. Neem maatregelen om de weerbaarheid van uw organisatie te versterken of neem maatregelen die uw organisatie (beter) beschermen tegen deze risico’s

Nadat de risico’s in kaart zijn gebracht, kan uw organisatie waar mogelijk passende maatregelen nemen om de weerbaarheid te versterken.

Het antwoord op de vraag welke maatregelen uw organisatie moet nemen, is uiteraard maatwerk en afhankelijk van uw eigen analyse en beoordeling van de risico’s die uw organisatie loopt. Organisaties kunnen in ieder geval denken aan de volgende maatregelen:

  • Opstellen van bedrijfscontinuïteitplannen en crisisbeheersingsprotocollen: Om de gevolgen van incidenten te beperken is de aanwezigheid van risico- en crisisbeheersingsprocedures en waarschuwingsroutines noodzakelijk.
  • Het identificeren van alternatieve toeleveranciers: Het kan zijn dat een organisatie voor zijn dienstverlening afhankelijk is van andere organisaties. Het is daarom van belang om alternatieve toeleveranciers in de keten te identificeren, zodat de continuïteit van de dienstverlening niet verstoord wordt indien een toeleverancier (tijdelijk) uitvalt.
  • Het vergroten van bewustwording onder het personeel: Organisaties kunnen alvast identificeren welke personeelsleden kritieke functies vervullen binnen de organisatie, om ze vervolgens bewust te maken van de risico’s en veiligheidsmaatregelen.

Wat betreft bewustwording van personeel op het gebied van digitale weerbaarheid, is er meer informatie te vinden op de pagina ‘Cyberbewustwording’ van het Digital Trust Center (DTC). 

Als het gaat om digitale risico’s dan schrijven het Nationaal Cyber Security Centrum (NCSC) en het Digital Trust Center (DTC) beide maatregelen voor die organisaties kunnen implementeren om zich beter te beschermen tegen risico’s en schade door cyberaanvallen. 

Maatregelen zoals:

  • Voor organisaties die onder de Cyberbeveiligingswet vallen, heeft het Digital Trust Center de 10 zorgplichtmaatregelen die voortkomen uit de NIS2-richtlijn, op een rij gezet via het NIS2 Startpunt. Deze informatie kunt u gebruiken om uw organisatie alvast voor te bereiden op de Cyberbeveiligingswet.
  • Het 5 stappenplan van het Digital Trust Center geeft houvast hoe je een businesscontinuïteitsplan opstelt.
  • Maak contractuele afspraken met je toeleveranciers en IT-dienstverleners over maatregelen om de ketenrisico's te beheersen.
  • Voor het in kaart brengen van je keten en de alternatieven heeft het Digital Trust Center een handig in te vullen template (.pdf) ontwikkeld.

Zie ook de basismaatregelen en het uitgebreide stappenplan vanuit het NCSC.

3. Zorg ervoor dat er procedures zijn die uw organisatie in staat stellen om incidenten die de dienstverlening (kunnen) verstoren te detecteren, monitoren, op te lossen en melden bij de Rijksoverheid

Organisaties die straks onder de wetgeving vallen zijn verplicht om incidenten te melden. Factoren die een incident meldingsplichtig maken zijn bijvoorbeeld de duur van een incident of het aantal personen dat door het incident getroffen wordt.

De eisen van de meldplicht zullen in de bedrijfsprocessen verankerd moeten worden. Het opstellen van een incident response plan kan hierbij helpen. Lees op de website van het DTC hoe u een response plan opstelt t.a.v. digitale incidenten.

Meer informatie over hoe u de detectie van digitale incidenten inricht vindt u op de website van het NCSC. Detectie is de aanpak om met technische middelen zicht te krijgen op de dreigingen als gevolg van deze activiteiten. Via detectie ontstaat er een duidelijk beeld van een incident. Ook kunnen beveiligingsmaatregelen via detectie worden aangescherpt.

Moet mijn organisatie straks aan de nieuwe wetgeving voldoen?

Indien u wilt weten of uw organisatie aan de wetgeving moet voldoen, dan kunt u hier meer informatie vinden, waaronder een vragenlijst waarmee u zelf kunt evalueren of uw organisatie onder de NIS2-richtlijn valt.

Wat betekent het als mijn organisaties onder de nieuwe wetgeving valt?

U kunt hier meer informatie vinden over rechten en plichten die zijn beschreven in de CER- en NIS2-richtlijnen en die momenteel worden omgezet naar nationale wetgeving: de Wet weerbaarheid kritieke entiteiten en de Cyberbeveiligingswet.