19 maa
De Europese richtlijn NIS2, de opvolger van de bestaande NIS (Network and Information Security Directive), gaat gelden voor een groter aantal sectoren. In Nederland zullen ongeveer 10.000 bedrijven en organisaties moeten gaan voldoen aan de NIS2-richtlijn, omdat ze als belangrijke of essentiële entiteit worden aangemerkt. De kring van organisaties die als leverancier hiermee te maken krijgt, is echter vele malen groter. Voor de hele keten moet de digitale veiligheid immers inzichtelijk worden gemaakt, en dat betekent dat leveranciers en partners ook hun cybersecurity en informatiebeveiliging aantoonbaar op orde moeten hebben. Wie geen concurrentienadeel wil oplopen, moet op tijd aan de bak. Onder andere met het regelen van een goede incident response.
Bij ThreadStone komen wij nog vaak tegen dat organisaties denken dat een goede back-up afdoende is: ‘We zetten alles gewoon weer terug na een cyberaanval of datadiefstal.’ Maar de praktijk is complexer en weerbarstiger. Moet je een incident melden, en zo ja: waar? Moet je onderhandelen met hackers en zo ja: hoe doe je dat? Wat zijn de juridische consequenties? Welke klanten en andere belanghebbenden moet je informeren? Hoe beperk je de schade, voor de organisatie maar ook voor mogelijk getroffen derden, zoals klanten of leveranciers? Hoe communiceer je in een dergelijke situatie als jouw organisatie inmiddels landelijke bekendheid geniet?
Een plan voor incident response moet in ieder geval de volgende elementen bevatten:
- risicoanalyse;
- mogelijke scenario’s;
- taken en verantwoordelijkheden;
- instellen van een meldpunt;
- delen van het plan;
- oefenen en evalueren.
Een gedegen plan voor incident response biedt niet alleen houvast in de hectiek van het moment, het is ook een van de manieren om aan leveranciers aan te kunnen tonen dat uw organisatie ‘in control’ is. Bij ThreadStone krijgen we steeds vaker de vraag of wij kunnen helpen om zo’n plan op te stellen of te controleren. Natuurlijk doen we dat graag. Wij hanteren daarbij de meest actuele richtlijnen en adviezen, onder meer van het Digital Trust Center (DTC) en het National Cyber Security Center (NCSC), om aan te sluiten bij de eisen van de aankomende NIS2.
ThreadStone werkt ook mee aan Samen Digitaal Veilig, een initiatief van MKB Nederland in het kader van NIS2. Op de website https://www.samendigitaalveilig.nl/ is meer nuttige informatie te vinden.