Eind 2024 wordt de opvolger van de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni) verwacht die is gebaseerd op de Europese NIS2-richtlijn. Geldt deze nieuwe wetgeving ook voor jouw bedrijf? Dan heb je nog ongeveer een jaar om je strategie uit te stippelen. Daarin mag een programma voor vulnerabilitymanagement in ieder geval niet ontbreken.
Heb je nu nog niet te maken met de Wbni? De kans is groot dat de opvolger wél op je bordje komt te liggen. De nieuwe wet gaat namelijk voor veel meer bedrijven gelden. Dat heeft te maken met de reikwijdte van de onderliggende NIS2-richtlijn. NIS2 is bijvoorbeeld ook van toepassing op sectoren als voedselproductie, afvalbeheer, onderzoek en de maakindustrie. En op de ketenpartners van essentiële en belangrijke 'entiteiten'. Die vielen nog niet onder de oude NIS-richtlijn uit 2016.
NIS2 introduceert voor deze bedrijven een zorgplicht en een meldplicht. Dit houdt in dat ze op basis van een risicobeoordeling de maatregelen moeten nemen die nodig zijn om de digitale veiligheid en de continuïteit van de dienstverlening te kunnen waarborgen. Is er sprake van een incident? Dan moeten ze dat binnen 24 uur melden bij de toezichthouder.
Vulnerabilitymanagement cruciaal
Krijg je te maken met de opvolger van de Wbni? Dan is het belangrijk om zo snel mogelijk aan de slag te gaan met het op orde brengen van je securityomgeving. Vanaf het moment dat NIS2 is omgezet in nationale wetgeving, heeft ieder ernstig incident mogelijk niet alleen bedrijfseconomische en maatschappelijke, maar ook juridische gevolgen. Nalatigheid kan resulteren in een miljoenenboete.
NIS2 schrijft echter niet exact voor welke technologieën of oplossingen organisaties moeten gebruiken. De richtlijn beperkt zich tot een opsomming van aandachtsgebieden die op z’n minst op orde moeten zijn. Zo moet er een beleid zijn rondom risicobeoordeling en aandacht voor de beveiliging van de toeleveringsketen. Er is echter een punt dat NIS2 wel expliciet benoemt: organisaties moeten adequaat kunnen reageren op nieuw ontdekte kwetsbaarheden. Je vulnerabilitymanagement moet dus op orde zijn.
5 aandachtspunten
Een gedegen programma voor vulnerabilitymanagement moet aan meerdere aspecten aandacht besteden:
1. Threat intelligence
Als securityprofessional moet je de vinger aan de pols houden van de huidige cyberdreigingen. Welke nieuwe kwetsbaarheden duiken op? Welke worden al actief uitgebuit? Door deze informatie te verzamelen, krijg je een duidelijk beeld van wat jouw organisatie mogelijk te wachten staat. Een Security Operations Center (SOC) kan ook in deze informatie voorzien.
2. Detectie kwetsbaarheden
Een belangrijk onderdeel van vulnerabilitymanagement is het actief scannen van netwerk- en informatiesystemen om mogelijke kwetsbaarheden op te sporen. Dit omvat zowel interne als externe scans om een volledig beeld te krijgen van de beveiligingsstatus van de organisatie.
3. Evalueren en prioriteren
Niet alle kwetsbaarheden zijn gelijk. Sommige kunnen een directe bedreiging vormen voor de kernactiviteiten van de organisatie, terwijl andere minder kritisch zijn. Het is essentieel om de kwetsbaarheden te evalueren en prioriteit te geven aan de meest urgente om directe risico's te beperken.
4. Update- en patchbeleid
Het regelmatig bijwerken en patchen van systemen is van cruciaal belang om kwetsbaarheden te verhelpen. Een goed update- en patchmanagementproces zorgt ervoor dat alle software en systemen up-to-date zijn en voorzien zijn van de nieuwste beveiligingspatches.
5. Incident response
Ondanks alle preventieve maatregelen kunnen beveiligingsincidenten nog steeds optreden. Een essentieel aspect van vulnerabilitymanagement is dan ook een goed doordacht incident-responseplan. Dit plan beschrijft procedures en stappen bij misbruik van kwetsbaarheid of ontdekken van beveiligingslekken, en definieert de verantwoordelijkheden van teams en individuen binnen de organisatie. Ook hiervoor kan de hulp van een SOC of incident-reponsedienstverlening worden ingeschakeld.
Het belang van data
De NIS2 draait, net als de huidige NIS, uiteindelijk om het beschermen van data. Maar om daaraan te voldoen gebruik je zelf ook continu data. Nieuw aan NIS2 is het inrichten van gecentraliseerd logbeheer. Logfiles, ook wel bekend als ‘kleine data’, bevatten namelijk vaak schatten aan informatie die jij in jouw voordeel kan laten werken. Door deze data te centraliseren kun je ze efficiënt gebruiken in je beveiliging.
Proactieve aanpak
De komst van NIS2 vereist dat organisaties zich serieus voorbereiden op strengere beveiligingsmaatregelen en meldplichten. Vulnerabilitymanagement vormt een essentieel onderdeel van deze voorbereiding, omdat het organisaties helpt om proactief kwetsbaarheden te identificeren en te dichten voordat kwaadwillende actoren er misbruik van kunnen maken.
Meer weten over de impact die NIS2 gaat hebben op uw organisatie? Download dan nu ‘NIS2: een pragmatisch e-book voor compliance’.
Download eBook
