Skip to main content

Het is weer een hele mond vol, dit NIS2-gebod

Geschreven door admin op . Gepost in CyberDesk, Cybersecurity, De 10 geboden van de NIS2.

“Beveiliging bij het verwerken, ontwikkelen en onderhouden van netwerk- en informatiesystemen, inclusief de respons op en bekendmaking van kwetsbaarheden.”

Maar wat bedoelen ze nou eigenlijk?

Ze hebben het hier over je totale IT-omgeving. Denk aan het WiFi-netwerk, Microsoft/Google-applicaties, e-mail, documentopslag, CRM, ERP en boekhoudsysteem, maar ook hardware zoals laptops en printers.

Volgens NIS2 moet je heel helder hebben hoe je deze systemen beheert, beveiligt en monitort.

Dus je moet weten (en vastleggen):
✅ Wanneer je updates doorvoert en hoe
✅ Of je een testomgeving moet maken waarin je updates uittest, of dat dit niet nodig is
✅ Waar de kwetsbaarheden in je systemen zitten
✅ Hoe je signaleert dat er iets misgaat
✅ En hoe je dit vervolgens naar buiten communiceert

Een paar pro-tips (vraag eventueel aan je IT-partner):
👉🏻Zorg dat je patchbeheer op orde is
👉🏻Plan maandelijks overleg omtrent patchstatus, firewall, incidenten, escalaties, noodmaatregelen
👉🏻Regel je de virusscan en webbescherming
👉🏻Zorg dat alles terug te vinden is in rapportages met KPI’s
👉🏻Beveilig je IT-documentatie goed
👉🏻Vervang apparaten die niet meer ondersteund worden

Heb jij dit al op orde?

hashtag#nis2 hashtag#cybersecurity hashtag#cyberdesk
—–
Zie je het belang hiervan in, maar zie je het niet zitten met een leeg vel papier te beginnen? Wij hebben voor MSP’s maar ook voor eindgebruikers een mooi systeem ontwikkeld binnen SharePoint. Kijk even op smiletools.nl onder het kopje Cyberdesk.

Dit is een van de grootste blinde vlekken als het gaat om cybersecurity

Geschreven door admin op . Gepost in CyberDesk, De 10 geboden van de NIS2.

De beveiliging van de toeleveringsketen.

Of het nu gaat om grondstoffen voor het productie- of primaire proces, of om machineonderdelen, services, laptops, ERP, CRM, boekhouding, trainingen, materialen, gereedschap, enzovoort: elke organisatie heeft veel leveranciers.

Zij hebben op hun beurt ook weer veel leveranciers, waardoor de totale supply chain groot is. En daarmee flink kwetsbaar.

Iedere hapering, afwijking of vertraging bij één van de leveranciers in de supply chain, leidt direct tot problemen in je eigen organisatie.

Beheersing van de supply chain is daarom essentieel. Zo ook volgens – onder meer – de NIS2.

Een paar tips:

✅ Maak een compleet overzicht/register van jullie leveranciers
✅ Voeg hieraan alle contracten, certificaten en verwerkersovereenkomsten toe
✅ Zorg voor goede evaluaties van deze leveranciers: gaan zij (nog steeds) op de gewenste manier om met persoonsgegevens?

Aantonen dat je hier grip op hebt, is een hele belangrijke eerste stap. Heb jij ‘m al gezet?



Zie je het belang hiervan in, maar zie je het niet zitten met een leeg vel papier te beginnen? Wij hebben voor MSP’s maar ook voor eindgebruikers een mooi systeem ontwikkeld binnen SharePoint. Kijk even op smiletools.nl onder het kopje Cyberdesk.

hashtag#nis2 hashtag#cybersecurity hashtag#cyberdesk

Back-uppen & noodvoorzieningen like a NIS2-pro, doe je zo

Geschreven door admin op . Gepost in Cybersecurity, De 10 geboden van de NIS2.

Natuurlijk zet je alles op alles om ervoor te zorgen dat er geen incidenten zijn. Maar het is naïef om te denken dat je alles 100% kan afdichten.

NIS2 heeft dan ook als een van de uitgangspunten: ‘maatregelen op het gebied van bedrijfscontinuïteit zoals back-upvoorzieningen en noodvoorzieningsplannen.’

Een paar praktische tips om dit goed aan te vliegen:

👉🏻 Bedenk van welke data back-ups noodzakelijk zijn en hoelang je deze moet bewaren.

👉🏻 Test regelmatig het terugzetten van de back-ups, zodat je zeker weet dat alles goed werkt wanneer het nodig is.

👉🏻 Werk volgens de 3-2-1 regel. Hierbij heb je drie versies van de data: je productiedata en twee back-ups.

Twee hiervan moeten op verschillende manieren zijn opgeslagen (bijv. verschillende fysieke harde schijven) en één kopie moet op op een andere locatie worden bewaard.

👉🏻 Beperk de toegang tot de back-ups. Denk hierbij aan de toegangsrechten, maar overweeg ook het versleutelen van de back-up.

👉🏻 Denk goed na over de Recovery Time Objective (RTO), oftewel hoelang het kan (of mag) duren om de situatie vanuit de back-up of een failover-systeem weer online te krijgen.

👉🏻 Vergeet ook niet de Recovery Point Objective (RPO): de hoeveel data die verloren kan (of mag) gaan bij een disaster. Meestal is het maximum de interval tussen back-up, replicatie of synchronisatie. Toch kunt je hiermee voor verrassingen komen te staan.

Trust me, een goede back-up maakt alle verschil bij een incident.


Zie je het belang hiervan in, maar zie je het niet zitten met een leeg vel papier te beginnen? Wij hebben voor MSP’s maar ook voor eindgebruikers een mooi systeem ontwikkeld binnen SharePoint. Kijk even op smiletools.nl onder het kopje Cyberdesk.

hashtag#nis2 hashtag#cybersecurity hashtag#cyberdesk

Lekker NIS2-procedures uitwerken, zin in! Said no one ever.. 😎

Geschreven door admin op . Gepost in Cybersecurity, De 10 geboden van de NIS2.

Het is vaak saai en geestdodend werk, ideaal om keer op keer (op keer) uit te stellen. Want ja, meestal worden de procedures in de praktijk nooit gebruikt.

Maar geloof me, áls er dan een keer een serieuze hack is, dan heb je de bibbers in je benen en weet je prompt niet meer wie je moet bellen voor hulp.

En hou jij het hoofd altijd koel? Dan zul je net zien dat er een incident is als jij op vakantie bent. En dan zijn het je collega’s die staan te trillen als een rietje en werkelijk geen idee hebben wat ze moeten doen.

Terwijl snel handelen, echt key is.

Een van de tien geboden van NIS2 is dan ook: Beleid en procedures incidentenafhandeling.

Heel belangrijk dus. Maar wat moet je nou precies doen?

Beschrijf heel praktisch wat jullie organisatie moet doen in het geval van een specifieke situatie.

Deze procedures mogen in ieder geval niet ontbreken:
✅ Wat te doen bij in- en uitdiensttreding van personeel
✅Wat te doen bij een security incident
✅Wat te doen bij een datalek
✅Wat te doen bij een virusuitbraak
✅Wat te doen bij een malware/ransomware aanval
✅Wat te doen bij een firewallmelding
✅Wat te doen bij een vermiste telefoon-laptop
✅Wat te doen bij websitehack
✅Wat te doen bij de uitval van een primair systeem

En zo mogelijk nog belangrijker: test je procedures regelmatig!! In mijn bijna 40 jaar als IT-deskundige ben ik vaak bij slachtoffers geweest die trouw back-ups maakten, maar toen de nood aan de man was, bleek dat toevallig de belangrijkste mappen ontbraken in de back-up.

Test dus altijd de volgende procedures:
👉 Restore
👉Archivering
👉Disaster Recovery
👉Hulplijnen

Vergeet ook niet om de procedures dynamisch te houden. De betrokken personen of partijen kunnen veranderen, net als de vorm van de calamiteit.

Stel daarom iemand aan binnen de organisatie die verantwoordelijk is voor de updates van de procedures. Succes!



Zie je het belang hiervan in, maar zie je het niet zitten met een leeg vel papier te beginnen? Wij hebben voor MSP’s maar ook voor eindgebruikers een mooi systeem ontwikkeld binnen SharePoint. Kijk even op smiletools.nl onder het kopje Cyberdesk.

hashtag#nis2 hashtag#cybersecurity hashtag#cyberdesk

Het maakt eigenlijk geen klap uit of NIS2 geldt voor jouw bedrijf

Geschreven door admin op . Gepost in Cybersecurity, De 10 geboden van de NIS2.

Want serieuze organisaties moeten hun zaakjes gewoon op orde hebben. Punt. NIS2 geeft ‘slechts’ handvatten om alle procedures rondom cyberbeveiliging goed vast te leggen. En dat wil je sowieso geregeld hebben.

Maar goed, laten we eerlijk zijn: de NIS2-richtlijn omvat veel technische en juridische blabla.

In de basis gaat het om 10 gouden regels, die ik de komende tijd even in begrijpelijke taal ga uitleggen.

Laten we voor de verandering maar eens beginnen bij het begin.

NIS2 regel 1: Beleid inzake risicoanalyse en beveiliging van informatiesystemen

Dat kunnen we verdelen in twee aandachtspunten:

1️⃣ Beleid

👉 Maak hierin een splitsing tussen strategisch- en operationeel beleid
👉 Het strategisch beleid komt van het MT en beschrijft op hoofdlijnen de visie van de organisatie op IT en security. Denk hierbij aan IT-diensten per locatie, AVG en Privacy, interne IT-beveiliging en wat te doen met zelf meegebrachte devices.
👉In het operationeel beleid staat vastgelegd hoe dit strategisch beleid technisch wordt uitgevoerd
👉Dit kan gewoon bondig op een A4’tje of vastgelegd in een centraal systeem


2️⃣ Risicoanalyse

👉Dit is een dynamisch document of systeem dat steeds opnieuw wordt getoetst wanneer de situatie in of buiten de organisatie verandert
👉Een veelgebruikte methode is de FMEA-aanpak (Failure Mode and Effects Analysis).
👉Hiermee komen alle risico’s netjes onder elkaar te staan in een overzicht met daarbij de score en impact om zo inzichtelijk te maken waar jullie securityuitdagingen liggen

Heb jij dit al op orde?


Zie je het belang hiervan in, maar zie je het niet zitten met een leeg vel papier te beginnen? Wij hebben voor MSP’s maar ook voor eindgebruikers een mooi systeem ontwikkeld binnen SharePoint. Kijk even op smiletools.nl onder het kopje Cyberdesk.

hashtag#nis2 hashtag#cybersecurity hashtag#cyberdesk