Want serieuze organisaties moeten hun zaakjes gewoon op orde hebben. Punt. NIS2 geeft ‘slechts’ handvatten om alle procedures rondom cyberbeveiliging goed vast te leggen. En dat wil je sowieso geregeld hebben.
Maar goed, laten we eerlijk zijn: de NIS2-richtlijn omvat veel technische en juridische blabla.
In de basis gaat het om 10 gouden regels, die ik de komende tijd even in begrijpelijke taal ga uitleggen.
Laten we voor de verandering maar eens beginnen bij het begin.
NIS2 regel 1: Beleid inzake risicoanalyse en beveiliging van informatiesystemen
Dat kunnen we verdelen in twee aandachtspunten:
1️⃣ Beleid
👉 Maak hierin een splitsing tussen strategisch- en operationeel beleid
👉 Het strategisch beleid komt van het MT en beschrijft op hoofdlijnen de visie van de organisatie op IT en security. Denk hierbij aan IT-diensten per locatie, AVG en Privacy, interne IT-beveiliging en wat te doen met zelf meegebrachte devices.
👉In het operationeel beleid staat vastgelegd hoe dit strategisch beleid technisch wordt uitgevoerd
👉Dit kan gewoon bondig op een A4’tje of vastgelegd in een centraal systeem
2️⃣ Risicoanalyse
👉Dit is een dynamisch document of systeem dat steeds opnieuw wordt getoetst wanneer de situatie in of buiten de organisatie verandert
👉Een veelgebruikte methode is de FMEA-aanpak (Failure Mode and Effects Analysis).
👉Hiermee komen alle risico’s netjes onder elkaar te staan in een overzicht met daarbij de score en impact om zo inzichtelijk te maken waar jullie securityuitdagingen liggen
Heb jij dit al op orde?
—
Zie je het belang hiervan in, maar zie je het niet zitten met een leeg vel papier te beginnen? Wij hebben voor MSP’s maar ook voor eindgebruikers een mooi systeem ontwikkeld binnen SharePoint. Kijk even op smiletools.nl onder het kopje Cyberdesk.
hashtag#nis2 hashtag#cybersecurity hashtag#cyberdesk
Meer artikelen
PETER VAN LENT
Directeur