NIS2 Risicobeoordeling: Een gestructureerd kader om uw cyberleemten te identificeren en te prioriteren

Artikel 21 van de NIS2-richtlijn schrijft voor dat essentiële en belangrijke entiteiten een risicogebaseerde aanpak voor cyberbeveiliging moeten hanteren. Maar de richtlijn schrijft geen specifieke methodologie voor. Organisaties moeten een kader selecteren en implementeren dat geschikt is voor hun omvang, blootstelling en sector. Deze gids presenteert een gestructureerde methodologie in zes stappen die is afgestemd op ISO 27005:2022 (Risicobeheer van informatiebeveiliging) en ENISA-richtlijnen, op maat gemaakt voor organisaties die onder NIS2 vallen.

Waarom een gestructureerd kader belangrijk is

Ad-hocbeveiligingsmaatregelen, hoe goedbedoeld ook, voldoen niet aan de NIS2-norm. Artikel 21 vereist maatregelen die passend en evenredig zijn, wat een gedocumenteerde motivering voor elke beveiligingsbeslissing inhoudt. Een gestructureerd kader voor risicobeoordeling biedt die onderbouwing. Het zorgt ervoor dat middelen worden toegewezen aan de risico's met de grootste impact, dat restrisico's bewust worden geaccepteerd door het management en dat naleving kan worden aangetoond aan toezichthoudende instanties.

Het hier gepresenteerde raamwerk volgt zes opeenvolgende stappen. Elke stap levert gedocumenteerde output op die in de volgende stap wordt ingevoerd, waardoor een uitgebreid en controleerbaar risicobeheerproces ontstaat.

Stap 1: Activa identificeren en waarderen

Voordat u risico's kunt beoordelen, moet u weten wat u beschermt. Inventarisatie van bedrijfsmiddelen creëert een uitgebreide inventaris van de informatiemiddelen, netwerk- en informatiesystemen en ondersteunende infrastructuur binnen uw NIS2-werkgebied.

Categorieën van activa om te inventariseren:

• Informatiemiddelen: klantendatabases, intellectueel eigendom, personeelsdossiers, financiële gegevens, operationele gegevens
• Hardware-assets: servers, werkstations, netwerkapparatuur, IoT-apparaten, mobiele apparaten
• Softwaremiddelen: besturingssystemen, toepassingen, middleware, firmware
• Netwerkactiva: LAN/WAN-infrastructuur, firewalls, VPN's, cloudconnectiviteit
• Service-assets: cloudservices, SaaS-platforms, beheerde services, API's van derden
• Personeel: sleutelrollen en hun toegangsniveaus

Elk bedrijfsmiddel moet worden gewaardeerd op basis van zijn kriticiteit voor uw activiteiten en de gevoeligheid van de gegevens die het bevat. ISO 27005 raadt aan om een bedrijfsimpactwaarde toe te kennen (bijv. laag, medium, hoog, kritiek) op basis van de mogelijke gevolgen van compromittering van vertrouwelijkheid, integriteit en beschikbaarheid.

Stap 2: Dreigingsanalyse

Bedreigingsanalyse identificeert de potentiële bronnen en gebeurtenissen die uw bedrijfsmiddelen in gevaar kunnen brengen. Bedreigingen kunnen worden gecategoriseerd als:

• Opzettelijk: gerichte cyberaanvallen, ransomware, bedreigingen van binnenuit, spionage, hacktivisme
• Onopzettelijk: menselijke fouten, verkeerde configuraties, softwarebugs, hardwarefouten
• Milieu: natuurrampen, stroomuitval, verstoringen in de toeleveringsketen

Gebruik informatiebronnen over bedreigingen om uw analyse te kalibreren. ENISA publiceert jaarlijks een rapport over de bedreigingslandschappen waarin de belangrijkste bedreigingen voor Europese organisaties worden geïdentificeerd. Sectorspecifieke ISAC's (Information Sharing and Analysis Centres) leveren informatie die relevant is voor de branche. Uw analyse moet rekening houden met zowel de waarschijnlijkheid van elke bedreiging als de capaciteiten van relevante bedreigingsactoren.

Stap 3: Beoordeling van de kwetsbaarheid

Kwetsbaarheidsbeoordeling identificeert de zwakke plekken in uw systemen, processen en controles die gebruikt zouden kunnen worden door de bedreigingen die in stap 2 zijn geïdentificeerd. Dit omvat:

• Technische kwetsbaarheden: ongepatchte software, zwakke configuraties, open poorten, ontbrekende codering
• Organisatorische kwetsbaarheden: ontoereikend beveiligingsbeleid, onvoldoende training, onduidelijke verantwoordelijkheden
• Fysieke kwetsbaarheden: onvoldoende toegangscontroles, gebrek aan milieubescherming
• Kwetsbaarheden in de toeleveringsketen: niet-goedgekeurde software van derden, onveilige API's, zwakke beveiligingspraktijken van leveranciers

Geautomatiseerde instrumenten voor het scannen van kwetsbaarheden bieden een basislijn, maar moeten worden aangevuld met handmatige tests (penetratietests) en procesbeoordelingen. Artikel 21, lid 2, onder e), van NIS2 vereist specifiek mogelijkheden voor het omgaan met en openbaar maken van kwetsbaarheden.

Stap 4: Impactanalyse

Beoordeel voor elk plausibel paar bedreiging/kwetsbaarheid de potentiële impact als het risico werkelijkheid wordt. De impact moet over meerdere dimensies worden beoordeeld:

• Operationele impact: onderbreking van de service, hersteltijd, verlies van kritieke mogelijkheden
• Financiële gevolgen: directe kosten (reactie op incident, herstel), indirecte kosten (gederfde inkomsten, contractuele boetes)
• Gevolgen regelgeving: NIS2 boetes (tot EUR 10M of 2% omzet voor essentiële entiteiten), GDPR boetes als het om persoonsgegevens gaat.
• Reputatie-effect: vertrouwen van klanten, media-aandacht, concurrentiepositie
• Gevolgen voor de veiligheid: lichamelijke schade (relevant voor gezondheidszorg, energie, transport)

Gebruik een consistente impactschaal (bijv. verwaarloosbaar, klein, matig, groot, catastrofaal) met gedefinieerde criteria voor elk niveau. Dit zorgt voor vergelijkbaarheid tussen risico's en ondersteunt de prioritering.

Stap 5: Risico-evaluatie en -prioritering

Risico is de combinatie van de waarschijnlijkheid dat een bedreiging misbruik maakt van een kwetsbaarheid en de impact als dat gebeurt. Gebruik een risicomatrix om elk geïdentificeerd risico uit te zetten:

Risiconiveau = Waarschijnlijkheid x Impact. Deel risico's in als: Kritisch (onmiddellijke actie vereist), Hoog (actie vereist binnen een bepaald tijdsbestek), Middelmatig (controle en herstel plannen), Laag (accepteren of controleren).

De stap van de risicobeoordeling is waar de verantwoordelijkheid van het management krachtens artikel 20 van de NIS2 concreet wordt. Het bestuursorgaan moet de risicobeoordeling beoordelen en formeel goedkeuren, en restrisico's accepteren met volledig besef van hun mogelijke gevolgen.

Stap 6: Risicobehandeling plannen

Selecteer voor elk risico boven de door uw organisatie gedefinieerde risicobereidheid een behandelingsoptie:

• Beperken: Controles implementeren om de waarschijnlijkheid of impact te verminderen (de meest voorkomende behandeling)
• Overdragen: Verplaats het risico naar een derde partij, meestal door middel van een cyberverzekering of uitbesteding aan een gespecialiseerde leverancier
• Vermijden: Elimineer het risico door de activiteit die het veroorzaakt te staken.
• Accepteren: Het risico bewust accepteren als de behandelingskosten hoger zijn dan de potentiële impact (moet worden gedocumenteerd en goedgekeurd door het management)

Documenteer voor elke risicobeperkende maatregel de verwachte risicovermindering, implementatietijdlijn, verantwoordelijke eigenaar en vereiste middelen. Dit wordt uw risicobehandelingsplan, een levend document dat uw cyberbeveiligingsinvesteringen en -prioriteiten aanstuurt.

Structuur risicoregister

Het risicoregister is het centrale artefact van uw risicobeoordeling. Het moet voor elk geïdentificeerd risico de volgende velden bevatten:

• Risico-ID: Unieke identificatiecode
• Activa: De activa die gevaar lopen
• Bedreiging: De bedreigingsbron en gebeurtenis
• Kwetsbaarheid: De zwakke plek die wordt uitgebuit
• Bestaande controles: Huidige maatregelen die al van kracht zijn
• Waarschijnlijkheid: Geschatte waarschijnlijkheid (bijv. schaal van 1-5)
• Impact: Beoordeeld gevolg (bijv. schaal van 1-5)
• Inherent risiconiveau: Vóór aanvullende behandeling
• Behandelingsoptie: Verzachten, overdragen, vermijden of accepteren
• Geplande controles: Extra uit te voeren maatregelen
• Overblijvend risiconiveau: Na geplande behandeling
• Risico-eigenaar: Persoon die verantwoordelijk is voor het beheer van dit risico
• Herbeoordelingsdatum: Volgende geplande herbeoordeling

Afstemming op ISO 27005 en ENISA-richtlijnen

Deze methodologie in zes stappen sluit nauw aan bij ISO 27005:2022, die het referentiekader biedt voor risicobeheer van informatiebeveiliging binnen een ISO 27001-beheersysteem. Organisaties die een ISO 27001-certificering nastreven, zullen merken dat een goed uitgevoerde risicobeoordeling volgens deze methodologie voldoet aan de vereisten van ISO 27001-clausule 6.1.2.

ENISA heeft verschillende ondersteunende bronnen gepubliceerd, waaronder de NIS2 Implementation Guidance en het Interoperable Risk Management Framework. Deze hulpmiddelen bevatten sectorspecifieke risicoscenario's, dreigingscatalogi en controleoverzichten die gebruikt kunnen worden om uw risicobeoordeling te versnellen.

Voortdurende verbetering

Een risicobeoordeling is geen point-in-time oefening. Artikel 21, lid 2, onder f), van het NIS2 vereist beleid en procedures om de effectiviteit van maatregelen voor risicobeheer op het gebied van cyberbeveiliging te beoordelen. Dit betekent:

• Risico's minstens jaarlijks en na elke belangrijke verandering (nieuwe systemen, organisatorische veranderingen, nieuwe bedreigingen) opnieuw beoordelen
• De effectiviteit van geïmplementeerde controles bewaken met behulp van KPI's en beveiligingscijfers
• Voer tafeloefeningen en simulaties uit om uw risicoscenario's te testen
• Informatie over bedreigingen regelmatig bijwerken
• De resultaten van de risicobeoordeling rapporteren aan het management als onderdeel van de NIS2-governancecyclus

Een gestructureerde, gedocumenteerde en regelmatig bijgewerkte risicobeoordeling is niet slechts een oefening in naleving. Het is de basis van een effectief cyberbeveiligingsprogramma dat uw organisatie, uw klanten en uw concurrentiepositie beschermt in een steeds vijandiger wordend bedreigingslandschap.