De zorgplicht is de kern van de Cyberbeveiligingswet. Organisaties moeten op basis van een risicobeoordeling passende en evenredige maatregelen nemen. NIS2 (artikel 21) benoemt tien gebieden waarop die maatregelen betrekking hebben.
De tien maatregelgebieden
- Risicoanalyse en beveiligingsbeleid
- Een actueel, bestuurlijk vastgesteld informatiebeveiligingsbeleid op basis van risico.
- Incidentenbehandeling
- Een vastgesteld en beoefend proces voor detectie, afhandeling en evaluatie van incidenten.
- Bedrijfscontinuïteit
- Back-upbeheer, hersteltests en crisisbeheer voor uitval van kritieke ICT.
- Ketenbeveiliging
- Beveiligingseisen aan kritieke leveranciers en periodieke beoordeling daarvan.
- Veilige ontwikkeling en verwerving
- Beveiliging meenemen in inkoop, ontwikkeling en onderhoud van systemen.
- Effectiviteitstoetsing
- Beleid en procedures om te beoordelen of maatregelen werken (audits, pentesten).
- Cyberhygiëne en opleiding
- Basismaatregelen en periodieke bewustwording voor medewerkers.
- Cryptografie en encryptie
- Beleid voor versleuteling van gevoelige gegevens, in rust en onderweg.
- Toegangsbeveiliging en assetbeheer
- Least privilege, autorisatiebeheer en een actueel overzicht van bedrijfsmiddelen.
- Multifactorauthenticatie
- MFA op externe toegang en beheeraccounts, en beveiligde communicatie.
BIO2 als invulling voor de overheid
Voor Nederlandse overheden geldt de doorontwikkelde Baseline Informatiebeveiliging Overheid (BIO2) als praktische invulling van de zorgplicht. Wie aantoonbaar aan de BIO2 voldoet, geeft daarmee invulling aan de Cbw-maatregelen.
Maak het aantoonbaar
De zorgplicht is risicogebaseerd: u moet kunnen laten zien dat uw maatregelen passen bij uw risico’s. Een zelfevaluatie per thema, met onderbouwing en openstaande acties, vormt het bewijs richting bestuur en toezichthouder.