NIS2 plichtige organisaties moeten significante incidenten binnen 24 uur melden aan hun sectorspecifieke toezichthouder. Deze verplichting heeft impact op het proces van incidentbehandeling binnen deze organisaties, maar ook op de afspraken die zij maken met hun ketenpartners. Deze blog zoomt in op definities en best-practices die kunnen bijdrage aan een effectief incidentbehandelingsproces.
Organisaties die NIS2 plichtig zijn, moeten een proces inrichten van het behandelen van incidenten. De NIS2 definieert een incident als:
“…een gebeurtenis die de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van opgeslagen, verzonden of verwerkte gegevens of van de diensten die worden aangeboden door of toegankelijk zijn via netwerk- en informatiesystemen, in gevaar brengt.”
Incidentmanagement gaat over de manier waarop een organisatie dit soort incidenten voorkomt, opspoort, analyseert, indamt en herstelt. Kortom – het gaat om een verzameling aan acties en procedures die bijdrage aan een gecontroleerde aanpak ten aanzien van incidenten.
Onderdeel van deze procedures is het vaststellen of een incident een significante cyberdreiging omvat. De NIS definieert een significate cyberdreiging:
“…een cyberdreiging waarvan op basis van de technische kenmerken kan worden aangenomen dat zij ernstige gevolgen kan hebben voor de netwerk- en informatiesystemen van een entiteit of de gebruikers van de diensten van de entiteit door het veroorzaken van aanzienlijke materiële of immateriële schade.”
Een significant incident moet binnen 24 uur gemeld worden aan de sectorspecifieke toezichthouder.
Aan de basis van effectief incident management ligt een gestructureerd proces met duidelijke stappen, rollen en verantwoordelijkheden. Het moet in ieder geval duidelijk zijn hoe en door wie een incident wordt vastgesteld. Daarnaast moet duidelijk zijn wie betrokken is bij alle opvolgende stappen en hoe snel deze stappen doorlopen moeten worden.
Organisaties die aan de slag willen met incident management kunnen ervoor kiezen een ISMS (information security management system) in te richten op basis van een (inter) nationale standaard – zoals ISO 27001. Een managementsysteem dat is ingericht in SmartManSys beschikt over een module voor het registreren, analyseren en opvolgen van incidenten en helpt een organisatie vorm te geven aan procesbeschrijvingen, rollen en verantwoordelijkheden in een geïntegreerde structuur.
Naast deze interne vastlegging, moet in de documentatie voor NIS2 aantoonbaar een proces zijn ingericht zijn om de significante incidenten te melden bij sectorspecifieke Cyberloketten.
Belangrijk: een melding van een incident dient direct ingediend te worden.
BMGRIP kan jouw organisatie helpen grip te krijgen op incidentbehandelingen door de implementatie van een ISMS. De managementsystemen van BMGRIP helpen je processen te borgen, risico’s te beheersen en de juiste controle elementen in te bouwen die ervoor zorgen dat incidentbehandeling voldoende aandacht krijgt.
