De norm

Het NIS2 Quality Mark als

standaard

voor cybersecurity

Het NIS2 Quality Mark is het middel voor toeleveranciers (mkb-bedrijven) om aan hun NIS2 klanten (vaak grote bedrijven) te laten zien dat ze veilig werken.

Net als bij de komende Europese cybersecurity certificering werkt het NIS2 Quality Mark met 3 levels. Het meest gebruikte level voor MKB bedrijven is NIS2-QM10 (Basic). (download hier de PDF)

Richtlijnen voor het beveiligen van informatie

Je hebt een plan nodig voor je cybersecurity

Je gaat een plan (het informatiebeveiligingsbeleid) opstellen. In dit beleid leg je d.m.v. richtlijnen vast hoe de informatie van de organisatie beschermd wordt.

Toewijzing wie verantwoordelijk is bij informatiebeveiliging

Afspreken wie wat gaat doen

Je wijst rollen toe zodat elke medewerker zijn of haar specifieke taken en verantwoordelijkheden in het kader van informatiebeveiliging kent. Het is belangrijk dat er iemand is die verantwoordelijk is voor informatiebeveiliging.

Overzicht van informatie

Maak een lijst van alle informatiegegevens van de organisatie

Informatie kun je alleen doeltreffend beveiligen als er een compleet en betrouwbaar overzicht is. Je maakt een lijst van de informatiegegevens van de organisatie zoals klantgegevens en contracten. Je wijst ook een eigenaar/beheerder toe, die verantwoordelijk is voor bepaalde informatie.

Overzicht van ICT-bedrijfsmiddelen

Maak een lijst van je computers, machines, etc; alles waar software in zit

Informatie kun je alleen doeltreffend beveiligen als er een compleet betrouwbaar overzicht is van alle ICT-bedrijfsmiddelen die software bevatten. Je maakt een lijst van de ICT-bedrijfsmiddelen van de organisatie waar software in zit, zoals servers, dataopslagsystemen en machines. Je wijst ook een “eigenaar”(beheerder) toe die verantwoordelijk is voor het bedrijfsmiddel.

Het inleveren van bedrijfsmiddelen na gebruik

Als werknemers vertrekken, moeten ze computers, smartphones etc. van de zaak inleveren.

Je gaat een plan (het informatiebeveiligingsbeleid) opstellen. In dit beleid leg je d.m.v. richtlijnen vast hoe de informatie van de organisatie beschermd wordt.

Verlening en beheer van toegangsbevoegdheden

Leg vast wie toegang waartoe heeft

Bij nieuwe medewerkers of functiewijzigingen van medewerkers bestaat de kans dat een account meer toegangsrechten heeft dan is toegestaan. Ook bij het einde van een dienstverband moet gecontroleerd worden of het account correct wordt afgesloten. Je legt vast wie toegang waartoe heeft en wanneer dit wordt opgeheven, ingedeeld in logische toegangsrechten en fysieke toegangsrechten.

Voorbereiding en optimalisatie van ICT voor continue bedrijfsvoering

Maak een plan zodat alles blijft werken bij onverwachte zaken zoals een cyberaanval

Na onvoorziene gebeurtenissen zoals een cyberincident, wil je snel weer aan de slag kunnen. Je stelt doelen en bijbehorende continuïteitseisen op. Een eis is bijvoorbeeld hoe vaak je back-ups moet maken.

Samen de toeleveringsketen beveiligen

Inventariseer de risico’s bij je leveranciers en maak afspraken voor een goede digitale beveiliging

Cyberincidenten bij je toeleveranciers kunnen ook van invloed zijn op jouw bedrijf. Zorg voor een goede risico-inventarisatie van je belangrijkste leveranciers en maak samen afspraken over digitale beveiliging.

Educatie en bewustwording voor het beveiligen van informatie

Maak al het personeel bewust van cyberrisico’s

Aan het verwerken van informatie kleven veel risico’s. Daarom moet iedereen in de organisatie zich hier bewust van zijn. Dit kun je regelen met opleidingen en trainingen over informatiebeveiliging. Een opleiding leert bijvoorbeeld over de risico’s, terwijl een training helpt kennis toe te passen, zoals het kiezen van een sterk wachtwoord.

Thuis- of hybride werken op een veilige manier

Houd gevoelige bedrijfsinformatie ook buiten kantoor veilig

Werken buiten kantoor verhoogt het risico op datalekken. Zonder goede beveiligingsmaatregelen kunnen gevoelige gegevens in verkeerde handen vallen. Je stelt regels op zodat informatie ook buiten kantoor veilig blijft en je zorgt ervoor dat iedereen deze regels kent en volgt.

Registratie en rapportage van gebeurtenissen met betrekking tot informatiebeveiliging

Maak het makkelijk om cyberincidenten snel te melden

Incidenten die de informatiebeveiliging bedreigen, moeten snel kunnen worden gedetecteerd en gecommuniceerd. Je spreekt intern af dat je een cyberincident bijvoorbeeld meldt via mail, WhatsApp en het liefst ook via telefoon, zodat je er zeker van bent dat er gevolg aan de melding wordt gegeven. Wil je dit uitgebreider doen zoals met een digitaal meldsysteem of aparte app, dan is dit ook mogelijk.

Educatie en bewustwording voor het beveiligen van informatie

Stel regels op voor wie waar toegang toe heeft

Onbevoegde toegang tot bedrijfsmiddelen die gevoelige informatie bevatten is niet wenselijk. Je stelt duidelijke toegangsregels op, zodat je weet wie waar bij kan. Het is belangrijk dat er voldoende aandacht is voor de beveiliging van apparatuur die cruciaal is voor je bedrijf.

Beveiliging en beheer gebruikersapparaten

Beveilig computers, smartphones etc. van werknemers

Als apparaten van medewerkers zoals laptops niet goed beveiligd zijn, kunnen ze leiden tot een cyberincident. Maatregelen zoals laptopversleuteling of een beperking van adminrechten helpen hierbij. Je maakt een actuele lijst van- en regels voor het gebruik van gebruikersapparaten en zorgt ervoor dat regels zoals de verplichting van sterke wachtwoorden en het instellen van pincodes bekend zijn.

Bestrijding en preventie van malware

Installeer anti-malware software

Malware kan systemen beschadigen en gevoelige informatie blootleggen. Bescherming hiertegen waarborgt de veiligheid en integriteit van de digitale omgeving. Je neemt maatregelen tegen malware zoals anti-malware software, encryptie en een spamfilter.

Informatiebehoud: back-up en herstel

Maak een back-up plan en voer dat uit

Back-ups voorkomen onherstelbaar dataverlies bij onverwachte gebeurtenissen. Zonder back-ups kunnen essentiële gegevens en bedrijfsvoering in gevaar komen. Je stelt een back-upbeleid op en maakt regelmatig back-ups van belangrijke data en systemen. Ook test je deze back-up periodiek op betrouwbaarheid.

Software op computers en apparaten up-to-date houden

Houd software op computers en apparaten up-to-date

Computers en andere apparaten waarop geen updates worden uitgevoerd maken systemen kwetsbaar voor bedreigingen en verstoringen. Je stelt procedures op waarin staat hoe software op computers en apparaten veilig up-to-date worden gehouden.

Authenticatie op cruciale systemen

Beveilig het inloggen op cruciale systemen

Zorg dat systemen waar je bedrijf van afhankelijk is beveiligd zijn met tweefactorauthenticatie (2FA) of multifactorauthenticatie (MFA).

Het NIS2 Basis level ligt op een vergelijkbaar niveau met wat de markt en cybersecurity ondersteunende organisaties nu als basisprincipes hanteren. Die levels zijn uitermate geschikt omdat ze gemaakt zijn met mkb-bedrijven in gedachten. Die kunnen dan starten met cybersecurity en zichzelf beter beveiligen.

Wij voegen 3 levels toe onder de levels van bestaande bekende standaarden zoals ISO27001 en NEN7510 etc. Door het gebruik van levels is er altijd een level is dat past bij de uitkomst van de risico-inventarisatie.

De NIS2 Quality Mark onderdelen hebben een hoge kwaliteit qua inhoud en door de 3 levels is er altijd een passend level voor jouw leveranciers. Gebaseerd op de kennis van leidende industrie-experts en cybersecurityspecialisten die al vele NIS2-bedrijven en organisaties hebben beveiligd.

Ben je een essentieel of belangrijk NIS2 bedrijf? Dan kun je het NIS2 Quality Mark opnemen in de contracten met je leveranciers. Als je behoefte hebt aan duidelijkheid en kwaliteit dan is het NIS2 Quality Mark daarvoor zeer geschikt.