NIS compliance 4.0
Een pragmatische en allesomvattende aanpak
Digitalisering biedt veel voordelen, maar maakt tegelijk cybersecurity belangrijker dan ooit. Meer nog, volgens ENISA (European Union Agency for Cybersecurity) vormt cybersecurity zelfs ‘het fundament’ voor een transformatie naar Industry 4.0. Dat geldt voor elk bedrijf, maar zeker voor aanbieders van essentiële diensten.
Bent u zo een bedrijf, bijvoorbeeld in de Belgische energie-, transport- of drinkwatersector? Dan bestaat de kans dat u aan de Europese NIS-richtlijn moet voldoen, die op 3 mei 2019 werd omgezet in Belgische NIS-wetgeving. Word meteen volledig NIS-compliant, met het unieke aanbod van IC4, Siemens en Vandelanotte: NIS compliance 4.0.
En ook als uw onderneming niet aan de NIS-wetgeving moet voldoen, kunt u van deze aanpak gebruikmaken. Wanneer u het juridische luik buiten beschouwing laat, kunt u de overige stappen immers als een ‘best practice’ beschouwen, over hoe u het best omgaat met cybersecurity op zowel IT- als OT-gebied. Gebaseerd op internationaal erkende standaarden (ISO 27001 en IEC 62443).
Meer weten over deze aanpak?
Iedereen, elk bedrijf loopt risico. Het is niet de vraag of u ooit een cyberaanval krijgt, maar wanneer. Vaak wordt daarbij op technologie ingezet, om u ertegen te beschermen, zoals firewalls en antivirussoftware. Maar de belangrijkste factor blijft de mens. Zolang de gebruiker van uw systemen zich onvoldoende bewust is van de risico’s, zal uw firma een makkelijke prooi voor hackers blijven. Het is dan ook uitermate belangrijk om een organisatie op te bouwen waarin de verantwoordelijkheden duidelijk gedefinieerd zijn en waarbij medewerkers cybersecurity hoog in het vaandel dragen. Bovendien moet u zich altijd op het ‘worstcasescenario’ voorbereiden. Een incident-responseplan is daarbij onmisbaar.Kurt Callewaert, Head of Research Applied Computer Science bij HOWEST
De meeste industriële bedrijven zijn al in sterke mate geautomatiseerd en voelen zich dan ook klaar voor een shift van Industry 3.0 naar Industry 4.0. Bij het opstellen van de Industry 4.0-roadmap zou cybersecurity altijd op de eerste plaats moeten komen. Innovatieve projecten rond topics zoals data analytics, AI, digital twins en IIoT zullen immers des te succesvoller zijn als ze van een goede basis kunnen vertrekken. Zie cybersecurity daarbij als die fundering van uw wolkenkrabber.Augustijn Degrieck, Industry 4.0-specialist bij Siemens
De NIS-wetgeving niet naleven? Dan loopt u als bedrijf risico op zware boetes. Een gevangenisstraf, een geldboete tot 50.000 euro (te vermenigvuldigen met 8) of een administratieve sanctie tot 200.000 euro: het zijn zaken die u liever vermijdt. Iedereen binnen uw organisatie weet dus maar best wat van hem of haar verwacht wordt! Of het nu gaat om een eenmalige opdracht of om een continue begeleiding, ons gespecialiseerd team van experten staat klaar om u te ondersteunen bij al uw juridische vragen.Nikolas Vandelanotte, CEO bij Vandelanotte
Hoe wordt u NIS-compliant in 4 stappen?
Om als aanbieder van essentiële diensten volledig aan de vereisten van de Belgische NIS-wetgeving te voldoen, moet u vier stappen doorlopen.
Proces voor rapportering opzetten
Doet er zich een cyberveiligheidsincident in uw Belgische bedrijf voor, dan moet u dat onmiddellijk aan het CERT melden. Daarbij geeft u de duur van het incident mee, net als het aantal gebruikers en het geografische gebied dat door het incident getroffen kan worden. Daarvoor moet u dus een afdoend rapporteringsproces opstellen of aanscherpen.
NIS-policy opstellen, voor de juiste beveiliging
Als aanbieder van essentiële diensten moet u ook een NIS-policy opstellen en implementeren. Een guideline dus, met alle door te voeren ingrepen, om uw cyberbeveiliging NIS-compliant te maken. Deze policy dient in overeenstemming te zijn met ISO/IEC 27001 en/of andere internationale standaarden die de Belgische overheid als evenwaardig beschouwt.
Dit moest vóór 3 november 2020 in orde zijn, voor de aanbieders van essentiële diensten die op 3 november 2019 al door hun sectorautoriteit geïdentificeerd werden. Die identificatie vond plaats in overleg met het Center For Cyber Security Belgium en de Federale Overheidsdienst Binnenlandse Zaken.
Databeschermingsautoriteiten informeren
Wanneer de Data Protection Authority of een soortgelijke instantie uit uw sector dit vraagt, moet u binnen de dertig dagen de rapporten van uw interne en externe beveiligingsaudits met hen delen. Ook moet u een beschrijving van uw bedrijfsnetwerk en informaticasystemen kunnen bezorgen, indien gevraagd, en een NIS-officer en data protection officer (GDPR) als vaste contactpersoon aanwijzen.
De beschrijving en de aanstelling van een NIS-officer diende u opnieuw voor 3 februari 2020 in orde te brengen, indien u al op 3 november 2019 als aanbieder van essentiële diensten werd geïdentificeerd.
Audits organiseren
Jaarlijks moet u een interne audit van uw cyberbeveiliging op touw zetten. Bovendien dient u de security elke drie jaar extern te laten auditeren, door een certificatie-instelling erkend door ISO/IEC 17021 of door BELAC, de Belgische accrediteringsinstantie volgens ISO/IEC 17065.
De eerste interne audit moest voor 3 februari 2021 plaatsvinden en de eerste externe dient u voor 3 februari 2023 in te plannen, opnieuw op voorwaarde dat u al op 3 november 2019 als aanbieder van essentiële diensten geïdentificeerd werd.
Om compliant met de NIS-richtlijn te worden, moet u heel wat maatregelen uitwerken en implementeren. Opdat u daar zo efficiënt mogelijk werk van kunt maken, bieden wij u samen met twee partners een pragmatische ondersteuning, uniek op de Belgische markt, waarmee we u maximaal helpen, doorheen elke stap. Reken:
- Voor de nodige organisatorische support op IC4 van Hogeschool West-Vlaanderen.
- Voor de nodige technologie en technische kennis op Siemens.
- Voor het nodige juridische advies op accountancy- en auditbureau Vandelanotte.
Reageer afdoend en rapporteer compliant aan CERT
Samen met IC4 helpt Siemens u een responsplan opstellen, om adequaat te reageren en te rapporteren bij een incident. Een gedetailleerd plan om elk incident te detecteren en te analyseren, de gevolgen terug te schroeven, de schade te herstellen, en nadien alle vereiste acties te ondernemen. Voor een diepgaande cyberbeveiliging.
Daarnaast tekent Vandelanotte samen met u al het nodige uit, zodat u incidenten volledig NIS-compliant aan het CERT kunt rapporteren:
- Policies: wat moet u wel en niet rapporteren?
- Processen: wat moet u documenteren, en wie moet u waarover informeren?
- Procedures: welke documenten moet u doorgeven, en via welk kanaal?
Definieer en implementeer uw NIS-policy
Samen met IC4 en Siemens beschrijven we uw bedrijfsnetwerk en informaticasystemen, zodat u deze informatie kunt doorgeven, indien gevraagd. Om uw NIS-policy te kunnen opstellen, waarmee u uw cyberbeveiliging op het vereiste NIS-niveau brengt, moet u eerst uw huidige security analyseren. Reken daarvoor op de expertise van Siemens en onze partners IC4 en Vandelanotte.
Eerst brengt IC4 de risico’s van uw IT- en OT-beveiliging in kaart, via een risk assessment, volgens ISO 27005. Daarna anaIyseert IC4 de weg te werken organisatorische hiaten, aan de hand van een organizational gap analysis, om uw OT- en IT-beveiliging NIS-compliant te maken, op basis van ISO 27001.
Welke technologische hiaten u ten slotte moet wegwerken voor uw OT-beveiliging, onderzoeken we bij Siemens via een technical gap analysis, volgens IEC 62443-3-3. Hetzelfde doen we voor uw IT-beveiliging, samen met IC4, volgens ISO 27001.
Informeer correct de autoriteiten voor databescherming
Samen met Vandelanotte werkt u al het nodige uit, om de Data Protection Authority en soortgelijke autoriteit in uw sector correct te informeren:
- De nodige policies: wat moet u wel en niet rapporteren?
- De nodige processen: wat moet u documenteren, en wie moet u waarover informeren?
- De nodige procedures: welke documenten moet u doorgeven, en via welk kanaal?
Vind de weg naar de juiste externe auditeur
U vraagt zich af welke certificatie-instelling, erkend door ISO/IEC 17021 of BELAC, u het best inschakelt, om uw cyberbeveiliging extern te laten auditeren? Dan staat IC4 u graag bij met het nodige advies, zodat u zeker een externe auditeur kiest die NIS-compliant is.
NIS compliance 4.0 was voor ons de ideale aanpak. Het toonde ons exact wat we dienden te doen in het kader van de NIS wetgeving en hielp ons met een roadmap op te stellen. Door onze interne kennis te combineren met deze van de partners konden we op een efficiënte manier de cybersecurity maturiteit binnen ons bedrijf verhogen. Een secure voorziening van drinkwater is immers in het belang van elke burger.”Gerd De Mey, ICT Manager bij FARYS