Hoe kunnen organisaties zich voorbereiden?

1. Maak een risicoanalyse van fysieke en digitale dreigingen

Digitale en fysieke dreigingen kunnen grote risico’s met zich meebrengen voor de continuïteit van de dienstverlening organisaties leveren. Daarom is het van belang om de weerbaarheid op orde te hebben. Dat begint bij weten welke fysieke en digitale dreigingen een risico vormen voor de organisatie en in welke mate zij bedrijfsprocessen kunnen verstoren. Organisaties kunnen een risicoanalyse maken om dat inzicht te krijgen. Na een risicoanalyse volgt een risicobeoordeling. Alleen zo kunnen zij gepaste maatregelen nemen.

In de risico-afweging kunnen organisaties de volgende vragen stellen:

• Welke fysieke en digitale risico’s zijn relevant voor de organisatie omdat ze de continuïteit van de dienstverlening zouden kunnen verstoren?
  Voor het in kaart brengen van risico’s kan onder meer gebruik worden gemaakt van de Rijksbrede Risicoanalyse, die laat zien welke dreigingen onze samenleving kunnen ontwrichten.
   
• Wat zijn de kroonjuwelen of te beschermen belangen van de organisatie?
  Hiermee brengen organisaties in kaart welke zaken voor de organisatie en dienstverliening van groot of minder groot belang zijn. Zo kan de organisatie bepalen voor welke risico’s zij maatregelen moeten nemen om die belangen te beschermen.
   
• Welke maatregelen heeft de organisatie (al) genomen om de belangen te beschermen tegen de risico’s?
  Hiermee brengen organisaties hun weerbaarheid in kaart. De weerbaarheid is het vermogen van uw organisatie om verstoringen te voorkomen, erop te anticiperen, zich erop aan te passen, er snel van te herstellen en ervan te leren.

Scenario's kunnen helpen in het beantwoorden van bovenstaande drie vragen. Daarmee kunnen organisaties onderzoeken op welke verschillende manieren de risico’s de belangen kunnen raken en schaden, zodat per scenario bedacht kan worden welke maatregelen nodig zijn om de weerbaarheid te verbeteren.

Onderstaande links bevatten meer informatie over het analyseren en beoordelen van digitale risico’s.

• Meer informatie over het in kaart brengen en beheersen van digitale risico’s vindt u in de factsheet ‘Risico’s beheersen: de waarde van informatie als uitgangspunt’.
• Met behulp van het stappenplan risico-analyse en informatie over het beleidsplan risicoanalyse, kunt u in concrete stappen achterhalen wat u kunt doen om risico's te beheersen.
• Ontdek met de Risicoklassenindeling Digitale Veiligheid in welke risicoklasse uw organisatie zit door 9 vragen te beantwoorden. Ga daarna gericht aan de slag met de maatregelen die bij uw risicoklasse passen.

2. Neem waar mogelijk maatregelen die de organisatie (beter) beschermen tegen deze risico’s.

Nadat een risicoanalyse, kunnen organisaties waar mogelijk passende maatregelen nemen om hun weerbaarheid te versterken.

Welke maatregelen de organisatie moet nemen, is afhankelijk van de gemaakte analyse en beoordeling van de risico’s die uw organisatie loopt. Organisaties kunnen in ieder geval denken aan de volgende maatregelen:

• Opstellen van bedrijfscontinuïteitplannen en crisisbeheersingsprotocollen: Om de gevolgen van incidenten te beperken is de aanwezigheid van risico- en crisisbeheersingsprocedures en waarschuwingsroutines noodzakelijk.
• Het identificeren van alternatieve toeleveranciers: Het kan zijn dat een organisatie voor zijn dienstverlening afhankelijk is van andere organisaties. Het is daarom van belang om alternatieve toeleveranciers in de keten te identificeren, zodat de continuïteit van de dienstverlening niet verstoord wordt indien een toeleverancier (tijdelijk) uitvalt.
• Het vergroten van bewustwording onder het personeel: Organisaties kunnen alvast identificeren welke personeelsleden kritieke functies vervullen binnen de organisatie, om ze vervolgens bewust te maken van de risico’s en veiligheidsmaatregelen.

Wat betreft bewustwording van personeel op het gebied van digitale weerbaarheid, is er meer informatie te vinden op de pagina ‘Cyberbewustwording’ van het Digital Trust Center (DTC). 

Als het gaat om digitale risico’s dan schrijven het Nationaal Cyber Security Centrum (NCSC) en het Digital Trust Center (DTC) beide maatregelen voor die organisaties kunnen implementeren om zich beter te beschermen tegen risico’s en schade door cyberaanvallen. 

Maatregelen zoals:

• Voor organisaties die onder de Cyberbeveiligingswet vallen, heeft het Digital Trust Center de 10 zorgplichtmaatregelen die voortkomen uit de NIS2-richtlijn, op een rij gezet via het NIS2 Startpunt. Deze informatie kunnen organisaties om zich voor te bereiden op de Cyberbeveiligingswet.
• Het 5 stappenplan van het Digital Trust Center geeft houvast hoe je een businesscontinuïteitsplan opstelt.
• Maak contractuele afspraken met je toeleveranciers en IT-dienstverleners over maatregelen om de ketenrisico's te beheersen.
• Voor het in kaart brengen van je keten en de alternatieven heeft het Digital Trust Center een handig in te vullen template (.pdf) ontwikkeld.

Zie ook de basismaatregelen en het uitgebreide stappenplan vanuit het NCSC.

3. Zorg voor procedures die de organisatie in staat stellen om incidenten die bedrijfsprocessen (kunnen) verstoren te detecteren, monitoren, op te lossen en te melden bij de Rijksoverheid

Organisaties die straks onder de wetgeving vallen zijn verplicht om incidenten te melden. Factoren die een incident meldingsplichtig maken zijn bijvoorbeeld de duur van een incident of het aantal personen dat door het incident getroffen wordt.

De eisen van de meldplicht zullen in de bedrijfsprocessen verankerd moeten worden. Het opstellen van een incident response plan kan hierbij helpen. Lees op de website van het DTC hoe u een response plan opstelt t.a.v. digitale incidenten.

Meer informatie over hoe organisaties de detectie van digitale incidenten in kunnen richten staat op de website van het NCSC. Detectie is de aanpak om met technische middelen zicht te krijgen op de dreigingen als gevolg van deze activiteiten. Via detectie ontstaat er een duidelijk beeld van een incident. Ook kunnen beveiligingsmaatregelen via detectie worden aangescherpt.