In deel 1 van deze blogserie bespraken we met Bart Saels, teamlead voor de customer-service- en cloud-infrastructuur-teams bij Spikes, wat NIS2 inhoudt en waarom het verstandig is om hier als zorgorganisatie mee aan de slag te gaan. Maar als je besluit om je eerste schreden op dit gebied te zetten, wat betekent dit dan voor jou?
Vandaag legt Bart uit welke impact NIS2 op organisaties heeft en welke praktische stappen je kunt nemen. Daarbij staat één filosofie centraal: “Het draait niet alleen om nieuwe technologie. NIS2 raakt alle lagen van de organisatie, dus bereid je voor op een ingrijpende verandering.”
NIS2 implementeren: “Beveiliging moet echt in je organisatie-DNA zitten”
Een succesvolle implementatie van NIS2 betekent dat je diverse projecten uitvoert. Je moet immers 10 richtlijnen correct implementeren. Dit vergt veel in technisch opzicht, maar ook qua organisatiecultuur. “Security moet een integraal onderdeel van alle bedrijfsprocessen worden en echt in je organisatie-DNA zitten,” zegt Bart. “De cultuur die je wilt creëren, noem ik een ‘security-first-cultuur’’. Alles wat je als organisatie doet, heeft een security-check nodig: van het installeren van software tot het registreren van patiënten. Daarom is het essentieel dat je alle medewerkers op dit gebied traint. Zo worden zij zich bewust van het belang van security.”
Bij wijze van voorbeeld bespreekt Bart het invoeren van multifactorauthenticatie (MFA): “Dit is een IT-project waarbij je een extra validatiemethode toevoegt aan het reguliere wachtwoord. Denk aan een app op je smartphone, waarmee je bevestigt dat jij degene bent die wilt inloggen. Maar de grootste uitdaging begint wanneer MFA stáát. Dan verandert het inlogproces voor alle medewerkers. Je moet hen heel goed uitleggen waarom dit belangrijk is en hen begeleiden in het adoptieproces.”
Een andere situatie waarin sprake is van een cultuurverandering: het doorvoeren van security-updates. “Dit lijkt misschien een pure IT-aangelegenheid, maar de impact reikt veel verder,” legt Bart uit. “Updates dichten gaten in je beveiliging. Daarvoor moet je apparaat vaak opnieuw opgestart worden. Eindgebruikers vinden dat vaak vervelend, dus een goede communicatie is essentieel voor begrip en acceptatie. Daarnaast adviseer ik sterk dat organisaties procedures opzetten voor het plannen van updates en het testen van de impact ervan. Zo zorg je dat het proces zo soepel mogelijk verloopt.”
Wanneer het gaat om back-ups, pleit Bart ook voor heldere procedures: “Back-ups maken is één ding, maar je moet ze ook monitoren en erover rapporteren. Alleen dán weet je of ze goed zijn uitgevoerd. Dat is cruciaal, omdat je back-ups in kritische situaties echt nodig hebt. Wat echt belangrijk is, is dat je goed bepaalt welke data essentieel is en hoe lang je deze wilt bewaren. Dit moet je organisatiebreed bespreken.”
De cultuur die je wilt creëren, noem ik een ‘security-first-cultuur’
Compliance en audits: “Zet een systeem op waarmee je alles documenteert en rapporteert”
Om aan NIS2 te voldoen, moet je organisatie maatregelen implementeren én kunnen aantonen dat deze effectief zijn. Dit vraagt om strikte naleving van compliance-eisen. Ook dien je te zorgen dat hier audits op uitgevoerd kunnen worden. “Zet een systeem op waarmee je alles documenteert en rapporteert,” zegt Bart.
Als je bijvoorbeeld procedures hebt vastgelegd voor het maken van back-ups en het doorvoeren van updates, wil je elke handeling die je verricht, loggen. Bart: “Stel, je voert een belangrijke update uit. In je ticketingsysteem maak je hiervoor een ticket aan. Je vult in op welke datum je de update hebt gedaan en of alles succesvol is verlopen. Zo heb je een duidelijk overzicht van alle acties die je hebt ondernomen. Bij een audit kun je dit direct laten zien.”
Ook voor de dagelijkse gang van zaken is dit overigens nuttig: “Als er een incident is, kun je snel opzoeken waar eventuele problemen zijn ontstaan. Je hebt continu inzicht en kunt snel reageren.”
Incident response plan: “Je kunt prioriteren en weet hoe je moet handelen”
Wil je als zorgorganisatie voldoen aan NIS2, dan is een incident response plan onontbeerlijk. Het is namelijk cruciaal dat je voorbereid bent op mogelijke incidenten. “Zo’n plan helpt om paniekreacties te vermijden en helpt je om stappen te nemen bij een groot beveiligingsprobleem,” zegt Bart. “Als daar sprake van is, wil je direct weten aan welke knoppen je moet draaien en welke partners je dient in te schakelen.”
Een goed incident response plan stelt je in staat om snel en efficiënt te reageren op een kritisch incident: “Je kunt de ernst van de situatie en de impact makkelijker inschatten. Omdat je goed voorbereid bent, kunt je prioriteren en weet je hoe je moet handelen.”
Complex hoef je het volgens Bart niet te maken: “Er bestaan veel leidraden voor het opstellen van een incident response plan. Je kunt dit dus relatief snel doen. Ik zou zeggen: grijp NIS2 aan als gelegenheid om een dergelijk plan te maken. Zo tref je de juiste voorbereidingsmaatregelen én identificeer je op welke vlakken je verbeteringen kunt aanbrengen.”
Starten met een NIS2-implementatie: 4 speerpunten
De implementatie van NIS2 kan overweldigend lijken. Maar als je de zaak gecoördineerd aanpakt, leg je een solide basis voor je zorgorganisatie. Om je op weg te helpen, deelt Bart enkele speerpunten die houvast kunnen bieden!
- Inventariseer je systemen en procedures
“Allereerst heb je inzicht in je huidige situatie nodig,” zegt Bart. “Heb je al een systeem waarin je incidenten logt? Zo ja, heb je dan een aparte categorie opgezet om securityincidenten te registreren? En weet je waar je prioriteiten liggen? Als je een dergelijke inventarisatie doet, begrijp je welke securityzaken aandacht vergen en waar verbeterpunten liggen.”
- Controleer rechten en toegang
“Veel organisaties vergeten om oude administratierechten te verwijderen,” vertelt Bart. “Als je hiermee historie opbouwt, ben je een doelwit voor cyberaanvallen. Controleer daarom regelmatig of iedereen de juiste rechten heeft en of mensen niet overbodig toegang hebben tot bepaalde data. Gaat een medewerker uit dienst? Zorg dan voor een goed offboarding-proces. En voer met grote regelmaat een controle uit op rechten en toegang. Voor de meeste zorgorganisaties geldt dat een wekelijkse check verstandiger is dan een maandelijkse check.”
- Installeer en onderhoud de basisbeveiliging
“Zorg voor een goed antivirusprogramma,” adviseert Bart. “Dit lijkt heel evident, maar vaak zien we dat organisaties geen zicht hebben op cruciale zaken. Ze weten bijvoorbeeld niet waar het programma precies geïnstalleerd is en een goede rapportage ontbreekt. Het gevolg kan zijn dat je bepaalde werkplekken of servers vergeet te beveiligen. Of dat de beveiliging niet meer up-to-date is, waardoor je veel kwetsbaarder bent dan nodig is.”
- Meet de effectiviteit van de getroffen maatregelen
“Het is essentieel dat je bekijkt of alles loopt zoals je bedoeld hebt,” vertelt Bart. “Je kan iets vergeten zijn. Dat is heel menselijk. Als je bijvoorbeeld 500 werkplekken hebt, is het niet onwaarschijnlijk dat 10 daarvan over het hoofd zijn gezien en daarom geen MFA of antivirusprogramma hebben. Zoiets wil je tijdig detecteren, zodat je je security kunt optimaliseren.”
Nu stappen nemen om je organisatie te versterken op securitygebied? Neem gerust contact met ons op via onderstaand formulier.
Bart Saels
Team lead Customer Service & Cloud Infra
