Update

Het Cybersecurity Dreigingsbeeld en advies rapport is uit! Download hem hier.

Lees verder

Gecancelled: Webinar: “NEN7510 – Eenvoudig van start zonder belemmeringen!

Gecancelled door onvoorziene omstandigheden. Onze excuses!

NEN7510 vaak de “Sta-in-de-weg” voor zorgaanbieders. Veel zorginstellingen weten best wel dat ze moeten voldoen aan de NEN7510. Echter wat ze niet weten of beseffen is dat in de wet; Besluit elektronische gegevensverwerking door zorgaanbieders staat dat een zorgaanbieder dit moet kunnen aantonen door een onafhankelijk audit rapport.

Als je nooit geconfronteerd bent geweest met een aanval ben je geneigd te denken dat de kans maar klein is. “We hebben vanuit de techniek toch maatregelen genomen” of “We hebben awareness sessies gedaan bij het personeel”. Maar het werkelijk voldoen aan de NEN7510 is er niet. En dat geeft een organisatorische, bestuurlijke maar met name maatschappelijke risico’s met zich mee.

nen7510 stappenplan

Hoe implementeer je NEN7510 in een zorginstelling waar de aandacht meer uitgaat naar het beter maken van mensen en waar regelgeving als een belemmering wordt gezien.

Tijdens dit webinar bespreken we de volgende punten om je hiermee verder te helpen:

  • NEN7510: Wat staat er nou eigenlijk?
  • Wat zijn de processtappen om het te vergemakkelijken
  • Best practices voor de NEN7510
  • Valkuilen met de NEN7510
  • Q&A

Datum: 23 maart 2023, 10:00 – 11:00 uur..

Wilt u meer weten of een advies op maat? Neem dan contact met ons op voor een vrijblijvend advies gesprek.

Arthur van Vliet

Sales Manager

06 – 53 93 88 38

arthur.vanvliet@pinewood.nl

Een cyberaanval is een poging om ongeautoriseerde toegang te krijgen tot een computer, een computer- of telecommunicatienetwerk of een online-account, of om informatie te verkrijgen of te wijzigen zonder toestemming. Cyberaanvallen kunnen leiden tot verstoringen van de diensten die worden aangeboden, lekken van vertrouwelijke informatie of zelfs de vernietiging van gegevens. In dit artikel zullen we kijken naar hoe cyberaanvallen werken en hoe u zich kunt beschermen tegen deze dreigingen.

Er zijn veel verschillende soorten cyberaanvallen, en ze kunnen op verschillende manieren worden uitgevoerd. De meest voorkomende soorten cyberaanvallen zijn:

Phishing-aanvallen

Dit zijn aanvallen waarbij een aanvaller probeert om vertrouwelijke informatie te verkrijgen door middel van een vervalst e-mailbericht, een link of een formulier. De aanvaller kan proberen om te doen alsof hij of zij van een betrouwbare organisatie is of om te doen alsof er een noodgeval is, zoals een accountvergrendeling of een onverwacht bedrag op een rekening. Als u op de link klikt of de informatie invoert, kan de aanvaller toegang krijgen tot uw gegevens.

Malware-aanvallen

Malware is software die is ontworpen om een computer of netwerk te beschadigen of te verstoren. Er zijn veel verschillende soorten malware, waaronder virussen, Trojaanse paarden, rootkits en ransomware. Malware kan op verschillende manieren worden geïnstalleerd, zoals via een kwaadaardige link of bijlage, of door middel van een zero-day-exploit (een beveiligingslek dat nog niet bekend is bij de softwareontwikkelaar).

DDoS-aanvallen

DDoS staat voor Distributed Denial of Service. Dit zijn aanvallen waarbij een netwerk of server wordt overbelast met verkeer, waardoor het onbruikbaar wordt voor de legitieme gebruikers. DDoS-aanvallen kunnen worden uitgevoerd door middel van malware of door middel van een botnet (een groep geïnfecteerde computers die worden gecontroleerd door een aanvaller). De aanvaller kan het botnet gebruiken om verkeer naar het doelwit te sturen, waardoor het systeem overbelast raakt en niet meer in staat is om legitiem verkeer te verwerken. DDoS-aanvallen kunnen ernstige gevolgen hebben, zoals het tijdelijk onbruikbaar maken van websites of het uitvallen van diensten. Om zich te beschermen tegen DDoS-aanvallen, is het belangrijk om een sterk netwerkbeveiligingsplan te hebben en diensten te gebruiken die specifiek zijn ontworpen om DDoS-aanvallen te detecteren en te blokkeren.

SQL-injectie-aanvallen

SQL staat voor Structured Query Language en is een programmeertaal die wordt gebruikt voor het beheren van databases. Een SQL-injectie-aanval is een aanval waarbij een aanvaller kwaadaardige code injecteert in een SQL-query om toegang te krijgen tot vertrouwelijke gegevens of om wijzigingen aan te brengen aan een database.

Man-in-the-middle-aanvallen

Dit zijn aanvallen waarbij een aanvaller zich bevindt tussen twee communicatiepartners en de communicatie afluistert of wijzigt zonder dat de partijen dit weten. De aanvaller kan bijvoorbeeld proberen om een beveiligde verbinding te onderscheppen en te decoderen, of om wijzigingen aan te brengen aan de informatie die wordt verzonden.

Hoe kan een bedrijf zich beschermen tegen cyberaanvallen?

Er zijn een aantal dingen die u kunt doen om uzelf te beschermen tegen cyberaanvallen:

Gebruik een sterk wachtwoord

Zorg ervoor dat u sterke wachtwoorden gebruikt en deze regelmatig verandert. Gebruik wachtwoordbeheersoftware om uw wachtwoorden te beheren en te genereren.

Zorg voor goede beveiliging van uw netwerk

Zorg ervoor dat uw netwerk goed is beveiligd met firewalls en endpoint-protection. Zorg ervoor dat deze software regelmatig wordt bijgewerkt om te profiteren van de nieuwste beveiligingsupdates.

Wees voorzichtig met links en bijlagen

Klik niet op links en download geen bijlagen van onbekende afzenders. Als u twijfelt, neem dan contact op met de afzender om te controleren of het bericht legitiem is.

Maak regelmatig back-ups

Maak regelmatig back-ups van uw gegevens om ervoor te zorgen dat u deze kunt terughalen in het geval van een aanval. Zorg ervoor dat de back-ups op een beveiligde locatie worden opgeslagen.

Maak gebruik van beveiligingsoplossingen

Er zijn veel verschillende beveiligingsoplossingen beschikbaar, zoals intrusion prevention systems (IPS) en security information and event management (SIEM) software. Deze oplossingen kunnen helpen om cyberaanvallen te detecteren en te voorkomen.

Maak gebruik van een SOC (Security Operations Center)

Een SOC is een team van beveiligingsexperts dat 24/7 beveiligingsincidenten monitort en behandelt. Een SOC kan helpen om cyberaanvallen te detecteren en te voorkomen, en kan ook helpen bij het opsporen van beveiligingslekken en het uitvoeren van incidentenonderzoek. Een SOC maakt gebruik van geavanceerde beveiligingstools en -technieken om de beveiliging van een organisatie te verbeteren en te garanderen dat de organisatie voldoet aan de beveiligingsvoorschriften en -regelgeving. Als u overweegt om een SOC in te zetten, is het belangrijk om te kiezen voor een leverancier met ervaring en een goede reputatie in de branche.

Maak gebruik van multi-factor authenticatie

Multi-factor authenticatie vereist dat een gebruiker naast een wachtwoord ook een andere vorm van verificatie gebruikt, zoals een code die naar een mobiele telefoon wordt verzonden of een biometrische scan. Dit vergroot de beveiliging omdat een aanvaller zowel het wachtwoord als de andere vorm van verificatie zou moeten stelen om toegang te krijgen.

Wees voorzichtig met openbare wifi-netwerken

Openbare wifi-netwerken zijn vaak minder goed beveiligd dan privé-netwerken en kunnen een makkelijk doelwit zijn voor aanvallers. Als u openbare wifi moet gebruiken, zorg ervoor dat u een virtueel privé-netwerk (VPN) gebruikt om uw verbinding te beveiligen.

Zorg ervoor dat uw software is bijgewerkt

Houd al uw software bij, zoals uw besturingssysteem, browsers en andere programma’s. Beveiligingsupdates bevatten vaak patches voor bekende beveiligingslekken en het is belangrijk om deze te installeren om uw systemen te beschermen.

Wees voorzichtig met persoonlijke informatie

Deel alleen vertrouwelijke informatie met betrouwbare bronnen en wees voorzichtig met wie u uw persoonlijke gegevens deelt, zoals uw adres, telefoonnummer en financiële informatie.

Kortom, cyberaanvallen zijn een steeds groter wordend probleem en het is belangrijk om voorbereid te zijn om uzelf te beschermen. Door sterk wachtwoordbeleid te hanteren, goede beveiliging voor uw netwerk te zorgen, voorzichtig te zijn met links en bijlagen, regelmatig back-ups te maken, beveiligingsoplossingen te gebruiken, gebruik te maken van een SOC, multi-factor authenticatie te gebruiken, voorzichtig te zijn met openbare wifi-netwerken, uw software bij te werken en voorzichtig te zijn met persoonlijke informatie, kunt u uzelf beschermen tegen cyberaanvallen en uw bedrijf en klanten beschermen tegen de gevolgen ervan.

ISO/IEC 27001:2022 – Een nieuw tijdperk voor informatiebeveiliging. Wat verandert er?

In de laatste week van oktober 2022 heeft ISO/IEC een nieuwe versie van de veelgebruikte norm voor informatiebeveiliging ISO/IEC 27001 uitgebracht (ISO/IEC 27001:2022). Deze nieuwe ISO versie biedt allerlei organisaties, sectoren en locaties een geüpdatet kader om het steeds complexere dreigingslandschap aan te pakken. Wat zijn de belangrijkste veranderingen en wat zijn de gevolgen voor organisaties die met ISO/IEC 27001 aan de slag gaan? We zetten het allemaal voor je op een rij.

Waarom deze wijziging?

Om bij te blijven bij de veranderingen op het gebied van security wordt de norm om de vijf jaar aangepast. De nieuwe lijst van ISO/IEC 27001:2022 is een soort best practice guide om informatiebeveiliging te verbeteren. Het is de bedoeling dat organisaties door middel van een risicoanalyse zelf maatregelen selecteren. Deze belangrijke update is bedoeld om:

  • meer duidelijkheid, focus en verantwoordelijkheid voor informatiebeveiliging binnen een organisatie te bereiken;
  • een beter begrip te creëren omtrent de toe te passen beveiligingspraktijken;
  • de bestaande controlset te updaten naar aanleiding van de technologische ontwikkelingen;
  • een betere aansluiting te vinden tussen proces en implementatie.

Wat ga je merken van deze update?

Organisatie krijgen te maken met nieuwe geautomatiseerde eisen. In het traject van de certificering moet met deze eisen rekening gehouden worden. Certificering volgens vorige norm is niet meer mogelijk, na de overgangsperiode. Organisaties krijgen hier 3 jaar de tijd voor. De veranderingen hebben dus op korte termijn geen impact op de huidige certificering.

Voor de organisaties die nog niet gecertificeerd zijn, maar wel de ambitie hebben dit in de toekomst te realiseren, wordt aanbevolen de meest recente versie als leidraad aan te houden.

Wat is het verschil met de oude versie?

De norm ISO 27001 is geactualiseerd. Het belangrijkste verschil is dat de Annex A in lijn is gebracht met de eerder dit jaar gepubliceerde norm ISO 27002. Daarnaast is een aantal kleine aanpassingen doorgevoerd, die hieronder kort aan bod komen:

4 duidelijke thema’s

De nieuwe versie van de ISO 27001-norm helpt organisaties de controles doeltreffender te beheren door ze te groeperen in vier duidelijke thema’s: Organisatorisch, Persoonsgericht, Technologisch en Fysiek

Cybersecurity en privacybescherming

De titel is aangepast, en verwijst nu ook naar cybersecurity en privacybescherming. In het algemeen zijn de hoofdstukken 4 tot en met 10 niet fundamenteel aangepast (op wat kleine technische aanpassingen na). Er is een aantal nieuwe eisen gesteld in artikels 4.2, 6.2, en 6.3.

Belangen stakeholders

In artikel 4.2 moet een organisatie de relevante belanghebbende partijen identificeren. In aanvulling daarop vereist de nieuwe norm dat een organisatie ook aangeeft hoe de belangen van die stakeholders met het ISMS worden ingevuld.

Doelen

De doelen van informatiebeveiliging en de manier waarop die doelen bereikt zullen worden moeten in lijn met de eisen van artikel 6.2 beschreven worden. Nieuw is nu dat ook moet worden aangegeven hoe de doelen beoordeeld worden, en dat de doelen ook beschreven worden.

Controle wijzigingen ISMS

Als een organisatie wijzigingen wil aanbrengen aan het ISMS, dan moet volgens het nieuwe artikel 6.3 de wijziging uitgevoerd worden op een gecontroleerde wijze, waarbij rekening wordt gehouden met de aanleiding voor de wijziging, de mogelijke gevolgen, de beschikbaarheid van resources en de mogelijke aanpassing van verantwoordelijkheden.

Minder beheersmaatregelen

Annex A van ISO 27001 is in lijn gebracht met ISO 27002:2022. Dat betekent dat de 114 beheersmaatregelen zijn teruggebracht naar 95. Ook verschijnen enkele nieuwe beheersmaatregelen en worden ze anders gegroepeerd. De maatregelen zijn nu gecategoriseerd in vier groepen: organisatorisch, persoonsgericht, fysiek en technisch. De nieuwe maatregelen in ISO 27002:2022 vinden we ook terug in de bijgewerkte Annex:

  • Bedreigingsinformatie (5.7);
  • Informatiebeveiliging bij het gebruik van cloud diensten (5.23);
  • ICT-gereedheid voor bedrijfscontinuïteit (5.30);
  • Fysieke beveiligingsmonitoring (7.4);
  • Configuratiebeheer (8.9);
  • Informatie verwijderen (8.10);
  • Gegevensmaskering (8.11);
  • Voorkomen van datalekken (8.12);
  • Bewaken van activiteiten (8.16);
  • Webfiltering (8.23);
  • Veilig programmeren (8.28).

Wat is het overgangstermijn?

Voor de transitie naar de nieuwe Annex A geldt een overgangstermijn van drie jaar. In deze periode zijn beide versies geldig en certificeerbaar. Dit betekent dat een snelle overgang naar de nieuwe set met beheersmaatregelen mogelijk is, maar ook dat de volgende audit nog op de oude versie gedaan kan worden. In de tussentijd kunnen organisatie en processen aangepast worden aan de nieuwe beheersmaatregelen. Bestaande certificaten moeten voor 1 november 2025 naar de nieuwe versie zijn overgezet.

Wat zijn de belangrijke eerste stappen?

De publicatie en implementatie van de nieuwe ISO-normen kan veel vragen oproepen voor organisaties. Pinewood adviseert om de volgende stappen te nemen:

  • De beoogde iteratie van de ISO 27001 zou geen rol moeten spelen in de keuze om wel of niet een certificering te behalen. Bepaal als organisatie allereerst wat de prioriteit heeft voor het huidige certificeringstraject. Maak bijvoorbeeld een kosten-batenanalyse;
  • Kennis maken met de inhoud en eisen van de nieuwe versies;
  • Train het personeel en zorg ervoor dat de belangrijkste veranderingen en eisen worden begrepen;
  • Voer een beknopte gap-analyse uit om gebieden te identificeren die aandacht behoeven;
  • Neem actie om de gaps op te lossen en om het ISMS te laten voldoen aan de nieuwe eisen.

Hoe kunnen wij ondersteunen?

De consultants van Pinewood staan voor je klaar om te helpen. Neem contact op als u meer informatie wil.

Download hier het whitepaper: Wat zijn de tien stappen voor een succesvolle overgang naar ISO 27001:2022?

 

Vijf stappen naar een cyberweerbare organisatie

Met het toenemende gebruik van digitale technologie worden organisaties steeds vaker het doelwit van cyberaanvallen. Het is daarom belangrijk om ervoor te zorgen dat uw organisatie weerbaar wordt tegen deze risico’s. Maar hoe doet u dat? In deze blog geven we u vier stappen die u kunt volgen om een cyberweerbare organisatie te creëren.

soc implementatie stappen plan

 

Stap 1: Voer een risicoanalyse uit

Voordat u kunt beginnen met het verbeteren van de cyberweerbaarheid van uw organisatie, is het belangrijk om te weten waar de grootste risico’s liggen. Hiervoor kunt u een risicoanalyse uitvoeren. Dit kan intern worden gedaan door uw IT-team, maar u kunt ook een externe specialist inschakelen om het proces te begeleiden. Tijdens de risicoanalyse worden de zwakke punten van uw organisatie op het gebied van cyberbeveiliging geïdentificeerd.

Zo kunt u assessment laten doen van de cyberweerbaarheid van de organisatie. Tijdens zo’n assessment worden onder andere kritieke activa, systemen en operaties geïdentificeerd, beleid en procedures geëvalueerd en responsbereidheid beoordeeld. Hierdoor krijgt u inzicht in de grootste risico’s en kwetsbaarheden en kunt u strategische beslissingen nemen om deze aan te pakken. Het assessment helpt ook om de organisatiedoelen in balans te brengen met cyberrisico’s en aan aandeelhouders, toezichthouders en rechtspersonen te laten zien dat er due diligence is uitgevoerd om de cyberweerbaarheid veilig te stellen.

Stap 2: Stel een beleid op

Zodra u weet waar de grootste risico’s liggen, kunt u een beleid opstellen om deze risico’s te beheren. Dit beleid kan bestaan uit richtlijnen voor wachtwoordbeheer, toegangscontroles en het opleiden van medewerkers over hoe ze kunnen voorkomen dat ze slachtoffer worden van phishing-aanvallen en andere cyberdreigingen. Zorg ervoor dat het beleid duidelijk is voor alle medewerkers en houd het regelmatig bij om ervoor te zorgen dat het up-to-date blijft.

Het opstellen van een beleid is een belangrijke stap in de richting van een cyberweerbare organisatie. Het beleid dient als basis voor de implementatie van technische en organisatorische maatregelen en de bewustwording van medewerkers. Het beleid dient ook als richtinggevend voor incidentresponse, recovery en continuïteit van de bedrijfsvoering. Daarnaast moet het beleid ook regelmatig worden geëvalueerd en bijgesteld om ervoor te zorgen dat het aansluit op de veranderende risico’s en naleving van wet- en regelgeving.

Stap 3: Investeer in technologie

Investeren in de juiste technologie is dan ook een belangrijke stap in de richting van een cyberweerbare organisatie. Hierbij kan gedacht worden aan het implementeren van firewalls, het gebruik van beveiligde servers en endpoint bescherming. Het is echter belangrijk om te realiseren dat technologie snel verouderd kan raken als het gaat om adequate beveiliging. Dit betekent dat het regelmatig evalueren of de huidige technologie nog voldoet aan de behoeften van de organisatie van groot belang is.

Daarnaast is het ook belangrijk om te investeren in security-oplossingen die geautomatiseerd kunnen werken, zoals next-generation firewalls, intrusion detection & prevention, security informatie- en eventmanagement (SIEM), en cloud-based security-oplossingen. Deze oplossingen zijn in staat om real-time gegevens te analyseren en kunnen daardoor sneller detecteren en reageren op cyberdreigingen.

Stap 4: Onderhoud een culturele verandering

Voor de effectiviteit van cybersecurity is het belangrijk om een cultuur van cyberweerbaarheid binnen uw organisatie te creëren. Dit kan worden gedaan door middel van het opleiden van medewerkers over hoe ze cyberdreigingen kunnen voorkomen en het aanmoedigen van een veiligheidsbewustzijn op het werk. Zoek manieren om de medewerkers te betrekken bij het beleid voor cyberweerbaarheid, bijvoorbeeld door middel van trainingen en oefeningen.

Een ander belangrijk aspect van het behouden van een culturele verandering is het ontwikkelen van een plan voor hoe te reageren op een cyberincident. Dit kan bestaan uit het opstellen van richtlijnen voor hoe te reageren op een cyberincident, het opleiden van medewerkers over wat ze moeten doen als er een incident plaatsvindt en het werken met externe specialisten om te helpen bij het herstellen van de systemen na een aanval.

Stap 5: Monitoren en bijstellen

Nadat deze vier stappen zijn gezet, is het belangrijk om de cyberbeveiliging van uw organisatie continu te monitoren en bij te stellen. Dit kan door middel van regelmatige controles, zoals penetration testing en security audits, om ervoor te zorgen dat de technologie up-to-date is en de beleidsmaatregelen effectief zijn.

Het is ook belangrijk om de laatste ontwikkelingen en trends op het gebied van cyberbeveiliging te blijven volgen, zoals nieuwe dreigingen en technologieën, en deze in overweging te nemen bij het bijstellen van de beveiligingsmaatregelen. Ook kan het een goed idee zijn om regelmatig interne oefeningen te doen, zoals incident simulations, om ervoor te zorgen dat medewerkers voorbereid zijn op een eventueel incident. Door deze vijf stappen te volgen, kunt u ervoor zorgen dat uw organisatie zo cyberweerbaar mogelijk is.

Wilt u meer weten of hulp bij het cyberweerbaarder maken van uw organisatie? Neem dan contact met ons op voor een vrijblijvend advies gesprek.

Webinar: Hoe creëer je een succesvol cybersecuritybeleid voor 2023?

De laatste jaren zien we in Europa een flinke stijging van het aantal cyberaanvallen en cyberincidenten. Cyberrisico’s kosten Nederlandse bedrijven en overheden namelijk miljarden per jaar. Vooral phishing, malware en ransomware vormen een groot probleem. Nu we met zijn allen vooral digitaal werken, is cybersecurity een basisvoorwaarde in plaats van een optie. Het is daarom cruciaal voor bedrijven om voorop te blijven lopen en zichzelf te beschermen tegen mogelijke aanvallen.

Cyberveiligheid gaat verder dan technische oplossingen zoals een firewall, een antivirusprogramma en back-ups. Er is ook een beleidsmatige kant, met mensen als soms een van de zwakkere schakels. Hoe bouw je dit proces op? Hoe creëer je een cultuur van cyberveilig handelen? Welke stappen doorloop je bij een cyberaanval? En ben je veilig in 2023? Dit bepaal je allemaal in een cybersecurityplan.

Tijdens dit webinar bespreken we de volgende punten om je hiermee verder te helpen:

  • Best practices voor het identificeren van kwetsbaarheden
  • De nieuwste beveiligingsmaatregelen
  • Dreigingen van 2023
  • NIS2 wetgeving
  • Advies voor het creëren van een incident responsplan
  • Q&A

Bekijk hier het webinar:

Wilt u meer weten of een advies op maat? Neem dan contact met ons op voor een vrijblijvend advies gesprek.

Arthur van Vliet

Sales Manager

06 – 53 93 88 38

arthur.vanvliet@pinewood.nl

Webinar: Zero Trust Network Access (ZTNA), de evolutie van VPN-toegang

 

Tegenwoordig moeten je werknemers overal en altijd veilig toegang hebben tot bedrijfsdata. Het thuis- en mobiele werken heeft voor een run gezorgd op het gebruik van VPN-diensten. Tóch kan een VPN-toegang niet zo veilig zijn als je denkt, en voorziet het niet altijd van volledig inzicht en controle. Hoe zit dit eigenlijk? En wat is hiervoor de beste oplossing?

Tijdens dit webinar zullen de cyber experts Marc Scheper (Pinewood) en Ruud Everts (Fortinet) ingaan op het concept van Zero Trust Network Access (ZTNA). Zij laten je zien hoe Fortinet ZTNA jouw organisatie kan helpen om zowel op kantoor als op mobiel veilig thuis te werken.

Topics:

  • Introductie
  • Wat is Zero Trust Network Access?
  • Hoe kunnen de functionaliteiten van ZTNA je helpen?
  • Technische demo met FortiClient en FortiGates
  • Hoe helpen wij je op weg?
  • Q&A

Bekijk hier het webinar:

Aan het einde van dit webinar weet je precies hoe je jouw organisatie kunt beschermen tegen cyberbedreigingen als malware, phishing-aanvallen en ongeoorloofde toegang tot networkresources, om uiteindelijk ervoor te zorgen dat jouw data veilig blijft. En het mooiste is nog, naast de FortiGate en FortiClient licenties die je wellicht al hebt, is er niets anders nodig dan de juiste configuratie!

Wilt u meer weten of een advies op maat? Neem dan contact met ons op voor een vrijblijvend advies gesprek.

Arthur van Vliet

Sales Manager

06 – 53 93 88 38

arthur.vanvliet@pinewood.nl

NIS 2: wat betekent deze Europese security-richtlijn voor Nederlandse organisaties

Door: Eric van Loon, Manager Security Consultancy bij Pinewood

De tweede generatie van de Europese Network and Information Systems (NIS 2) richtlijn zal in 2023 in Nederland om worden gezet in wetgeving. De richtlijn bouwt voort op de oorspronkelijke NIS-richtlijn uit 2016. Het doel was toen om eenheid te brengen in het Europees beleid voor netwerk- en informatiebeveiliging om zo de gevolgen van cyberincidenten te verkleinen, met name gericht op bedrijven en instellingen van cruciale aard. De NIS 2 richtlijn bouwt hierop verder en voegt meer sectoren toe aan deze ‘essentiële diensten’. Het moet ervoor zorgen dat organisaties binnen Europa aan de richtlijn gaan voldoen. Maar wat betekent dit voor Nederlandse organisaties?

nis 2 nib 2 nederland richtlijnen security

Volwassen cybersecurity

Allereerst is het goed om het verschil tussen de NIS 2 en de NIB 2 te begrijpen. Gelukkig is dit geen ingewikkeld verhaal, de NIB 2 is namelijk gewoon de Nederlandse vertaling van de NIS 2. Dus of het nu gaat over de network and information systems richtlijn of de netwerk- en informatiebeveiliging richtlijn, de inhoud is grotendeels hetzelfde. Wel is er tijdens het vertalen van de Europese richtlijn naar Nederlandse wetgeving ruimte voor vrije interpretatie. De overheid is momenteel druk bezig met die vertaalslag, dus hoe de wet er precies uit gaat zien is nog even afwachten.

Wel kunnen we er alvast vanuit gaan dat de kern van de richtlijn grotendeels hetzelfde blijft. Deze kern bestaat uit twee elementen: de zorgplicht en de meldplicht. De zorgplicht verplicht organisaties om ervoor te zorgen dat de hele infrastructuur op orde is. Zo wordt het verplicht om de faciliteiten te hebben om te monitoren wat er gebeurt op het netwerk. De meldplicht zorgt ervoor dat organisaties melding moeten maken wanneer ze te maken krijgen met een cyberincident. Voor alle organisaties die gezien worden als leverancier van ‘essentiële diensten’ zal er dus (veel) werk aan de winkel zijn.

Het ziet er dus naar uit dat organisaties in allerlei sectoren maatregelen moeten gaan treffen om de cybersecurity-volwassenheid naar een hoger niveau te brengen. De exacte hoogte van dit volwassenheidsniveau zal nog worden bepaald door de Nederlandse overheid. Dit kan bijvoorbeeld gelijk worden getrokken met de norm waaraan overheidsinstellingen momenteel moeten voldoen, maar er kunnen ook andere regels gaan gelden. De details moeten uiteindelijk blijken uit de resulterende wetgeving, net zoals de wet beveiliging netwerk en informatiesystemen een interpretatie is van originele NIS-richtlijn.

Vitale sectoren

De noodzaak om de cyberweerbaarheid van essentiële diensten te vergroten is voor de hand liggend. Over de afgelopen jaren zien we een stijgende lijn in het aantal organisaties dat te maken heeft met cyberaanvallen. Daarnaast zien we ook een flinke stijging in de schade en impact van een succesvolle aanval. De NIS 2 richtlijn is daarom in het leven geroepen om de continuïteit en integriteit van een aantal vitale sectoren te waarborgen.

Onder de originele NIS vielen sectoren zoals energie, drinkwater en banken. De NIS 2 breidt het lijstje met vitale sectoren aardig uit met onder andere overheidsdiensten, levensmiddelen en managed service providers. In Nederland zal dit neerkomen op zo’n zesduizend extra organisaties die moeten gaan voldoen aan de nieuwe wetgeving. Op dit moment wordt er nog flink gediscussieerd over welke bedrijven hier onder vallen en welke niet. Zo staat er nog niet vast welke definitie van een managed service provider er gehanteerd zal gaan worden.

De verwachting is dat de NIS eind dit jaar wordt vastgesteld op Europees niveau. Zodra dit rond is hebben de lidstaten 21 maanden de tijd om de wetgeving rond te krijgen. Dat klinkt misschien lang, maar voor een wet van dit formaat is dat een redelijk korte termijn.

Meer veiligheid, minder vrijheid

De NIS 2 is een grote stap in de goede richting als het om cybersecurity gaat. Wel valt er een bepaalde mate van vrijheid weg. Momenteel is het cybersecurity-landschap onder bedrijven erg gefragmenteerd. Bedrijven kiezen zelf in welke mate ze iets aan cybersecurity doen of niet. Door een richtlijn te implementeren neem je deze vrijheid weg, maar je weet wel zeker dat delen van de infrastructuur goed beveiligd zijn.

De meldplicht zal de cyberweerbaarheid verhogen. In de huidige situatie hoeft een organisatie alleen melding te doen van een datalek, maar niet van bijvoorbeeld een ransomware-aanval of misbruik van een kwetsbaarheid. Dit gaat dus veranderen.

Doordat informatie over een cyberaanval gemeld en gedeeld wordt, kunnen bedrijven makkelijker leren van elkaar hoe ze hun beveiliging optimaal in kunnen richten.

Maar ook de zorgplicht zal het een en ander gaan vragen van organisaties. Afhankelijk van de huidige infrastructuur moet er wellicht veel gebeuren om te voldoen aan de norm die uiteindelijk in de wet wordt opgenomen. Er kan bijvoorbeeld geëist worden dat bedrijven moeten voldoen aan de ISO 27001 norm. Dit zal voor veel bedrijven betekenen dat ze flink moeten gaan investeren. Er wordt gesproken over een omzetplafond dat kleinere bedrijven hiervan vrijstelt, maar deze organisaties lopen dan nog net zoveel risico als voorheen.

Aan de slag

Organisaties waarop de NIS 2 van toepassing is, krijgen dus aardig wat voor hun kiezen. De verschillende plichten vragen veel investeringen. Zo is een belangrijk onderdeel van de zorgplicht het monitoren van de systemen. Dit gebeurt doorgaans in een Security Operation Center (SOC) maar om dit in te richten is veel apparatuur en, nog lastiger, personeel nodig. Voor veel organisaties zal het dan ook interessant zijn om dit uit te besteden aan een partij die een SOC als dienst aanbiedt. Op deze manier kan een organisatie voldoen aan de nieuwe zorgplicht, zonder een heel SOC op te hoeven zetten. Daarnaast bieden deze cybersecurity-partijen vaak aanvullende diensten om de cyberweerbaarheid te vergroten.

Maar ook wanneer een organisatie niet binnen de scope van de NIS 2 valt, is het verstandig om op te letten. Het feit dat je niet aangemerkt wordt als vitale sector betekent niet dat je minder risico loopt. Ook deze organisaties kunnen veel leren van de plichten en eisen die in de nieuwe wet zullen worden opgenomen. De NIS kan dan werken als vliegwiel en andere organisatie meekrijgen, waardoor heel Nederland er sterker voor komt te staan op het gebied van cybersecurity.

De NIS 2 is onvermijdelijk en het is daarom belangrijk om te kijken of je als organisatie binnen de scope valt. Als dat zo is, dan is het verstandig om zo snel mogelijk aan de slag te gaan want het kan veel tijd kosten om uit te zoeken wat de nieuwe wet voor jou gaat betekenen. Een eerste stap die je als bedrijf nu al kan zetten is het in kaart brengen van je cyberbeveiliging-volwassenheidsniveau en de mate van risicobeheersing. Heb je al een informatiebeveiligingsbeleid? Weten medewerkers wat hun rol is? Weten ze hoe ze phishing e-mails kunnen herkennen? Door er nu serieus mee aan de slag te gaan, voorkom je verrassingen wanneer de wet in werking treedt.

Wilt u meer weten of hulp bij de inrichting van NIS 2 (NIB 2) vraagstukken. Neem dan contact met ons op voor een vrijblijvend advies gesprek.

EDR, MDR of SOC. wat is de juiste oplossing voor uw organisatie?

EDR, MDR en SOC zijn begrippen die vaak door elkaar worden gehaald. Echter hebben deze technische security oplossingen ieder hun eigen functie voor het monitoren en stoppen van potentiële security incidenten. In dit opgenomen webinar gaan we in op de verschillen tussen deze verschillende oplossing zodat u een betere keuze kunt maken welke oplossing het meest geschikt is voor uw eigen organisatie.

Wilt u meer weten of een advies op maat? Neem dan contact met ons op voor een vrijblijvend advies gesprek.

 

Arthur van Vliet

Sales Manager

06 – 53 93 88 38

arthur.vanvliet@pinewood.nl

FHI Industrial Cyber Security Event 8 november 2022

Het FHI, de branchevereniging voor industriële automatisering, organiseert op 8 november a.s. het Industrial Cyber Security event in Hart van Holland te Nijkerk.

Laat u op een interactieve manier informeren om goed voorbereid te zijn op potentiële dreigingen, die vaak uit onverwachtse hoek komen. Tijdens dit event worden diverse actuele vraagstukken behandeld binnen uw vakgebied. Wij nodigen u van harte uit om dit event te bezoeken en mee te doen met onze Pinewood Cyber Security Game. In deze game dagen wij u uit met scherpe stellingen en complexe vragen. Na afloop is er ook een mogelijkheid om met ons van gedachte te wisselen over cyber security en dieper in te gaan op wat u kunt doen om goed voorbereid te zijn.

U kunt zich hier registreren voor een gratis toegangskaart voor het event.

Marina Spelbrink

Marketing & Communicatie

015 251 36 36

marina.spelbrink@pinewood.nl

GGI-Veilig SOC/SIEM voor gemeenten mislukt. Wat nu?

Vereniging Nederlandse Gemeenten (VNG) heeft het contract met KPN voor het leveren van siem/soc-diensten aan gemeenten opgezegd. Het gaat om het perceel van de gemeentebrede aanbesteding GGI-Veilig die in 2019 aan KPN werd gegund. Dit betekent dat gemeenten op zoek moeten naar een alternatief.

Waarom ook alweer een SIEM/SOC voor gemeenten?
In een SOC wordt met behulp van siem tooling alle beschikbare, aan de security gerelateerde informatie binnen de gemeentelijke ict-infrastructuur verzameld en geanalyseerd. Doel van de analyses is kwetsbaarheden ontdekken en verdacht gedrag in een zo vroeg mogelijk stadium te detecteren en hier adequaat op te reageren.

5 gemeenten gehackt
Onlangs werden er nogvijf Limburgse gemeenten getroffen door een cyberaanval. Daarbij werd de administratie van het sociaal domein vergrendeld. De aanval was gericht op de softwareleverancier van de gemeenten.

De noodzaak voor SIEM/SOC wordt alleen maar groter voor gemeenten
Vanaf 1 januari 2020 is de Baseline Informatiebeveiliging Overheid (BIO) van kracht. Op korte termijn wordt daarnaast ook de NIS 2 van kracht. Een van de eisen die zowel de BIO als de NIS 2 stellen aan overheden, is het gebruik van SIEM en/of SOC met als doel overheden digitaal weerbaarder te maken. Ook voor hackers zijn de gemeenten steeds vaker een interessant doelwit door onder andere de toegang die gemeenten hebben tot vele persoonsgegevens via diverse netwerken.

Het SOC/SIEM alternatief voor Nederlandse gemeenten
Pinewood is al ruim 28 jaar de cybersecurity specialist van Nederlandse bodem en beschikt over een hypermodern SOC/SIEM. Ten tijde van de aanbesteding zat Pinewood bij de beste aanbieders, echter is toen de keuze gevallen op KPN .

Wij geloven dat gemeenten niet allemaal dezelfde behoeften en wensen hebben en dat ze graag samenwerken met een specialist waarmee je flexibel en snel kunt schakelen. Dit vraagt om een andere attitude. Het Pinewood SOC is onder andere aangesloten op het Nationaal Detectie Netwerk (NCSC) en heeft een grote set aan cyber security use-cases, maar ook specifieke use-cases voor de gemeenten. Deze use-cases worden op basis van uw eisen en wensen door ons geïmplementeerd. Het Pinewood SOC-team bestaat uit onder andere uit Security Analisten en Security Officers. Op deze manier verbetert u continu uw beveiligingsniveau op zowel technisch als organisatorisch niveau. Wij zijn groot genoeg om iedere gemeenten in Nederland te kunnen bedienen met een schaalbare en veilige SOC/SIEM dienst, Wij zijn met zo’n 60 cybersecuity professionals ook nog klein genoeg voor de nodige snelheid, flexibiliteit en persoonlijke aandacht.

SOC highlights:
• Al 28 jaar de cybersecurity specialist van Nederlandse bodem
• Ruime ervaring en kennis van de gemeentemarkt
• 24×7 security monitoring van cyberdreigingen & Incident Response
• Rapportages en security bulletins voor management en operatie
• Overleg op operationeel, tactisch en strategisch niveau
• Advies: concrete verbetermaatregelen (techniek en organisatie)
• 60 cybersecurity specialisten die dag en nacht voor u klaar staan
• Flexibiliteit en aandacht voor u specifieke situatie.

Wij nodigen u van harte uit een kijkje te komen nemen in onze hypermoderne SOC in Delft. Online of een bezoek bij u op locatie om de mogelijkheden te bespreken kan natuurlijk ook. Wilt u meer informatie of een afspraak maken, neemt u dan contact op met Arthur van Vliet, 06 53938838 of email arthur@pinewood.nl. Wij helpen u graag verder de digitale weerbaarheid van uw gemeente te verhogen.

Note: Om alvast wat inspiratie op te doen, bekijk  onze 2 minuten SOC-video: Zie:https://www.pinewood.nl/diensten/soc/Heeft u advies of ondersteuning nodig, neemt u dan contact met ons op. Wij helpen u graag verder.

Marina Spelbrink

Accountmanager Healthcare en overheid

015 251 36 36

marina.spelbrink@pinewood.nl