Verplichte overheidsspecifieke maatregelen en richtlijnen¶

BIO2 in ontwikkeling

Dit is een werkversie van de BIO2. De teksten zijn nog niet representatief voor de definitieve versie. De documentatie is alleen bedoeld om mee te kunnen denken. De definitieve versie kan nog wezenlijk veranderen.

Info

Het gebruik van delen van de NEN-EN-ISO/IEC normen 27001 en 27002 in de BIO is auteursrechtelijk beschermd. Het gebruik van teksten uit deze normen in de BIO geschiedt met toestemming van het Nederlands Normalisatie Instituut. Voor meer informatie zie de website van NEN

De opbouw van dit document is als volgt: - Titel - Beheersmaatregel uit de ISO 27002 - Verplichte overheidsspecifieke maatregelen, achtereenvolgens: - “maatregelnummer” “maatregeltekst” - “draagt bij aan” - Achtergrond wijziging

Beheersmaatregel 5.01 Beleidsregels voor informatiebeveiliging¶

Informatiebeveiligingsbeleid en onderwerpspecifieke beleidsregels behoren te worden gedefinieerd, goedgekeurd door het management, gepubliceerd, gecommuniceerd aan en erkend door relevant personeel en relevante belanghebbenden en met geplande tussenpozen en als zich significante wijzigingen voordoen, te worden beoordeeld.

Verplichte overheidsspecifieke maatregelen¶

5.01.01 Verantwoordelijkheden en samenhang voor informatiebeveiliging, de beveiliging van operationele technologie en de verantwoordelijkheden met betrekking tot de continuïteit van de taakuitvoering van organisatie (BCM) zijn beschreven en vastgesteld.¶

De toewijzing van verantwoordelijkheid voor ketens van informatiesystemen aan lijnmanagers. De organisatie heeft een informatiebeveiligingsbeleid opgesteld. Dit beleid is vastgesteld door de leiding van de organisatie en bevat ten minste de volgende punten:

De strategische uitgangspunten en randvoorwaarden die de organisatie hanteert voor informatiebeveiliging en in het bijzonder de inbedding in en afstemming op het algemene beveiligingsbeleid en het informatievoorzieningsbeleid.
De organisatie van de informatiebeveiligingsfunctie, waaronder verantwoordelijkheden, taken en bevoegdheden.
De toewijzing van de verantwoordelijkheden en samenhang van informatiebeveiliging voor ketens van informatiesystemen, de beveiliging van operationele technologie en de verantwoordelijkheden met betrekking tot de continuïteit van de taakuitvoering van organisatie (BCM) aan lijnmanagers.
De gemeenschappelijke betrouwbaarheidseisen en normen die op de organisatie van toepassing zijn.
De frequentie waarmee het informatiebeveiligingsbeleid wordt geëvalueerd.
De bevordering van het beveiligingsbewustzijn.

Basishygiëne NIS2, ketenhygiëne

5.01.02 Het informatiebeveiligingsbeleid wordt jaarlijks en in aansluiting bij de (bestaande) bestuurs- en Planning & Control (P&C)-cycli en externe ontwikkelingen beoordeeld en zo nodig bijgesteld.¶

Basishygiëne NIS2

Beheersmaatregel 5.02 Rollen en verantwoordelijkheden bij informatiebeveiliging¶

Rollen en verantwoordelijkheden bij informatiebeveiliging behoren te worden gedefinieerd en toegewezen overeenkomstig de behoeften van de organisatie.

Verplichte overheidsspecifieke maatregelen¶

5.02.01 De leiding van de organisatie heeft vastgelegd wat de verantwoordelijkheden en rollen zijn op het gebied van informatiebeveiliging (ook voor OT en BCM) binnen haar organisatie, met specifieke aandacht voor de verantwoordelijkheden en rollen voor het adequaat afhandelen van incidenten. Lijnmanagers en proceseigenaren die verantwoordelijk zijn voor bedrijfsmiddelen zijn ook verantwoordelijk voor de behandeling van risico's die op die bedrijfsmiddelen van toepassing zijn.¶

Basishygiëne NIS2

5.02.02 De verantwoordelijkheden en rollen ten aanzien van informatiebeveiliging zijn gebaseerd op relevante voorschriften en wetten.¶

Basishygiëne NIS2

5.02.03 Er is een CISO aangesteld conform een vastgesteld CISO-functieprofiel en deze CISO heeft een onafhankelijke positie binnen de organisatie hiërarchie t.o.v. het lijnmanagement zodat de CISO vrij kan rapporteren aan het bestuur en of het controlerend orgaan.¶

Basishygiëne NIS2

Beheersmaatregel 5.03 Functiescheiding¶

Conflicterende taken en conflicterende verantwoordelijkheden behoren te worden gescheiden.

Verplichte overheidsspecifieke maatregelen¶

5.03.01 Geen aanvullende maatregel¶

Bovenliggende beheersmaatregel is niet verplicht en toepassing moet volgen uit risicoanalyse.

Beheersmaatregel 5.04 Managementverantwoordelijkheden¶

Het management behoort van al het personeel te eisen dat ze informatiebeveiliging toepassen overeenkomstig het vastgestelde informatiebeveiligingsbeleid, de onderwerpspecifieke beleidsregels en procedures van de organisatie.

Verplichte overheidsspecifieke maatregelen¶

5.04.01 Er is aansluiting bij een klokkenluidersregeling, zodat iedereen anoniem en veilig overtredingen kan melden.¶

Basishygiëne NIS2

Beheersmaatregel 5.05 Contact met overheidsinstanties¶

De organisatie behoort contact met de relevante instanties te leggen en te onderhouden.

Verplichte overheidsspecifieke maatregelen¶

5.05.01 De organisatie heeft uitgewerkt wie met welke (overheids)instanties en toezichthouders contact heeft ten aanzien van incidenten of calamiteiten en welke eisen voor deze aangelegenheden relevant zijn. En dit overzicht wordt jaarlijks geactualiseerd.¶

Ketenhygiëne

Beheersmaatregel 5.06 Contact met speciale belangengroepen¶

De organisatie behoort contacten met speciale belangengroepen of andere gespecialiseerde beveiligingsfora en beroepsverenigingen te leggen en te onderhouden.

Verplichte overheidsspecifieke maatregelen¶

5.06.01 Geen aanvullende maatregel¶

Bovenliggende beheersmaatregel is niet verplicht en toepassing moet volgen uit risicoanalyse.

Beheersmaatregel 5.07 Informatie en analyses over dreigingen¶

Informatie met betrekking tot informatiebeveiligingsdreigingen behoort te worden verzameld en geanalyseerd om informatie en analyses over dreigingen te produceren.

Verplichte overheidsspecifieke maatregelen¶

5.07.01 De richtlijn uit de iso 27002 bij beheersmaatregel 5.07 is van toepassing.¶

Basishygiëne NIS2, ketenhygiëne

Beheersmaatregel 5.08 Informatiebeveiliging in projectmanagement¶

Informatiebeveiliging behoort te worden geïntegreerd in projectmanagement.

Verplichte overheidsspecifieke maatregelen¶

5.08.01 Bij nieuwe informatiesystemen en bij wijzigingen op bestaande informatiesystemen moet een expliciete risicoafweging op basis van de NEN-ISO-27005 worden uitgevoerd ten behoeve van het vaststellen van de beveiligingseisen.¶

Ketenhygiëne

Beheersmaatregel 5.09 Inventarisatie van informatie en andere gerelateerde bedrijfsmiddelen¶

Er behoort een inventarislijst van informatie en andere gerelateerde bedrijfsmiddelen, met inbegrip van de eigenaren, te worden opgesteld en onderhouden.

Verplichte overheidsspecifieke maatregelen¶

5.09.01 Het opzetten en bijhouden van een nauwkeurige, gedetailleerde en actuele inventaris van alle bedrijfsmiddelen die gebruikt worden voor informatieverwerking. Deze inventarisatie omvat ook de eigenschappen van bedrijfsmiddelen op afstand en cloudomgevingen die met de infrastructuur zijn verbonden. Daarnaast omvat ook bedrijfsmiddelen die regelmatig verbonden zijn met de netwerkinfrastructuur van het bedrijf, zelfs als ze niet onder controle staan van het bedrijf. Controleer en update de inventaris van alle bedrijfsmiddelen twee keer per jaar, of vaker.¶

Basishygiëne NIS2, ketenhygiëne

Beheersmaatregel 5.10 Aanvaardbaar gebruik van informatie en andere gerelateerde bedrijfsmiddelen¶

Regels voor het aanvaardbaar gebruik van en procedures voor het omgaan met informatie en andere gerelateerde bedrijfsmiddelen behoren te worden geïdentificeerd, gedocumenteerd en geïmplementeerd.

Verplichte overheidsspecifieke maatregelen¶

5.10.01Bestuuders moeten kunnen aantonen dat zij opleidingen hebben gevolgd waarmee ze voldoende kennis en vaardigheden hebben gekregen om risico’s op het gebied van cyberbeveiliging te herkennen en de gevolgen ervan te beoordelen op de diensten en/of producten die de organisatie levert.¶

Basishygiëne NIS2

5.10.02 De gedragsregels voor het gebruik van bedrijfsmiddelen zijn voor extern personeel in het contract vastgelegd overeenkomstig de huisregels of interne gedragsregels.¶

Basishygiëne NIS2, ketenhygiëne

5.10.3 Alle medewerkers zijn aantoonbaar gewezen op de gedragsregels voor het gebruik van bedrijfsmiddelen.¶

Basishygiëne NIS2, ketenhygiëne

5.10.4 Werknemers moeten regelmatig, net zoals bestuurders bij 5.10.1, opleiding en traning volgen om risico's te kunnen herkennen en daar een juiste reactie op te geven.¶

Basishygiëne NIS2

Beheersmaatregel 5.11 Retourneren van bedrijfsmiddelen¶

Personeel en andere belanghebbenden, al naargelang de situatie, behoren alle bedrijfsmiddelen van de organisatie die ze in hun bezit hebben bij beëindiging van hun dienstverband, contract of overeenkomst te retourneren.

Verplichte overheidsspecifieke maatregelen¶

5.11.01 Geen aanvullende maatregel¶

Bovenliggende beheersmaatregel is niet verplicht en toepassing moet volgen uit risicoanalyse.

Beheersmaatregel 5.12 Classificeren van informatie¶

Informatie behoort te worden geclassificeerd volgens de informatiebeveiligingsbehoeften van de organisatie, op basis van de eisen voor vertrouwelijkheid, integriteit, beschikbaarheid en relevante eisen van belanghebbenden.

Verplichte overheidsspecifieke maatregelen¶

5.12.01 Informatie in alle informatiesystemen is door middel van een expliciete risicoafweging geclassificeerd, zodat duidelijk is welke bescherming nodig is, hierbij wordt gebruik gemaakt van een vastgestelde impact classificatie.¶

Basishygiëne NIS2, ketenhygiëne

Beheersmaatregel 5.13 Labelen van informatie¶

Om informatie te labelen, behoort een passende reeks procedures te worden ontwikkeld en geïmplementeerd in overeenstemming met het informatieclassificatieschema dat is vastgesteld door de organisatie.

Verplichte overheidsspecifieke maatregelen¶

5.13.01 Geen aanvullende maatregel¶

ketenhygiëne

Beheersmaatregel 5.14 Overdragen van informatie¶

Er behoren regels, procedures of overeenkomsten voor informatieoverdracht te zijn ingesteld voor alle soorten van communicatiefaciliteiten binnen de organisatie en tussen de organisatie en andere partijen.

Verplichte overheidsspecifieke maatregelen¶

5.14.01 Websites en e-mail berichtenverkeer moeten blijvend voldoen aan een 100% score op internet.nl. De enige uitzondering is dat de score op IPV6 niet verplicht is.¶

Basishygiëne NIS2

5.14.02 Maak bij webverkeer gebruik van ten minste publiek vertrouwde Organization Validated-certificaten, tenzij uit een risicoanalyse, aansluitvoorwaarden of wetgeving blijkt dat een hogere eis nodig is of met een lagere eis kan worden volstaan.¶

Basishygiëne NIS2

5.14.03 Geavanceerde en/of gekwalificeerde elektronische handtekeningen moeten voldoen aan de Advanced Electronic Signatures (AdES Baseline Profiles), zoals opgenomen in de Lijst open standaarden van Forum Standaardisatie.¶

Basishygiëne NIS2

5.14.04 Van alle internetfacingsystemen, webapplicaties, IP-adressen en api's is een actuele registratie.¶

Basishygiëne NIS2

5.14.05 Publiek toegankelijke websites worden bekend gemaakt via Register Internetdomeinen Overheid.¶

Basishygiëne NIS2

Beheersmaatregel 5.15 Toegangsbeveiliging¶

Er behoren regels op basis van bedrijfs- en informatiebeveiligingseisen te worden vastgesteld en geïmplementeerd om de fysieke en logische toegang tot informatie en andere gerelateerde bedrijfsmiddelen te beheersen.

Verplichte overheidsspecifieke maatregelen¶

5.15.01 Alleen geauthentiseerde apparatuur of programmatuur die draait binnen een veilig geachte schil heeft toegang tot een vertrouwde zone.¶

Basishygiëne NIS2, ketenhygiëne

Beheersmaatregel 5.16 Identiteitsbeheer¶

De volledige levenscyclus van identiteiten behoort te worden beheerd.

Verplichte overheidsspecifieke maatregelen¶

5.16.01 Er is een sluitende formele registratie- en afmeldprocedure is voor het beheren van gebruikersidentificaties.¶

Basishygiëne NIS2

5.16.02 Het gebruiken van groepsaccounts is niet toegestaan, tenzij dit wordt gemotiveerd en vastgelegd door de proceseigenaar.¶

Basishygiëne NIS2

Beheersmaatregel 5.17 Authenticatie-informatie¶

De toewijzing en het beheer van authenticatie-informatie behoort te worden beheerst door middel van een beheerproces waarvan het adviseren van het personeel over de juiste manier van omgaan met authenticatie-informatie deel uitmaakt.

Verplichte overheidsspecifieke maatregelen¶

5.17.01 Pas standaard multi-factor authenticatie (MFA) toe bij accounts die vanaf het internet bereikbaar zijn, accounts die beheerrechten hebben en accounts op essentiële systemen.¶

Pas MFA toe in de volgende volgorde van voorkeur:
1. Wachwoordloze toegang, zoals een pincode in combinatie met een hardware token of persoonlijk uniek certificaat (passkey).
2. Wachtwoord toegang in combinatie met minimaal een tweede factor. Waar dit niet mogelijk is, gebruik een gebruikersnaam in combinatie met sterk* wachtwoord.
3. In het voorkomende geval voor operationele technologie dat MFA en een sterk wachtwoord niet mogelijk is, volg de richtlijnen voor “Cybersecurity Implementatie Richtlijn 7 Wachtwoorden”.
Signaleer inlogpogingen van onbekende plekken en attendeer de gebruiker hierop.
Toegang vanuit het buitenland tot systemen voor medewerkers is alleen toegestaan na instemming door de CISO in overleg met de verantwoordelijke lijnmanager.
Geef multi-factor MFA uit aan een gebruiker nadat de identiteit van de gebruiker met zekerheid is vastgesteld.

*Eisen voor sterke wachtwoorden worden uitgewerkt in een implementatierichtlijn.

Basishygiëne NIS2, ketenhygiëne

5.17.02 Een wachtwoordmanager of vergelijkbaar of webbrowser is in staat om een waarschuwing te geven als de het wachtwoord voorkomt op lijsten met gecompromitteerde wachtwoorden of het vermoeden bestaat dat het wachtwoord gecompromitteerd is. In dat geval moet het wachtwoord worden gewijzigd.¶

Basishygiëne NIS2

5.17.03 De eisen aan wachtwoorden moeten geautomatiseerd worden afgedwongen.¶

Basishygiëne NIS2

Beheersmaatregel 5.18 Toegangsrechten¶

Toegangsrechten voor informatie en andere gerelateerde bedrijfsmiddelen behoren te worden verstrekt, beoordeeld, aangepast en verwijderd overeenkomstig het onderwerpspecifieke beleid en de regels inzake toegangsbeveiliging van de organisatie.

Verplichte overheidsspecifieke maatregelen¶

5.18.01 De richtlijn uit de iso 27002 bij beheersmaatregel 5.18 is van toepassing,.¶

Basishygiëne NIS2

5.18.02 Ongeautoriseerde afwijkingen op of ongeautoriseerde aanpassingen aan uitgegeven toegangsrechten worden beschouwd als beveiligingsincident en als zodanig vastgelegd en afgehandeld.¶

Basishygiëne NIS2

5.18.03 Alle uitgegeven toegangsrechten worden minimaal eenmaal per halfjaar beoordeeld.¶

Basishygiëne NIS2

Beheersmaatregel 5.19 Informatiebeveiliging in leveranciersrelaties¶

Er behoren processen en procedures te worden vastgesteld en geïmplementeerd om de informatiebeveiligingsrisico’s in verband met het gebruik van producten of diensten van de leverancier te beheersen.

Verplichte overheidsspecifieke maatregelen¶

5.19.01 Bij offerteaanvragen waar informatie(voorziening) een rol speelt, worden inkoopeisen ten aanzien van informatiebeveiliging (beschikbaarheid, integriteit en vertrouwelijkheid) benoemd. Deze eisen zijn gebaseerd op een expliciete risicoafweging.¶

Bij inkoopsegmenten die op cyberproducten of -diensten betrekking hebben, wordt als uitgangspunt voor de risicoanalyse de maatregelset Inkoopeisen Cybersecurity Overheid gehanteerd.

Basishygiëne NIS2, ketenhygiëne

Beheersmaatregel 5.20 Adresseren van informatiebeveiliging in leveranciersovereenkomsten¶

Relevante informatiebeveiligingseisen behoren te worden vastgesteld en met elke leverancier op basis van het type leveranciersrelatie te worden overeengekomen.

Verplichte overheidsspecifieke maatregelen¶

5.20.01 De beveiligingseisen uit de offerteaanvraag worden expliciet opgenomen in de (inkoop)contracten waar de verwerking van informatie een rol speelt.¶

Basishygiëne NIS2, ketenhygiëne

5.20.02 In situaties waarin contractvoorwaarden worden opgelegd door leveranciers, is voorafgaand aan het tekenen van het contract met een risicoafweging helder gemaakt wat de consequenties hiervan zijn voor de organisatie. Expliciet is gemaakt welke consequenties geaccepteerd worden, welke gemitigeerd moeten zijn en welke voorwaarden niet of nooit geaccepteerd mogen worden bij het aangaan van de overeenkomst.¶

Basishygiëne NIS2, ketenhygiëne

5.20.03 In inkoopcontracten wordt expliciet de mogelijkheid van een externe audit opgenomen waarmee de betrouwbaarheid van de geleverde dienst kan worden getoetst. Een audit is niet nodig als de contractant door middel van een ISO 27001 certificering of ISAE 3402 of richtlijn 3000 rapportage aantoont dat de gewenste betrouwbaarheid van de dienst is geborgd. In alle gevallen moet dan wel de scope en statement of applicability van deze certificering of rapportage passen bij de onderhavige levering of opdracht én moeten de hoge risico's die door de overheidsorganisatie zijn geïdentificeerd zijn behandeld.¶

Basishygiëne NIS2, ketenhygiëne

5.20.4 Voordat een contract wordt afgesloten, wordt in een risicoafweging bepaald of de afhankelijkheid van een leverancier beheersbaar is. Een vast onderdeel van het contract is een expliciete uitwerking van de exit-strategie.¶

Basishygiëne NIS2, ketenhygiëne

Beheersmaatregel 5.21 Beheren van informatiebeveiliging in de ICT-toeleveringsketen¶

Er behoren processen en procedures te worden bepaald en geïmplementeerd om de informatiebeveiligingsrisico’s in verband met de toeleveringsketen van ICT-producten en -diensten te beheersen.

Verplichte overheidsspecifieke maatregelen¶

5.21.01 Leveranciers moeten gedurende de looptijd van het contract:¶

hun keten van toeleveranciers bekendmaken;
transparant zijn over de maatregelen die zij genomen hebben om de aan hen opgelegde eisen ook door te vertalen naar hun toeleveranciers;
transparant zijn over de resultaten van de controle bij toeleveranciers over de aan hen opgelegde maatregelen.
risico's terugmelden.

Basishygiëne NIS2, ketenhygiëne

Beheersmaatregel 5.22 Monitoren, beoordelen en het beheren van wijzigingen van leveranciersdiensten¶

De organisatie behoort de informatiebeveiligingspraktijken en de dienstverlening van leveranciers regelmatig te monitoren, beoordelen, evalueren en veranderingen daaraan te beheren.

Verplichte overheidsspecifieke maatregelen¶

5.22.01 Er wordt een proces van leveranciers- en contractmanagement ingericht. Contractmanagement is verantwoordelijk voor de jaarlijkse beoordeling van de prestatie van leveranciers op het gebied van informatiebeveiliging op basis van vooraf vastgestelde prestatie-indicatoren, zoals deze in het contract opgenomen zijn.¶

Basishygiëne NIS2, ketenhygiëne

5.22.02 Er is een actuele registratie van leveranciers en afgesloten contracten¶

Basishygiëne NIS2, ketenhygiëne

Beheersmaatregel 5.23 Informatiebeveiliging voor het gebruik van clouddiensten¶

Processen voor het aanschaffen, gebruiken, beheren en beëindigen van clouddiensten behoren overeenkomstig de informatiebeveiligingseisen van de organisatie te worden opgesteld.

Verplichte overheidsspecifieke maatregelen¶

5.23.01 Het opzetten en onderhouden van een serviceprovidermanagementbeleid. Zorg ervoor dat het beleid betrekking heeft op de classificatie, inventarisatie, beoordeling, monitoring en buitenbedrijfstelling van dienstverleners. Controleer en update het beleid jaarlijks, of wanneer zich belangrijke veranderingen in de onderneming voordoen die van invloed kunnen zijn op deze waarborg.¶

Basishygiëne NIS2, ketenhygiëne

Beheersmaatregel 5.24 Plannen en voorbereiden van het beheer van informatiebeveiligings- incidenten¶

De organisatie behoort plannen op te stellen voor, en zich voor te bereiden op, het beheren van informatiebeveiligingsincidenten door processen, rollen en verantwoordelijkheden voor het beheer van informatiebeveiligingsincidenten te definiëren, vast te stellen en te communiceren.

Verplichte overheidsspecifieke maatregelen¶

5.24.01 Er is een voor alle interne en externe medewerkers toegankelijk meldloket waar beveiligingsincidenten kunnen worden gemeld.¶

Basishygiëne NIS2, ketenhygiëne

5.24.02 Er is een meldprocedure waarin de taken en verantwoordelijkheden van het meldloket staan beschreven.¶

Basishygiëne NIS2

5.24.03 De proceseigenaar is verantwoordelijk voor het oplossen van beveiligingsincidenten.¶

Basishygiëne NIS2

5.24.04 De opvolging van incidenten wordt maandelijks gerapporteerd aan de eindverantwoordelijke.¶

Basishygiëne NIS2

5.24.05 Een Coordinated Vulnerability Disclosure (CVD)-procedure is gepubliceerd en ingericht conform de NCSC leidraad of ISO/IEC 29147:2018. Informatie afkomstig uit de Coordinated Vulnerability Disclosure (CVD)-meldingen is onderdeel van de incidentrapportage.¶

Basishygiëne NIS2

[Kop 9] 5.24.06 (onderstaande maatregelen worden later uitgesplitst naar losse maatregelen) - In de incidentprocedure van de organisatie is er een koppeling gemaakt met crisisbeheersing. - De beveiliging van toeleveringsketens zijn onderdeel van de risicoanalyse voor de organisatie. - In de risicoanalyse wordt rekening gehouden met de specifieke kwetsbaarheden van elke rechtstreekse leverancier en dienstverlener en met de algemene kwaliteit van de producten en de cyberbeveiligingspraktijken van hun leveranciers en dienstverleners met inbegrip van hun veilige ontwikkelingsprocedures. - De incidentprocedure is er op ingericht om binnen de wettelijke termijn incidenten te melden bij het nationale CSIRT. - De incidentprocedure is er op ingericht om meldingen van het nationale CSIRT te ontvangen, te beoordelen en op te nemen in de risicobehandeling. - De incidentprocedure is er op ingericht om betrokkenen binnen de wettelijke termijn op de hoogte te stellen van het incident.

Basishygiëne NIS2

Beheersmaatregel 5.25 Beoordelen van en besluiten over informatiebeveiligingsgebeurtenissen¶

De organisatie behoort informatiebeveiligingsgebeurtenissen te beoordelen en te beslissen of ze moeten worden gecategoriseerd als informatiebeveiligingsincidenten.

Verplichte overheidsspecifieke maatregelen¶

5.25.01 Informatiebeveiligingsincidenten die hebben geleid tot een vermoedelijk of mogelijk opzettelijke inbreuk op de beschikbaarheid, vertrouwelijkheid of integriteit van informatieverwerkende systemen, behoren zo snel mogelijk (binnen [termijn Cyberbeveiligingswet]) al dan niet geautomatiseerd te worden gemeld aan het daarvoor aangestelde CSIRT.¶

Basishygiëne NIS2, overheidsrisico

Meldplichtige informatiebeveiligingsincidenten moeten conform de Cyberbeveveiligingswet binnen 24 uur gemeld worden via het portaal van het NCSC.¶

Basishygiëne NIS2

Beheersmaatregel 5.26 Reageren op informatiebeveiligingsincidenten¶

Op informatiebeveiligingsincidenten behoort te worden gereageerd in overeenstemming met de gedocumenteerde procedures.

Verplichte overheidsspecifieke maatregelen¶

5.26.01 Geen aanvullende maatregel¶

Bovenliggende beheersmaatregel is niet verplicht en toepassing moet volgen uit risicoanalyse.

Beheersmaatregel 5.27 Leren van informatiebeveiligingsincidenten¶

Kennis die is opgedaan met informatiebeveiligingsincidenten behoort te worden gebruikt om de beheersmaatregelen voor informatiebeveiliging te versterken en te verbeteren.

Verplichte overheidsspecifieke maatregelen¶

5.27.01 Beveiligingsincidenten worden geanalyseerd met als doel te leren en toekomstige beveiligingsincidenten te voorkomen.¶

Basishygiëne NIS2

5.27.02 De analyses van de beveiligingsincidenten worden gedeeld met de relevante partners om herhaling en toekomstige incidenten te voorkomen.¶

Basishygiëne NIS2

5.27.03 De opvolging en oplossing van meldplichtige beveiligingsincidenten wordt conform de cyberbeveiligingswet gemeld aan het NCSC.¶

Basishygiëne NIS2

Beheersmaatregel 5.28 Verzamelen van bewijsmateriaal¶

De organisatie behoort procedures vast te stellen en te implementeren voor het identificeren, verzamelen, verkrijgen en bewaren van bewijs met betrekking tot informatiebeveiligingsgebeurtenissen.

Verplichte overheidsspecifieke maatregelen¶

5.28.01 In geval van een (vermoed) informatiebeveiligingsincident is de bewaartermijn van de gelogde incidentinformatie minimaal drie jaar.¶

Basishygiëne NIS2

Beheersmaatregel 5.29 Informatiebeveiliging tijdens een verstoring¶

De organisatie behoort plannen te maken voor het op het passende niveau waarborgen van de informatiebeveiliging tijdens een verstoring.

Verplichte overheidsspecifieke maatregelen¶

5.29.01 Continuïteitsplannen worden jaarlijks getest door de verantwoordelijk proceseigenaar op geldigheid en bruikbaarheid.¶

Basishygiëne NIS2, ketenhygiëne

5.29.02 Door het uitvoeren van een expliciete risicoafweging worden de systemen die de wettelijke taak, doelsteliingen, missie en visie van de organisatie primair ondersteunen met hun bijbehorende betrouwbaarheidseisen geïdentificeerd door de proceseigenaar.¶

Basishygiëne NIS2, ketenhygiëne

5.29.03 De dienstverlening van de bedrijfskritische onderdelen wordt bij calamiteiten uiterlijk binnen een week hersteld.¶

Basishygiëne NIS2

Beheersmaatregel 5.30 ICT-gereedheid voor bedrijfscontinuïteit¶

De ICT-gereedheid behoort te worden gepland, geïmplementeerd, onderhouden en getest op basis van bedrijfscontinuïteitsdoelstellingen en ICT-continuïteitseisen.

Verplichte overheidsspecifieke maatregelen¶

5.30.01 Geen aanvullende maatregel¶

Bovenliggende beheersmaatregel is niet verplicht en toepassing moet volgen uit risicoanalyse.

Beheersmaatregel 5.31 Wettelijke, statutaire, regelgevende en contractuele eisen¶

Wettelijke, statutaire, regelgevende en contractuele eisen die relevant zijn voor informatiebeveiliging en de aanpak van de organisatie om aan deze eisen te voldoen, behoren te worden geïdentificeerd, gedocumenteerd en actueel gehouden.

Verplichte overheidsspecifieke maatregelen¶

5.31.01 Cryptografische beheersmaatregelen moeten expliciet aansluiten bij de standaarden op de ‘pas toe of leg uit’-lijst van het Forum Standaardisatie.¶

Basishygiëne NIS2, ketenhygiëne

Beheersmaatregel 5.32 Intellectuele-eigendomsrechten¶

De organisatie behoort passende procedures te implementeren om intellectuele-eigendomsrechten te beschermen.

Verplichte overheidsspecifieke maatregelen¶

5.32.01 Geen aanvullende maatregel¶

Bovenliggende beheersmaatregel is niet verplicht en toepassing moet volgen uit risicoanalyse.

Beheersmaatregel 5.33 Beschermen van registraties¶

Registraties behoren te worden beschermd tegen verlies, vernietiging, vervalsing, toegang door onbevoegden en ongeoorloofde vrijgave.

Verplichte overheidsspecifieke maatregelen¶

5.33.01 De proceseigenaar heeft per soort informatie inzichtelijk gemaakt wat de bewaartermijn is.¶

Basishygiëne NIS2, ketenhygiëne

Beheersmaatregel 5.34 Privacy en bescherming van persoonsgegevens¶

De organisatie behoort de eisen met betrekking tot het behoud van privacy en de bescherming van persoonsgegevens volgens de toepasselijke wet- en regelgeving en contractuele eisen te identificeren en eraan te voldoen.

Verplichte overheidsspecifieke maatregelen¶

5.34.01 Geen aanvullende maatregel¶

Basishygiëne NIS2

Beheersmaatregel 5.35 Onafhankelijke beoordeling van informatiebeveiliging¶

De aanpak van de organisatie ten aanzien van het beheer van informatiebeveiliging en de implementatie ervan, met inbegrip van mensen, processen en technologieën, behoren onafhankelijk en met geplande tussenpozen of zodra zich belangrijke veranderingen voordoen, te worden beoordeeld.

Verplichte overheidsspecifieke maatregelen¶

5.35.01 Er is een werkend ISMS conform de ISO 27001.¶

Basishygiëne NIS2

5.35.02 Er is een vastgesteld auditplan waarin jaarlijks keuzes worden gemaakt voor welke systemen welk soort beveiligingsaudits worden uitgevoerd.¶

Basishygiëne NIS2

Beheersmaatregel 5.36 Naleving van beleid, regels en normen voor informatiebeveiliging¶

De naleving van het informatiebeveiligingsbeleid, het onderwerpspecifieke beleid, regels en de normen van de organisatie behoren regelmatig te worden beoordeeld.

Verplichte overheidsspecifieke maatregelen¶

5.36.01 In de P&C-cyclus wordt gerapporteerd over informatiebeveiliging, resulterend in een jaarlijks af te geven In Control Verklaring (ICV) over de informatiebeveiliging. Indien voldoende herkenbaar kan de ICV voor informatiebeveiliging onderdeel zijn van de reguliere, generieke verantwoording.¶

Basishygiëne NIS2

Beheersmaatregel 5.37 Gedocumenteerde bedieningsprocedures¶

Bedieningsprocedures voor informatieverwerkende faciliteiten behoren te worden gedocumenteerd en beschikbaar te worden gesteld aan het personeel dat ze nodig heeft.

Verplichte overheidsspecifieke maatregelen¶

5.37.01 Geen aanvullende maatregel¶

Bovenliggende beheersmaatregel is niet verplicht en toepassing moet volgen uit risicoanalyse.

Beheersmaatregel 6.01 Screening¶

De achtergrond van alle kandidaten voor een dienstverband behoort te worden gecontroleerd voordat ze bij de organisatie in dienst treden en daarna op gezette tijden te worden herhaald. Hierbij behoort rekening te worden gehouden met de toepasselijke wet- en regelgeving en ethische overwegingen, en deze controle behoort in verhouding te staan tot de bedrijfseisen, de classificatie van de informatie waartoe toegang wordt verleend en de vastgestelde risico's.

Verplichte overheidsspecifieke maatregelen¶

6.01.01 Elke organisatie heeft een vastgesteld screeningsbeleid. Bij indiensttreding en bij functiewijziging kan een Verklaring Omtrent het Gedrag (VOG) gevraagd worden.¶

Basishygiëne NIS2, overheidsrisico

Beheersmaatregel 6.02 Arbeidsovereenkomst¶

In arbeidsovereenkomsten behoort te worden vermeld wat de verantwoordelijkheden van het personeel en van de organisatie zijn wat betreft informatiebeveiliging.

Verplichte overheidsspecifieke maatregelen¶

6.02.01 Alle medewerkers (intern en extern) zijn bij hun aanstelling of functiewisseling gewezen op hun verantwoordelijkheden ten aanzien van informatiebeveiliging. De voor hen geldende regelingen en instructies ten aanzien van informatiebeveiliging zijn eenvoudig toegankelijk.¶

Basishygiëne NIS2

Beheersmaatregel 6.03 Bewustwording van, opleiding en training in informatiebeveiliging¶

Personeel van de organisatie en relevante belanghebbenden behoren een passende bewustwording van, opleiding en training in informatiebeveiliging en regelmatige updates over het informatiebeveiligingsbeleid, onderwerpspecifieke beleidsregels en procedures van de organisatie, voor zover relevant voor hun functie, te krijgen.

Verplichte overheidsspecifieke maatregelen¶

6.03.01 Alle medewerkers, lijnmanagers en bestuurders hebben de verantwoordelijkheid bedrijfsinformatie te beschermen. Iedereen kent de regels en verplichtingen met betrekking tot informatiebeveiliging en daar waar relevant de speciale eisen voor gerubriceerde omgevingen.¶

Basishygiëne NIS2

6.03.02 Alle medewerkers en contractanten die gebruikmaken van de informatiesystemen en -diensten hebben binnen drie maanden na indiensttreding een training I-bewustzijn succesvol gevolgd.¶

Basishygiëne NIS2

6.03.03 Het management benadrukt bij aanstelling en interne overplaatsing en bijvoorbeeld in werkoverleggen of in personeelsgesprekken bij zijn medewerkers en contractanten het belang van opleiding en training op het gebied van informatiebeveiliging en stimuleert hen actief deze periodiek te volgen.¶

Basishygiëne NIS2

Beheersmaatregel 6.04 Disciplinaire procedure¶

Er behoort een formele en gecommuniceerde disciplinaire procedure te zijn om actie te ondernemen tegen personeel en andere belanghebbenden die zich schuldig hebben gemaakt aan een schending van het informatiebeveiligingsbeleid.

Verplichte overheidsspecifieke maatregelen¶

6.04.01 Geen aanvullende maatregel¶

Bovenliggende beheersmaatregel is niet verplicht en toepassing moet volgen uit risicoanalyse.

Beheersmaatregel 6.05 Verantwoordelijkheden na beëindiging of wijziging van het dienstverband¶

Verantwoordelijkheden en taken met betrekking tot informatiebeveiliging die van kracht blijven na beëindiging of wijziging van het dienstverband, behoren te worden gedefinieerd, gehandhaafd en gecommuniceerd aan relevant personeel en andere belanghebbenden.

Verplichte overheidsspecifieke maatregelen¶

6.05.01 Geen aanvullende maatregel¶

Bovenliggende beheersmaatregel is niet verplicht en toepassing moet volgen uit risicoanalyse.

Beheersmaatregel 6.06 Vertrouwelijkheids- of geheimhoudingsovereenkomsten¶

Vertrouwelijkheids- of geheimhoudingsovereenkomsten die de behoeften van de organisatie inzake de bescherming van informatie weerspiegelen, behoren te worden geïdentificeerd, gedocumenteerd, regelmatig te worden beoordeeld en ondertekend door personeel en andere relevante belanghebbenden.

Verplichte overheidsspecifieke maatregelen¶

6.06.01 Geen aanvullende maatregel¶

Bovenliggende beheersmaatregel is niet verplicht en toepassing moet volgen uit risicoanalyse.

Beheersmaatregel 6.07 Werken op afstand¶

Wanneer personeel op afstand werkt, behoren er beveiligingsmaatregelen te worden geïmplementeerd om informatie te beschermen die buiten het gebouw en/of terrein van de organisatie wordt ingezien, verwerkt of opgeslagen.

Verplichte overheidsspecifieke maatregelen¶

6.07.01 Geen aanvullende maatregel¶

Bovenliggende beheersmaatregel is niet verplicht en toepassing moet volgen uit risicoanalyse.

Beheersmaatregel 6.08 Melden van informatiebeveiligingsgebeurtenissen¶

De organisatie behoort te voorzien in een mechanisme waarmee personeel waargenomen of vermoede informatiebeveiligingsgebeurtenissen tijdig via passende kanalen kan melden.

Verplichte overheidsspecifieke maatregelen¶

6.08.01 Alle medewerkers (intern en extern) hebben aantoonbaar kennisgenomen van de meldingsprocedure van incidenten.¶

Basishygiëne NIS2

Beheersmaatregel 7.01 Fysieke beveiligingszones¶

Zones die informatie en andere gerelateerde bedrijfsmiddelen bevatten, behoren te worden beschermd door beveiligingszones te definiëren en te gebruiken.

Verplichte overheidsspecifieke maatregelen¶

7.01.01 Er wordt voor het inrichten van beveiligde zones gebruik gemaakt van standaarden.¶

Basishygiëne NIS2

Beheersmaatregel 7.02 Fysieke toegangsbeveiliging¶

Beveiligde zones behoren te worden beschermd door passende toegangsbeveiligings–maatregelen en toegangspunten.

Verplichte overheidsspecifieke maatregelen¶

7.02.01 In geval van concrete beveiligingsrisico’s worden waarschuwingen, conform onderlinge afspraken, verzonden aan de relevante collega’s binnen het beveiligingsdomein van de overheid.¶

Ketenhygiëne

Beheersmaatregel 7.03 Beveiligen van kantoren, ruimten en faciliteiten¶

Voor kantoren, ruimten en faciliteiten behoort fysieke beveiliging te worden ontworpen en geïmplementeerd.

Verplichte overheidsspecifieke maatregelen¶

7.03.01 Geen aanvullende maatregel¶

Bovenliggende beheersmaatregel is niet verplicht en toepassing moet volgen uit risicoanalyse.

Beheersmaatregel 7.04 Monitoren van de fysieke beveiliging¶

Het gebouw en terrein behoort voortdurend te worden gemonitord op onbevoegde fysieke toegang.

Verplichte overheidsspecifieke maatregelen¶

7.04.01 Geen aanvullende maatregel¶

Bovenliggende beheersmaatregel is niet verplicht en toepassing moet volgen uit risicoanalyse.

Beheersmaatregel 7.05 Beschermen tegen fysieke en omgevingsdreigingen¶

Er behoort bescherming tegen fysieke en omgevingsdreigingen, zoals natuurrampen en andere opzettelijke of onopzettelijke fysieke dreigingen voor de infrastructuur, te worden ontworpen en geïmplementeerd.

Verplichte overheidsspecifieke maatregelen¶

7.05.01 Geen aanvullende maatregel¶

Bovenliggende beheersmaatregel is niet verplicht en toepassing moet volgen uit risicoanalyse.

Beheersmaatregel 7.06 Werken in beveiligde zones¶

Voor het werken in beveiligde zones behoren beveiligingsmaatregelen te worden ontwikkeld en geïmplementeerd.

Verplichte overheidsspecifieke maatregelen¶

7.06.01 Geen aanvullende maatregel¶

Bovenliggende beheersmaatregel is niet verplicht en toepassing moet volgen uit risicoanalyse.

Beheersmaatregel 7.07 ‘Clear desk’ en ‘clear screen’¶

Er behoren ‘clear desk’-regels voor papieren documenten en verwijderbare opslagmedia en ‘clear screen’-regels voor informatieverwerkende faciliteiten te worden gedefinieerd en op passende wijze te worden afgedwongen.

Verplichte overheidsspecifieke maatregelen¶

7.07.01 Bij het gebruik van een chipcardtoken voor toegang tot systemen wordt bij het verwijderen van het token de toegangsbeveiligingsvergrendeling automatisch geactiveerd.¶

Basishygiëne NIS2

Beheersmaatregel 7.08 Plaatsen en beschermen van apparatuur¶

Apparatuur behoort veilig te worden geplaatst en beschermd.

Verplichte overheidsspecifieke maatregelen¶

7.08.01 Geen aanvullende maatregel¶

Bovenliggende beheersmaatregel is niet verplicht en toepassing moet volgen uit risicoanalyse.

Beheersmaatregel 7.09 Beveiligen van bedrijfsmiddelen buiten het terrein¶

Bedrijfsmiddelen buiten het gebouw en/of terrein behoren te worden beschermd.

Verplichte overheidsspecifieke maatregelen¶

7.09.01 Geen aanvullende maatregel¶

Bovenliggende beheersmaatregel is niet verplicht en toepassing moet volgen uit risicoanalyse.

Beheersmaatregel 7.10 Opslagmedia¶

Opslagmedia behoren te worden beheerd gedurende hun volledige levenscyclus van aanschaf, gebruik, transport en verwijdering overeenkomstig het classificatieschema en de hanteringseisen van de organisatie.

Verplichte overheidsspecifieke maatregelen¶

7.10.01 Er is een verwijderinstructie waarin is opgenomen dat van verwijderbare media die herbruikbaar zijn en die de organisatie verlaten de bedrijfsgevoelige inhoud onherstelbaar verwijderd is.¶

Bovenliggende beheersmaatregel is niet verplicht en toepassing moet volgen uit risicoanalyse.

7.10.02 Voor het wissen van alle data op het medium, wordt de data onherstelbaar verwijderd, bijvoorbeeld door minimaal twee keer te overschrijven met vaste data en één keer met random data. Er wordt gecontroleerd of alle data onherstelbaar verwijderd is en er wordt verslag van gemaakt. Er wordt bij voorkeur gebruik gemaakt van producten waarvoor het NBV een positief inzetadvies afgegeven heeft.¶

Bovenliggende beheersmaatregel is niet verplicht en toepassing moet volgen uit risicoanalyse.

7.10.03 Er is een vastgestelde procedure voor het fysiek transport van media.¶

Het gebruik van koeriers of transporteurs voor transport van geclassificeerde informatie voldoet aan vooraf opgestelde betrouwbaarheidseisen.

Bovenliggende beheersmaatregel is niet verplicht en toepassing moet volgen uit risicoanalyse.

Beheersmaatregel 7.11 Nutsvoorzieningen¶

Informatieverwerkende faciliteiten behoren te worden beschermd tegen stroomuitval en andere verstoringen die worden veroorzaakt door storingen in nutsvoorzieningen.

Verplichte overheidsspecifieke maatregelen¶

7.11.01 Geen aanvullende maatregel¶

Bovenliggende beheersmaatregel is niet verplicht en toepassing moet volgen uit risicoanalyse.

Beheersmaatregel 7.12 Beveiligen van bekabeling¶

Voedingskabels en kabels voor het versturen van gegevens of die informatiediensten ondersteunen, behoren te worden beschermd tegen onderschepping, interferentie of beschadiging.

Verplichte overheidsspecifieke maatregelen¶

7.12.01 Geen aanvullende maatregel¶

Bovenliggende beheersmaatregel is niet verplicht en toepassing moet volgen uit risicoanalyse.

Beheersmaatregel 7.13 Onderhoud van apparatuur¶

Apparatuur behoort op de juiste wijze te worden onderhouden om de beschikbaarheid, integriteit en betrouwbaarheid van informatie te garanderen.

Verplichte overheidsspecifieke maatregelen¶

7.13.01 Geen aanvullende maatregel¶

Bovenliggende beheersmaatregel is niet verplicht en toepassing moet volgen uit risicoanalyse.

Beheersmaatregel 7.14 Veilig verwijderen of hergebruiken van apparatuur¶

Onderdelen van de apparatuur die opslagmedia bevatten, behoren te worden gecontroleerd om te waarborgen dat gevoelige gegevens en gelicentieerde software zijn verwijderd of veilig zijn overschreven voordat ze worden verwijderd of hergebruikt.

Verplichte overheidsspecifieke maatregelen¶

7.14.01 verwijzing naar andere maatregelen verwijderd¶

Basishygiëne NIS2

Beheersmaatregel 8.01 'User endpoint devices'¶

Informatie die is opgeslagen op, wordt verwerkt door of toegankelijk is via ‘user endpoint devices’ behoort te worden beschermd.

Verplichte overheidsspecifieke maatregelen¶

8.01.01 Mobiele apparatuur is zo ingericht dat bedrijfsinformatie niet onbewust wordt opgeslagen (‘zero footprint’). Als zero footprint (nog) niet realiseerbaar is, biedt een mobiel apparaat (zoals een laptop, tablet en smartphone) de mogelijkheid om de toegang te beschermen door middel van een toegangsbeveiligingsmechanisme en, indien vertrouwelijke gegevens worden opgeslagen, versleuteling van die gegevens. In het geval van opslag van vertrouwelijke informatie moet op deze mobiele apparatuur ‘wissen op afstand’ mogelijk zijn.¶

Basishygiëne NIS2

8.01.02 Bij de inzet van mobiele apparatuur zijn minimaal de volgende aspecten geïmplementeerd¶

In bewustwordingsprogramma’s komen gedragsaspecten van veilig mobiel werken aan de orde.
Het apparaat maakt deel uit van patchmanagement en hardening.
Er wordt gebruik gemaakt van Mobile Device Management (MDM) of van Mobile Application Management (MAM)-oplossingen.
Gebruikers tekenen een gebruikersovereenkomst voor mobiel werken, waarmee zij verklaren zich bewust te zijn van de gevaren van mobiel werken en verklaren dit veilig te zullen doen. Deze verklaring heeft betrekking op alle mobiele apparatuur die de medewerker zakelijk gebruikt.
Periodiek wordt getoetst of de punten in lid a), b) en c) worden nageleefd.

Basishygiëne NIS2

Beheersmaatregel 8.02 Speciale toegangsrechten¶

Het toewijzen en het gebruik van speciale toegangsrechten behoren te worden beperkt en beheerd.

Verplichte overheidsspecifieke maatregelen¶

8.02.01 De uitgegeven speciale bevoegdheden worden in opzet, bestaan en werking minimaal ieder kwartaal beoordeeld.¶

Basishygiëne NIS2

Beheersmaatregel 8.03 Beperking toegang tot informatie¶

De toegang tot informatie en andere gerelateerde bedrijfsmiddelen behoren te worden beperkt overeenkomstig het vastgestelde onderwerpspecifieke beleid inzake toegangsbeveiliging.

Verplichte overheidsspecifieke maatregelen¶

8.03.01 Er zijn maatregelen genomen die het fysiek en/of logisch isoleren van informatie met specifiek belang waarborgen.¶

Basishygiëne NIS2

8.03.02 Er zijn maatregelen getroffen die onbedoelde of ongeautoriseerde toegang tot bedrijfsmiddelen waarnemen of voorkomen.¶

Basishygiëne NIS2

Beheersmaatregel 8.04 Toegangsbeveiliging op broncode¶

Lees- en schrijftoegang tot broncode, ontwikkelinstrumenten en softwarebibliotheken behoren op passende wijze te worden beheerd.

Verplichte overheidsspecifieke maatregelen¶

8.04.01 Geen aanvullende maatregel¶

Bovenliggende beheersmaatregel is niet verplicht en toepassing moet volgen uit risicoanalyse.

Beheersmaatregel 8.05 Beveiligde authenticatie¶

Er behoren beveiligde authenticatietechnologieën en -procedures te worden geïmplementeerd op basis van beperkingen van de toegang tot informatie en het onderwerpspecifieke beleid inzake toegangsbeveiliging.

Verplichte overheidsspecifieke maatregelen¶

8.05.01 Als vanuit een onvertrouwde zone toegang wordt verleend naar een vertrouwde zone, gebeurt dit alleen op basis van minimaal tweefactor-authenticatie.¶

Basishygiëne NIS2, ketenhygiëne

8.05.02 Voor het verlenen van toegang tot het netwerk aan externe leveranciers wordt vooraf een risicoafweging gemaakt. De risicoafweging bepaalt onder welke voorwaarden de leveranciers toegang krijgen. Uit een registratie blijkt hoe de rechten zijn toegekend.¶

Basishygiëne NIS2, ketenhygiëne

Beheersmaatregel 8.06 Capaciteitsbeheer¶

Het gebruik van middelen behoort te worden gemonitord en aangepast overeenkomstig de huidige en verwachte capaciteitseisen.

Verplichte overheidsspecifieke maatregelen¶

8.06.01 Geen aanvullende maatregel¶

Bovenliggende beheersmaatregel is niet verplicht en toepassing moet volgen uit risicoanalyse.

Beheersmaatregel 8.07 Bescherming tegen malware¶

Bescherming tegen malware behoort te worden geïmplementeerd en ondersteund door een passend gebruikersbewustzijn.

Verplichte overheidsspecifieke maatregelen¶

8.07.01 Het downloaden van bestanden is beheerst en beperkt op basis van risico en need-of-use.¶

Basishygiëne NIS2

8.07.02 Gebruikers zijn voorgelicht over de risico’s ten aanzien van surfgedrag en het klikken op onbekende links.¶

Basishygiëne NIS2

8.07.03 De gebruikte antimalwaresoftware en bijbehorende herstelsoftware is actueel en wordt ondersteund door periodieke updates.¶

Basishygiëne NIS2

8.07.04 De malwarescan wordt uitgevoerd op¶

alle omgevingen, bijvoorbeeld op mailservers, (desktop)computers en bij de toegangsverlening tot het netwerk van de organisatie;
alle gedownloade content voorafgaand aan executie of opslag;
alle bestanden die via netwerken of via elke vorm van opslagmedium zijn ontvangen, vóór gebruik of opslag in de eigen omgeving.

Basishygiëne NIS2

8.07.05 Minimaal jaarlijks worden gebruikers getest op hun klikgedrag¶

Basishygiëne NIS2

Beheersmaatregel 8.08 Beheer van technische kwetsbaarheden¶

Er behoort informatie te worden verkregen over technische kwetsbaarheden van in gebruik zijnde informatiesystemen, de blootstelling van de organisatie aan dergelijke kwetsbaarheden behoort te worden geëvalueerd en er behorende passende maatregelen te worden getroffen.

Verplichte overheidsspecifieke maatregelen¶

8.08.01 Als de kans op misbruik en de verwachte schade beide hoog zijn (bijvoorbeeld met de NCSC-Inschalingsmatrix beveiligingsadviezen of leveranciersbeveiligingsadviezen), wordt op basis van risicoanalyse passende mitigerende maatregelen vastgesteld en zo snel mogelijk, maar uiterlijk binnen een week, getroffen.¶

Basishygiëne NIS2, overheidsrisico

8.08.02 Op basis van een expliciete risicoafweging wordt bepaald op welke wijze mitigerende maatregelen getroffen worden.¶

Basishygiëne NIS2

8.08.03 In de tussentijd of als installatie binnen een week niet mogelijk is, worden op basis van een expliciete risicoafweging mitigerende maatregelen getroffen.¶

Basishygiëne NIS2

8.08.04 Informatiesystemen worden minimaal jaarlijks gecontroleerd op technische naleving van beveiligingsnormen en risico’s ten aanzien van de feitelijke veiligheid. Dit kan bijvoorbeeld door (geautomatiseerde) kwetsbaarheidsanalyses, penetratietesten of red-teamingstesten. Internetfacing informatiesystemen worden bij voorkeur continue getest op zwakheden en kwetsbaarheden.¶

Basishygiëne NIS2

8.08.05 Internetfacing-systemen hebben een verplichte (bij voorkeur geautomatiseerde) penetratietest bij iedere nieuwe release of major update. Als daar bevindingen met een hoog risico uitkomen, mag het systeem niet in productie. Alle internetfacing systemen worden in ieder geval jaarlijks getest op zwakheden en kwetsbaarheden.¶

Basishygiëne NIS2

Beheersmaatregel 8.09 Configuratiebeheer¶

Configuraties, met inbegrip van beveiligingsconfiguraties, van hardware, software, diensten en netwerken behoren te worden vastgesteld, gedocumenteerd, geïmplementeerd, gemonitord en beoordeeld.

Verplichte overheidsspecifieke maatregelen¶

8.09.01 Geen aanvullende maatregel¶

Bovenliggende beheersmaatregel is niet verplicht en toepassing moet volgen uit risicoanalyse.

Beheersmaatregel 8.10 Wissen van informatie¶

In informatiesystemen, apparaten of andere opslagmedia opgeslagen informatie behoort te worden gewist als deze niet langer vereist is.

Verplichte overheidsspecifieke maatregelen¶

8.10.01 Geen aanvullende maatregel¶

Bovenliggende beheersmaatregel is niet verplicht en toepassing moet volgen uit risicoanalyse.

Beheersmaatregel 8.11 Maskeren van gegevens¶

Gegevens behoren te worden gemaskeerd overeenkomstig het onderwerpspecifieke beleid inzake toegangsbeveiliging en andere gerelateerde onderwerpspecifieke beleidsregels, en bedrijfseisen van de organisatie, rekening houdend met de toepasselijke wetgeving.

Verplichte overheidsspecifieke maatregelen¶

8.11.01 Geen aanvullende maatregel¶

Bovenliggende beheersmaatregel is niet verplicht en toepassing moet volgen uit risicoanalyse.

Beheersmaatregel 8.12 Voorkomen van gegevenslekken (data leakage prevention)¶

Maatregelen om gegevenslekken te voorkomen, behoren te worden toegepast in systemen, netwerken en andere apparaten waarop of waarmee gevoelige informatie wordt verwerkt, opgeslagen of getransporteerd.

Verplichte overheidsspecifieke maatregelen¶

8.12.01 Geen aanvullende maatregel¶

Bovenliggende beheersmaatregel is niet verplicht en toepassing moet volgen uit risicoanalyse.

Beheersmaatregel 8.13 Back-up van informatie¶

Back-ups van informatie, software en systemen behoren te worden bewaard en regelmatig te worden getest overeenkomstig het overeengekomen onderwerpspecifieke beleid inzake back-ups.

Verplichte overheidsspecifieke maatregelen¶

8.13.01 Er is een back-upbeleid waarin de eisen voor het bewaren en beschermen zijn gedefinieerd en vastgesteld. Er moet speciale aandacht zijn voor het beschermen van de back-up tegen ransomware-aanvallen.¶

Basishygiëne NIS2, ketenhygiëne

8.13.02 Op basis van een expliciete risicoafweging is bepaald wat het maximaal toegestane dataverlies is en wat de maximale hersteltijd is na een incident.¶

Basishygiëne NIS2, ketenhygiëne

8.13.03 In het back-upbeleid staan minimaal de volgende eisen:¶

Dataverlies bedraagt maximaal 28 uur.
Hersteltijd in geval van incidenten is maximaal 16 werkuren (2 dagen van 8 uur) in 85% van de gevallen.

Basishygiëne NIS2, ketenhygiëne

8.13.04 Het back-upproces voorziet in opslag van de back-up op een locatie, waarbij een incident op de ene locatie niet kan leiden tot schade op de andere.¶

Basishygiëne NIS2, ketenhygiëne

8.13.05 Zorg dat ten minste één back-up niet online benaderbaar is en beschermd wordt tegen veranderingen.¶

Basishygiëne NIS2, ketenhygiëne

[Kop 9] 8.13.06 De herstelprocedure wordt minimaal jaarlijks getest of na een grote wijziging om de goede werking te waarborgen als deze in noodgevallen uitgevoerd moet worden.

Basishygiëne NIS2, ketenhygiëne

Beheersmaatregel 8.14 Redundantie van informatieverwerkende faciliteiten¶

Informatieverwerkende faciliteiten behoren met voldoende redundantie te worden geïmplementeerd om aan beschikbaarheidseisen te voldoen.

Verplichte overheidsspecifieke maatregelen¶

8.14.01 Geen aanvullende maatregel¶

Bovenliggende beheersmaatregel is niet verplicht en toepassing moet volgen uit risicoanalyse.

Beheersmaatregel 8.15 Logging¶

Er behoren logbestanden waarin activiteiten, uitzonderingen, fouten en andere relevante gebeurtenissen worden geregistreerd, te worden geproduceerd, opgeslagen, beschermd en geanalyseerd.

Verplichte overheidsspecifieke maatregelen¶

8.15.01 Een logregel bevat minimaal:¶

de gebeurtenis;
de benodigde informatie die nodig is om het incident met hoge mate van zekerheid te herleiden tot een natuurlijk persoon;
het gebruikte apparaat;
het resultaat van de handeling;
n datum en tijdstip van de gebeurtenis.

Basishygiëne NIS2

8.15.02 Een logregel bevat in geen geval gegevens die tot het doorbreken van de beveiliging kunnen leiden.¶

Basishygiëne NIS2

8.15.03 Er is een overzicht van logbestanden die worden gegenereerd.¶

Basishygiëne NIS2

8.15.04 Ten behoeve van de loganalyse is op basis van een expliciete risicoafweging de bewaarperiode van de logging bepaald. Binnen deze periode is de beschikbaarheid van de loginformatie gewaarborgd.¶

Basishygiëne NIS2

8.15.05 Oneigenlijk wijzigen, verwijderen of pogingen daartoe van loggegevens worden zo snel mogelijk gemeld als beveiligingsincident via de procedure voor informatiebeveiligingsincidenten conform control 5.24.¶

Basishygiëne NIS2

[Kop 9] 8.15.06 Minimaal halfjaarlijks wordt door een onafhankelijke functionaris (ten opzichte van de uitvoering) getoetst op het ongewijzigd bestaan van logbestanden gedurende de bewaartermijn.

Basishygiëne NIS2

Beheersmaatregel 8.16 Monitoren van activiteiten¶

Netwerken, systemen en toepassingen behoren te worden gemonitord op afwijkend gedrag en er behoren passende maatregelen te worden getroffen om potentiële informatiebeveiligingsincidenten te evalueren.

Verplichte overheidsspecifieke maatregelen¶

8.16.01 Bij ontdekte nieuwe dreigingen (aanvallen) via 8.16.1 worden deze binnen geldende juridische kaders verplicht gedeeld met het daarvoor aangestelde CSIRT.¶

Basishygiëne NIS2, overheidsrisico

8.16.02 De SIEM en/of SOC hebben heldere regels over wanneer een incident moet worden gerapporteerd aan het verantwoordelijk management.¶

Basishygiëne NIS2

8.16.03 De informatieverwerkende omgeving wordt gemonitord met een detectie- en response-oplossing, waarmee aanvallen kunnen worden gedetecteerd en afwijkingen worden adequaat en tijdig behandeld.¶

Basishygiëne NIS2

8.16.04 Actieve netwerkcomponenten zijn voorzien van logging en monitoring van die logging om afwijkende gebeurtenissen te kunnen waarnemen en daarop te reageren.¶

Basishygiëne NIS2

Beheersmaatregel 8.17 Kloksynchronisatie¶

De klokken van informatieverwerkende systemen die door de organisatie worden gebruikt, behoren te worden gesynchroniseerd met goedgekeurde tijdsbronnen.

Verplichte overheidsspecifieke maatregelen¶

8.17.01 Geen aanvullende maatregel¶

Bovenliggende beheersmaatregel is niet verplicht en toepassing moet volgen uit risicoanalyse.

Beheersmaatregel 8.18 Gebruik van speciale systeemhulpmiddelen¶

Het gebruik van systeemhulpmiddelen die in staat kunnen zijn om beheersmaatregelen voor systemen en toepassingen te omzeilen, behoort te worden beperkt en nauwkeurig te worden gecontroleerd.

Verplichte overheidsspecifieke maatregelen¶

8.18.01 Alleen bevoegd personeel heeft toegang tot systeemhulpmiddelen.¶

Bovenliggende beheersmaatregel is niet verplicht en toepassing moet volgen uit risicoanalyse.

8.18.02 Het gebruik van systeemhulpmiddelen wordt gelogd. De logging is een halfjaar beschikbaar voor onderzoek.¶

Basishygiëne NIS2

Beheersmaatregel 8.19 Installeren van software op operationele omgevingen¶

Er behoren procedures en maatregelen te worden geïmplementeerd om het installeren van software op operationele systemen op beveiligde wijze te beheren.

Verplichte overheidsspecifieke maatregelen¶

8.19.01 Gebruikers kunnen op hun werkomgeving niets zelf installeren, anders dan wat via de ICT-leverancier wordt aangeboden of wordt toegestaan (whitelist).¶

Bovenliggende beheersmaatregel is niet verplicht en toepassing moet volgen uit risicoanalyse.

Beheersmaatregel 8.20 Beveiliging netwerkcomponenten¶

Netwerken en netwerkapparaten behoren te worden beveiligd, beheerd en beheerst om informatie in systemen en toepassingen te beschermen.

Verplichte overheidsspecifieke maatregelen¶

8.20.01 Netwerken zijn gesegmenteerd op basis van een risicoafweging¶

Basishygiëne NIS2

Beheersmaatregel 8.21 Beveiliging van netwerkdiensten¶

Beveiligingsmechanismen, dienstverleningsniveaus en dienstverleningseisen voor alle netwerkdiensten behoren te worden geïdentificeerd, geïmplementeerd en gemonitord.

Verplichte overheidsspecifieke maatregelen¶

8.21.01 In koppelpunten met externe of onvertrouwde zones zijn maatregelen getroffen om mogelijke aanvallen die de beschikbaarheid van de informatievoorziening negatief beïnvloeden (bijvoorbeeld DDoS-aanvallen, Distributed Denial of Service attacks) te signaleren en hierop te reageren.¶

Basishygiëne NIS2

8.21.02 Het dataverkeer dat de organisatie binnenkomt of uitgaat, wordt bewaakt/geanalyseerd op verdacht verkeer middels detectievoorzieningen (zoals beschreven in de richtlijn voor implementatie van detectieoplossingen).¶

Basishygiëne NIS2

8.21.03 Bij ontdekte nieuwe dreigingen vanuit 8.21.2 worden deze, rekening houdend met de geldende juridische kaders via het daarvoor aangestelde CSIRT.¶

Basishygiëne NIS2

8.21.04 Bij draadloze verbindingen zoals wifi en bij bedrade verbindingen buiten het gecontroleerd gebied wordt bij voorkeur gebruik gemaakt van encryptiemiddelen waarvoor het Nationaal Bureau voor Verbindingsbeveiliging (NBV) een positief inzetadvies heeft afgegeven of in overleg met de CISO kan hiervan worden afgeweken.¶

Basishygiëne NIS2

Beheersmaatregel 8.22 Netwerksegmentatie¶

Groepen informatiediensten, gebruikers en informatiesystemen behoren in de netwerken van de organisatie te worden gesegmenteerd.

Verplichte overheidsspecifieke maatregelen¶

8.22.01 Alle gescheiden groepen hebben een gedefinieerd beveiligingsniveau.¶

Basishygiëne NIS2

Beheersmaatregel 8.23 Toepassen van webfilters¶

De toegang tot externe websites behoort te worden beheerd om de blootstelling aan kwaadaardige inhoud te beperken.

Verplichte overheidsspecifieke maatregelen¶

8.23.01 Geen aanvullende maatregel¶

Bovenliggende beheersmaatregel is niet verplicht en toepassing moet volgen uit risicoanalyse.

Beheersmaatregel 8.24 Gebruik van cryptografie¶

Regels voor het doeltreffende gebruik van cryptografie, met inbegrip van het beheer van cryptografische sleutels, behoren te worden gedefinieerd en geïmplementeerd.

Verplichte overheidsspecifieke maatregelen¶

8.24.01 In het cryptografiebeleid zijn minimaal de volgende onderwerpen uitgewerkt:¶

Wanneer cryptografie ingezet wordt.
Wie verantwoordelijk is voor de implementatie.
Wie verantwoordelijk is voor het sleutelbeheer.
Welke normen als basis dienen voor cryptografie.
De wijze waarop het beschermingsniveau vastgesteld wordt.
Bij communicatie tussen organisaties wordt het beleid onderling vastgesteld.

Basishygiëne NIS2

8.24.02 Cryptografische toepassingen voldoen aan passende standaarden, zie pas-to-of-leg-uit lijst van het Forum Standaardisatie.¶

Basishygiëne NIS2

8.24.03 De sterkte van de cryptografie wordt waar mogelijk gebaseerd op de actuele adviezen van het NCSC.¶

Basishygiëne NIS2

8.24.04 Er zijn (contractuele) afspraken over reservecertificaten van een alternatieve leverancier als uit risicoafweging blijkt dat deze noodzakelijk zijn.¶

Basishygiëne NIS2

Beheersmaatregel 8.25 Beveiligen tijdens de ontwikkelcyclus¶

Voor het veilig ontwikkelen van software en systemen behoren regels te worden vastgesteld en toegepast.

Verplichte overheidsspecifieke maatregelen¶

8.25.01 De gangbare principes rondom ‘security by design’ zijn uitgangspunt voor de ontwikkeling van software en systemen.¶

Basishygiëne NIS2

Beheersmaatregel 8.26 Toepassingsbeveiligingseisen¶

Er behoren eisen aan de informatiebeveiliging te worden geïdentificeerd, gespecificeerd en goedgekeurd bij het ontwikkelen of aanschaffen van toepassingen.

Verplichte overheidsspecifieke maatregelen¶

8.26.01 Geen aanvullende maatregel¶

Basishygiëne NIS2

Beheersmaatregel 8.27 Veilige systeemarchitectuur en technische uitgangspunten¶

Uitgangspunten voor het ontwerpen van beveiligde systemen behoren te worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle activiteiten betreffende het ontwikkelen van informatiesystemen.

Verplichte overheidsspecifieke maatregelen¶

8.27.01 Geen aanvullende maatregel¶

Basishygiëne NIS2

Beheersmaatregel 8.28 Veilig coderen¶

Er behoren principes voor veilig coderen te worden toegepast op softwareontwikkeling.

Verplichte overheidsspecifieke maatregelen¶

8.28.01 Geen aanvullende maatregel¶

Bovenliggende beheersmaatregel is niet verplicht en toepassing moet volgen uit risicoanalyse.

Beheersmaatregel 8.29 Testen van de beveiliging tijdens ontwikkeling en acceptatie¶

Processen voor het testen van de beveiliging behoren te worden gedefinieerd en geïmplementeerd in de ontwikkelcyclus.

Verplichte overheidsspecifieke maatregelen¶

8.29.01 Voor acceptatietesten van systemen worden gestructureerde testmethodieken gebruikt. De testen worden bij voorkeur geautomatiseerd uitgevoerd.¶

Basishygiëne NIS2

8.29.02 Van de resultaten van de testen wordt verslag gemaakt.¶

Basishygiëne NIS2

Beheersmaatregel 8.30 Uitbestede systeemontwikkeling¶

De organisatie behoort de activiteiten in verband met uitbestede systeemontwikkeling te sturen, bewaken en beoordelen.

Verplichte overheidsspecifieke maatregelen¶

8.30.01 Een voorwaarde voor uitbestedingstrajecten is een expliciete risicoafweging. De noodzakelijke beveiligingsmaatregelen die daaruit volgen, worden aan de leverancier opgelegd.¶

Basishygiëne NIS2

Beheersmaatregel 8.31 Scheiding van ontwikkel-, test- en productieomgevingen¶

Ontwikkel-, test- en productieomgevingen behoren te worden gescheiden en beveiligd.

Verplichte overheidsspecifieke maatregelen¶

8.31.01 In de productieomgeving wordt niet getest. Alleen met voorafgaande goedkeuring door de proceseigenaar en schriftelijke vastlegging hiervan, kan hiervan worden afgeweken.¶

Basishygiëne NIS2

8.31.2 Wijzigingen in de productieomgeving worden altijd getest voordat zij in productie gebracht worden. Alleen met voorafgaande goedkeuring door de proceseigenaar en de CISO en schriftelijke vastlegging hiervan, kan hiervan worden afgeweken.¶

Basishygiëne NIS2

Beheersmaatregel 8.32 Wijzigingsbeheer¶

Wijzigingen in informatieverwerkende faciliteiten en informatiesystemen behoren onderworpen te zijn aan procedures voor wijzigingsbeheer.

Verplichte overheidsspecifieke maatregelen¶

8.32.01 In de procedure voor wijzigingenbeheer is minimaal aandacht besteed aan¶

het administreren van wijzigingen;
risicoafweging van mogelijke gevolgen van de wijzigingen;
goedkeuringsprocedure voor wijzigingen.

Basishygiëne NIS2

8.32.02 Wijzigingsbeheer vindt plaats op basis van een algemeen geaccepteerd beheerraamwerk.¶

Basishygiëne NIS2

Beheersmaatregel 8.33 Testgegevens¶

Testgegevens behoren op passende wijze te worden geselecteerd, beschermd en beheerd.

Verplichte overheidsspecifieke maatregelen¶

8.33.01 Geen aanvullende maatregel¶

Bovenliggende beheersmaatregel is niet verplicht en toepassing moet volgen uit risicoanalyse.

Beheersmaatregel 8.34 Bescherming van informatiesystemen tijdens audits¶

Audittests en andere auditactiviteiten waarbij operationele systemen worden beoordeeld, behoren te worden gepland en overeengekomen tussen de tester en het verantwoordelijke management.

Verplichte overheidsspecifieke maatregelen¶

8.34.01 Geen aanvullende maatregel¶

Bovenliggende beheersmaatregel is niet verplicht en toepassing moet volgen uit risicoanalyse.