NIS2 checklist

NIS2 checklist. NIS 2 is de nieuwe Europese richtlijn voor netwerk- en informatiebeveiliging en is van groot belang voor organisaties die essentiële en belangrijke diensten leveren. Deze richtlijn richt zich op het versterken van de cyberweerbaarheid en het verbeteren van de samenwerking tussen EU-lidstaten op het gebied van digitale beveiliging. Voor bedrijven die al werken met ISO 27001 biedt dit een solide basis, omdat deze norm een uitgebreid raamwerk van beheersmaatregelen biedt voor informatiebeveiliging. Een NIS2 checklist kan grotendeels aansluiten bij de bestaande structuren van ISO 27001, waardoor bedrijven niet vanaf nul hoeven te beginnen. Door de controlemaatregelen van ISO 27001 te volgen, kunnen organisaties voldoen aan veel van de eisen die NIS2 stelt, zoals risicobeheer, incidentrespons en continue monitoring. Toch vereist NIS2 aanvullende aandachtspunten, zoals strengere rapportageverplichtingen en een bredere reikwijdte van organisaties die onder de richtlijn vallen. Het opstellen van een NIS2 checklist helpt bedrijven om systematisch te controleren of ze voldoen aan de nieuwe vereisten en waar nog verbeteringen nodig zijn. Daarnaast kunnen organisaties door een overlap tussen NIS2 en ISO 27001 efficiënter werken, zonder dubbele inspanningen te leveren. Het gebruik van een geïntegreerde aanpak zorgt ervoor dat compliance niet alleen een administratieve last is, maar bijdraagt aan een robuustere beveiligingsstrategie. Daarom is het verstandig om bij de implementatie van NIS2 de principes van ISO 27001 als leidraad te nemen en een praktische NIS2 checklist te hanteren.

Wat is NIS2

De NIS2-richtlijn (Network and Information Security 2, opvolger van NIS1) is vastgesteld door de Europese Unie om de cybersecurity en digitale weerbaarheid in EU-lidstaten te versterken. NIS2 gaat verder dan zijn voorganger: meer sectoren, strengere beveiligingsnormen en meldingsvereisten voor incidenten. Zorg- en meldplicht is een belangrijk element. Vanaf 2024 treedt deze richtlijn als wetgeving in werking.

Onze business partner Quality-in-Motion heeft alles netjes toegelicht:

NIS2 uitgelegd
NIS2 per hoofdstuk
Stapsgewijze implementatie NIS2 voor OES-en (Operators van ESsentiële diensten)
Stapsgewijze implementatie NIS2 voor digitale dienstverleners

Wat is ISO27001

ISO 27001 is een wereldwijd erkende norm op het gebied van informatiebeveiliging. De norm beschrijft hoe procesmatig met het beveiligen van informatie kan worden omgaan, met als doel om de vertrouwelijkheid, beschikbaarheid en integriteit van informatie binnen de eigen organisatie zeker te stellen. Deze ISO 27001 norm bevat een stelsel van beheersmaatregelen om de cybersecurity en privacybescherming naar een hoger niveau te brengen.

NIS2 en ISO27001 - overeenkomsten en verschillen

Is de IT-omgeving ingericht conform ISO27001 dan is er al een belangrijke stap gemaakt. Er is een informatiebeveiligingsbeleid, logische toegangbeveiliging is ingeregeld, medewerkers zijn bewust van informatiebeveiligingsrisico's, een proces voor incidentmanagement is geïmplementeerd etc. Er is zo al een voorsprong op de NIS2, helemaal als het ISO 27001 managementsysteem is gecertificeerd.
Wel zijn er enkele verschillen. Er is zorgplicht en meldplicht van significante cyberincidenten. Ook staat de organisatie onder toezicht van een bevoegde instantie.

NIS2 checklist - verplichtingen

De maatregelen die moeten worden genomen om aan de zorgplicht van NIS2 te voldoen:

Een risicoanalyse en beveiliging van informatiesystemen
(Beleid en procedures over) incidentenbehandeling
Maatregelen op het gebied van bedrijfscontinuïteit, zoals back-upbeheer en noodvoorzieningenplannen
Beveiliging van de toeleveranciersketen
Beveiliging bij het verwerken, ontwikkelen en onderhouden van netwerk- en informatiesystemen, inclusief de respons op en bekendmaking van kwetsbaarheden
Beleid en procedures om de effectiviteit van beheersmaatregelen van cyberbeveiligingsrisico’s te beoordelen
Basis cyberhygiëne en trainingen op het gebied van cyberbeveiliging
Beleid en procedures over het gebruik van cryptografie en encryptie
Beveiligingsaspecten op het gebied van personeel, toegangsbeleid en beheer van activa
Het gebruik van multifactor-authenticatie, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen binnen de entiteit

ISO27001 Annex A

Naast de risicoanalyse die een integraal onderdeel vormt van deze managementsysteem-norm, zijn een groot aantal aanvullende maatregelen van toepassing, de zogenaamde Annex A. Deze zijn veel meeromvattend dan de hierboven aangegeven NIS2 verplichtingen.

5 Organisatorische maatregelen

5.1 Beleid voor informatiebeveiliging

5.2 Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging

5.3 Functiescheiding

5.4 Beheersverantwoordelijkheden

5.5 Contact met autoriteiten

5.6 Contact met speciale belangengroepen

5.7 Bedreigingsinformatie

5.8 Informatiebeveiliging in projectmanagement

5.9 Inventarisatie van informatie en andere bijbehorende assets

5.10 Aanvaardbaar gebruik van informatie en andere bijbehorende assets

5.11 Teruggave van assets

5.12 Classificatie van informatie

5.13 Labellen van informatie

5.14 Informatieoverdracht

5.15 Toegangsbeveiliging

5.16 Identiteitsbeheer

5.17 Authenticatie-informatie

5.18 Toegangsrechten

5.19 Informatiebeveiliging in leveranciersrelaties

5.20 Aanpak informatiebeveiliging binnen leveranciersovereenkomsten

5.21 Beheer van informatiebeveiliging in de ICT-toeleveringsketen

5.22 Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten

5.23 Informatiebeveiliging bij het gebruik van cloud diensten

5.24 Planning en voorbereiding van informatiebeveiligingsincidenten

5.25 Beoordeling en besluit over informatiebeveiligingsgebeurtenissen

5.26 Reactie op informatiebeveiligingsincidenten

5.27 Leren van informatiebeveiligingsincidenten

5.28 Verzameling van bewijs

5.29 Informatiebeveiliging tijdens verstoring

5.30 ICT-gereedheid voor bedrijfscontinuïteit

5.31 Identificatie van wettelijke, statutaire, regelgevende en contractuele vereisten

5.32 Intellectuele eigendomsrechten

5.33 Gegevensbescherming

5.34 Privacy en bescherming van PII

5.35 Onafhankelijke beoordeling van informatiebeveiliging

5.36 Naleving van beleidslijnen en normen voor informatiebeveiliging

5.37 Gedocumenteerde bedieningsprocedures

6. Maatregelen tav mensen

6.1 Screening

6.2 Arbeidsvoorwaarden

6.3 Bewustwording, opleiding en training op het gebied van informatiebeveiliging

6.4 Disciplinair proces

6.5 Verantwoordelijkheden na beëindiging of verandering van dienstverband

6.6 Geheimhoudings- of geheimhoudingsovereenkomsten

6.7 Werken op afstand

6.8 Rapportage van informatiebeveiligingsgebeurtenissen

7. Fysieke maatregelen

7.1 Fysieke beveiligingszone

7.2 Fysieke toegangscontroles

7.3 Beveiligen van kantoren, kamers en faciliteiten

7.4 Fysieke beveiligingsmonitoring

7.5 Bescherming tegen fysieke en omgevingsbedreigingen

7.6 Werken in beveiligde ruimtes

7.7 Clear desk, clear screen

7.8 Plaatsing en bescherming van de uitrusting

7.9 Beveiliging van assets buiten de bedrijfsruimten

7.10 Opslagmedia

7.11 Ondersteunende systemen

7.12 Bekabelingbeveiliging

7.13 Onderhoud van de apparatuur

7.14 Veilige verwijdering of hergebruik van apparatuur

8. Technische maatregelen

8.1 Eindgebruikers apparatuur

8.2 Speciale toegangsrechten

8.3 Beperking van toegang tot informatie

8.4 Toegang tot broncode

8.5 Beveiligde authenticatie

8.6 Capaciteitsbeheer

8.7 Bescherming tegen malware

8.8 Beheer van technische kwetsbaarheden

8.9 Configuratiebeheer

8.10 Informatie verwijderen

8.11 Gegevensmaskering

8.12 Preventie van datalekken

8.13 Informatie back-up

8.14 Redundantie van informatieverwerkingsfaciliteiten

8.15 Loggen

8.16 Bewaking van activiteiten

8.17 Kloksynchronisatie

8.18 Gebruik van geprivilegieerde hulpprogramma's

8.19 Installatie van software op operationele systemen

8.20 Netwerkbediening

8.21 Beveiliging van netwerkdiensten

8.22 Segregatie in netwerken

8.23 Webfiltering

8.24 Gebruik van cryptografie

8.25 Veilige ontwikkelingslevenscyclus

8.26 Beveiligingsvereisten voor toepassingen

8.27 Veilige systeemarchitectuur en engineeringprincipes

8.28 Veilig programmeren

8.29 Beveiligingstesten in ontwikkeling en acceptatie

8.30 Uitbestede ontwikkeling

8.31 Scheiding van ontwikkel-, test- en productieomgevingen

8.32 Wijzigingsbeheer

8.33 Testinformatie

8.34 Bescherming van informatiesystemen tijdens audit en testen

ISMS voor ISO27001, praktisch voorbeeld

Ook al zet je een ISO 27001 managementsysteem als cloudoplossing in 60 sekonden klaar, stapsgewijs toewerken naar een geïmplementeerd en certificeerbaar ISMS vereist de noodzakelijke aandacht. Hieronder een voorbeeld basisopzet van een ISMS - Information Security Management System. Voor de vereiste 'controls' (maatregelen) hebben weer onze business partner Meta-audit.nl met enkele overzichten en de verplichte documenten. (Voor hun digitale lijstje of starterspakket, klik dan hier.) Hun kennis is verwerkt in onderstaande demo-omgevingen. 'Beter goed geleend dan slecht bedacht' .... :=)

Één managementsysteem

Één managementsysteem platform.
Kwaliteit, veiligheid, milieu, informatiebeveiliging, .... Een geïntegreerde omgeving voor de beschreven processen, de risico-analyse met beheersmaatregelen, alle workflow processen en 'last but not least' de prestaties in een dashboard.
Alles samen te stellen als 'bouwblokken'.

Meer over het platform

Start nu je gratis proefperiode

Wij hebben geen 'glimmende folders'. Ga meteen zelf achter de knoppen zitten en ervaar het gemak, overzicht en de productiviteitsverbetering.
Wij helpen je online en verrijken je met de ervaring en 'best practices' van andere gebruikers.

Start Nu