Bewijsmateriaal voor NIS2-registratie binnen ISO 27001:2022

De e-mail kwam binnen in Anna’s inbox met een stille dreun die eerder als een sirene aanvoelde. Als CISO van CloudFlow, een snelgroeiende B2B SaaS-aanbieder met klanten in de hele EU, was zij gewend aan beveiligingsvragenlijsten, inkoopaudits en ISO 27001-controleaudits. Dit bericht was anders.

De onderwerpregel luidde: “Informatieverzoek over de nationale implementatie van Richtlijn (EU) 2022/2555 (NIS2).” De nationale cyberbeveiligingsautoriteit wilde dat CloudFlow zijn classificatie bevestigde, registratie-informatie over de entiteit voorbereidde, de diensten binnen de scope identificeerde en kon aantonen welke maatregelen voor cyberbeveiligingsrisicobeheer waren getroffen.

Anna had een ISO 27001:2022-certificaat ingelijst aan de muur hangen. Sales gebruikte het bij enterprise-deals. Het bestuur had het informatiebeveiligingsbeleid goedgekeurd. Interne audit had onlangs twee bevindingen gesloten. Maar de vraag die nu voor haar lag, was scherper dan de certificeringsstatus.

Kon CloudFlow snel en verdedigbaar aantonen dat zijn ISO 27001:2022-ISMS de NIS2-verplichtingen afdekte?

Op dit punt maken veel organisaties de verkeerde keuze. Zij behandelen NIS2-entiteitsregistratie als een administratieve indiening, vergelijkbaar met het bijwerken van een handelsregister of belastingportaal. Dat is het niet. Registratie is de toegangspoort tot zichtbaarheid voor toezichthouders. Na die toegangspoort kan de bevoegde autoriteit vragen om onderbouwing van de scope, registraties van bestuursgoedkeuring, procedures voor incidentmelding, bewijsmateriaal over leveranciersrisico’s, contactpunten, metrieken over de doeltreffendheid van beheersmaatregelen en bewijs dat de organisatie weet welke diensten kritiek zijn.

Voor aanbieders van SaaS, cloud, beheerde diensten, beheerde beveiligingsdiensten, datacenters, digitale infrastructuur en bepaalde aanbieders in de financiële sector is de echte vraag niet langer: “Hebben we een beveiligingsbeleid?” De vraag is: “Kunnen we een bewijsketen laten zien van wettelijke verplichting naar ISMS-scope, risicobehandeling, werking van beheersmaatregelen en managementtoezicht?”

Het sterkste programma voor NIS2-handhavingsgereedheid is geen parallelle spreadsheet. Het is een traceerbaar bewijsmodel binnen ISO 27001:2022.

NIS2-registratie is in wezen een bewijsvraagstuk

NIS2 is breed van toepassing op publieke of private entiteiten in de sectoren die zijn vermeld in Bijlage I en Bijlage II en die voldoen aan de relevante drempel voor middelgrote ondernemingen of deze overschrijden. De richtlijn omvat ook bepaalde entiteiten ongeacht hun omvang, waaronder aanbieders van openbare elektronische communicatienetwerken of -diensten, verleners van vertrouwensdiensten, TLD-registers, DNS-dienstverleners, bepaalde aanbieders van essentiële diensten en entiteiten waarvan een verstoring gevolgen kan hebben voor openbare veiligheid, volksgezondheid, systeemrisico of nationale of regionale kritikaliteit.

Voor technologiebedrijven zijn de digitale categorieën bijzonder belangrijk. Bijlage I omvat digitale infrastructuur, zoals cloudcomputingdienstverleners, datacenterdienstverleners, aanbieders van contentdeliverynetwerken, verleners van vertrouwensdiensten, DNS-dienstverleners en aanbieders van openbare elektronische communicatienetwerken of -diensten. Bijlage I omvat ook ICT-dienstenbeheer voor business-to-businessdiensten, waaronder aanbieders van beheerde diensten en aanbieders van beheerde beveiligingsdiensten. Bijlage II omvat digitale aanbieders zoals onlinemarktplaatsen, onlinezoekmachines en platforms voor socialenetwerkdiensten.

Dat betekent dat een organisatie binnen de NIS2-scope kan vallen zonder zichzelf als “kritieke infrastructuur” te beschouwen. Een B2B SaaS-bedrijf met functionaliteit voor beheerde beveiliging, een cloudplatform dat gereguleerde klanten ondersteunt, of een fintech-gerelateerde aanbieder kan plotseling een registratiedossier, een contactmodel voor de bevoegde autoriteit en een verdedigbaar verhaal over beheersmaatregelen nodig hebben.

NIS2 maakt ook onderscheid tussen essentiële en belangrijke entiteiten. Essentiële entiteiten krijgen doorgaans te maken met een proactiever toezichtmodel, terwijl belangrijke entiteiten meestal onder toezicht staan na aanwijzingen van niet-naleving of incidenten. Het onderscheid is relevant, maar neemt de noodzaak tot voorbereiding niet weg. Beide categorieën hebben governance, risicobeheer, incidentmelding, leveranciersbeveiliging en bewijsmateriaal nodig.

Financiële entiteiten moeten ook rekening houden met DORA. NIS2 artikel 4 erkent dat wanneer een sectorspecifieke rechtshandeling van de Unie ten minste gelijkwaardige verplichtingen oplegt voor cyberbeveiligingsrisicobeheer en incidentmelding, die sectorspecifieke regels gelden voor de overeenkomstige gebieden. DORA is van toepassing vanaf 17 januari 2025 en stelt eisen aan ICT-risicobeheer, melding van majeure ICT-gerelateerde incidenten, testen van digitale operationele weerbaarheid, informatie-uitwisseling, ICT-risicobeheer van derde partijen, contractuele beheersmaatregelen en toezicht op kritieke ICT-derde aanbieders. Voor financiële entiteiten die onder DORA vallen, is DORA het primaire kader voor cyberweerbaarheid voor overlappende vereisten, maar NIS2-koppelingen en coördinatie met nationale autoriteiten kunnen nog steeds relevant zijn.

De les is eenvoudig. Wacht niet op het portaalveld of de e-mail van de toezichthouder voordat u bewijsmateriaal opbouwt. Elk registratieantwoord impliceert een toekomstige auditvraag.

Begin met de ISMS-scope, niet met het portaalformulier

ISO 27001:2022 is nuttig omdat het de organisatie dwingt om context, belanghebbenden, wettelijke verplichtingen, scope, risico’s, risicobehandelplannen, werking van beheersmaatregelen, monitoring, interne audit, directiebeoordeling en verbetering te definiëren.

Clausules 4.1 tot en met 4.4 vereisen dat de organisatie interne en externe kwesties bepaalt, belanghebbenden en hun vereisten identificeert, beslist welke vereisten via het ISMS worden behandeld, de ISMS-scope definieert met inachtneming van interfaces en afhankelijkheden, die scope documenteert en de ISMS-processen uitvoert.

Voor NIS2 moet die scope praktische vragen beantwoorden:

• Welke EU-diensten, juridische entiteiten, dochterondernemingen, platforms, infrastructuurcomponenten en bedrijfseenheden zijn relevant?
• Welke categorie uit Bijlage I of Bijlage II kan van toepassing zijn?
• Is de organisatie essentieel, belangrijk, DORA-gedekt, buiten scope, of in afwachting van nationale classificatie?
• Welke diensten zijn kritiek voor klanten, openbare veiligheid, financiële stabiliteit, gezondheidszorg, digitale infrastructuur of andere gereguleerde sectoren?
• Welke cloudproviders, MSP’s, MSSP’s, datacenters, onderaannemers en andere leveranciers ondersteunen die diensten?
• Welke lidstaten, bevoegde autoriteiten, CSIRT’s, privacytoezichthouders en financiële toezichthouders kunnen relevant zijn?

Clarysec’s Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint positioneert dit werk vroeg, in stap 2, behoeften van belanghebbenden en ISMS-scope. Het instrueert organisaties om toezichthouders en autoriteiten te identificeren, wettelijke en regelgevende vereisten te beoordelen, contracten en overeenkomsten te beoordelen, interviews met belanghebbenden uit te voeren en verwachte sectorstandaarden in aanmerking te nemen.

Actiepunt 4.2: Stel een lijst op van alle significante belanghebbenden en noteer hun vereisten met betrekking tot informatiebeveiliging. Wees grondig: denk aan iedereen die zou klagen of gevolgen zou ondervinden als uw beveiliging faalt of als een bepaalde beheersmaatregel ontbreekt. Deze lijst bepaalt waaraan u via uw ISMS moet voldoen of invulling moet geven en voedt de risicobeoordeling en selectie van beheersmaatregelen.

Dat is het juiste vertrekpunt voor NIS2-registratie. Maak vóór indiening een korte NIS2-scopememo die het bedrijfsmodel koppelt aan de categorieën van Bijlage I of Bijlage II, omvangs- en dienstveronderstellingen documenteert, de interpretatie van nationale wetgeving vastlegt, bevoegde autoriteiten identificeert en aangeeft of DORA, GDPR, klantcontracten of sectorregels ook van toepassing zijn.

Clarysec’s SME Legal and Regulatory Compliance Policy Beleid inzake wettelijke en regelgevende naleving - SME definieert het doel helder:

“Dit beleid definieert de aanpak van de organisatie voor het identificeren, naleven en aantonen van naleving van wettelijke, regelgevende en contractuele verplichtingen.”

Voor grotere programma’s is Clarysec’s Legal and Regulatory Compliance Policy Beleid inzake wettelijke en regelgevende naleving nog explicieter:

“Alle wettelijke en regelgevende verplichtingen moeten worden gekoppeld aan specifieke beleidslijnen, beheersmaatregelen en eigenaren binnen het Information Security Management System (ISMS).”

Die zin vormt de basis van handhavingsgereedheid. Als een toezichthouder vraagt hoe NIS2-verplichtingen zijn geïdentificeerd, mag het antwoord niet zijn: “De juridische afdeling heeft ons geadviseerd.” Het antwoord moet een gedocumenteerd register zijn, gekoppeld aan scope, risico’s, eigenaren van beheersmaatregelen, procedures, bewaard bewijsmateriaal en directiebeoordeling.

Bouw de NIS2-bewijsketen binnen ISO 27001:2022

NIS2 artikel 21 vereist dat essentiële en belangrijke entiteiten passende en evenredige technische, operationele en organisatorische maatregelen implementeren om risico’s te beheren voor netwerk- en informatiesystemen die voor de bedrijfsvoering of dienstverlening worden gebruikt. Maatregelen moeten rekening houden met de stand van de techniek, relevante Europese en internationale normen waar van toepassing, kosten, risicoblootstelling, omvang, waarschijnlijkheid en ernst van incidenten, en maatschappelijke en economische impact.

Artikel 21(2) somt minimumgebieden op, waaronder risicoanalyse en beleid voor de beveiliging van informatiesystemen, incidentafhandeling, bedrijfscontinuïteit, back-ups, herstel na verstoringen, crisismanagement, beveiliging van de toeleveringsketen, veilige verwerving en ontwikkeling, afhandeling van kwetsbaarheden, beoordeling van doeltreffendheid, cyberhygiëne, training, cryptografie, HR-beveiliging, toegangscontrole, beheer van bedrijfsmiddelen, multifactorauthenticatie of continue authenticatie, en waar passend beveiligde communicatie.

ISO 27001:2022 sluit vanzelfsprekend aan op die structuur. Clausules 6.1.1 tot en met 6.1.3 vereisen risicobeoordeling en risicobehandeling, inclusief risicoacceptatiecriteria, risico-eigenaren, analyse van waarschijnlijkheid en gevolgen, een risicobehandelplan, vergelijking met Annex A-beheersmaatregelen en een Verklaring van Toepasselijkheid. Clausule 8 vereist operationele planning en beheersing, bewijsmateriaal dat processen volgens planning hebben gewerkt, wijzigingsbeheer, beheersing van extern geleverde processen, terugkerende risicobeoordelingen en gedocumenteerde behandelresultaten. Clausule 9.1 vereist monitoring, meting, analyse en evaluatie. Clausule 9.2 vereist interne audit. Clausule 10.2 vereist actie op non-conformiteiten en corrigerende maatregelen.

Clarysec’s Risk Management Policy Beleid inzake risicobeheer - SME zet dit om in een operationele regel:

“Alle geïdentificeerde risico’s moeten worden geregistreerd in het risicoregister.”

Het enterprise Risk Management Policy Beleid inzake risicobeheer koppelt risicobehandeling aan de selectie van ISO 27001:2022-beheersmaatregelen:

“Besluiten over beheersmaatregelen die voortvloeien uit het risicobehandelingsproces moeten worden weerspiegeld in de SoA.”

Dit is belangrijk omdat NIS2-bewijsmateriaal traceerbaar moet zijn. Als een autoriteit vraagt waarom een beheersmaatregel bestaat, verwijs dan naar de verplichting, het risico, het behandelbesluit, de eigenaar van de beheersmaatregel, de SoA-vermelding, de procedure en het bewijsmateriaal. Als de autoriteit vraagt waarom een beheersmaatregel niet is geselecteerd, verwijs dan naar de SoA-motivering, de goedgekeurde risicoacceptatie en de directiebeoordeling.

De beste bewijsketen is op de best mogelijke manier saai. Elke verplichting heeft een eigenaar. Elke eigenaar heeft een beheersmaatregel. Elke beheersmaatregel heeft bewijsmateriaal. Elke uitzondering heeft goedkeuring. Elke auditbevinding heeft een corrigerende maatregel.

Verwerk artikel 20-governance in bestuursbewijsmateriaal

NIS2 artikel 20 brengt cyberbeveiliging naar de bestuurskamer. Managementorganen moeten de cyberbeveiligingsrisicobeheermaatregelen goedkeuren die voor artikel 21 worden vastgesteld, toezicht houden op de implementatie en kunnen aansprakelijk worden gehouden voor inbreuken. Leden van het managementorgaan moeten training volgen, en entiteiten worden aangemoedigd om medewerkers regelmatig cyberbeveiligingstraining te geven.

Een bestuur kan NIS2 niet eenvoudigweg aan IT delegeren. Bewijsmateriaal moet aantonen dat het management de NIS2-scopeanalyse heeft begrepen, de risicobeheeraanpak heeft goedgekeurd, materiële risico’s heeft beoordeeld, middelen heeft toegewezen, implementatie heeft gevolgd, incidenten en oefeningen heeft beoordeeld en training heeft ontvangen.

ISO 27001:2022-clausules 5.1 tot en met 5.3 ondersteunen dat governancemodel door betrokkenheid van topmanagement te vereisen, afstemming van informatiebeveiligingsdoelstellingen op de bedrijfsstrategie, integratie van ISMS-vereisten in bedrijfsprocessen, middelen, communicatie, verantwoordingsplicht en rapportage van ISMS-prestaties aan topmanagement.

Clarysec’s Governance Roles and Responsibilities Policy Beleid inzake governancerollen en -verantwoordelijkheden definieert de rol van security liaison als iemand die:

“Fungeert als primaire contactpersoon met auditors, toezichthouders en hoger management over informatiebeveiligingsaangelegenheden.”

Die rol moet in het NIS2-registratiebewijspakket bij naam worden genoemd. Dit mag niet impliciet blijven. Autoriteiten, auditors en klanten willen weten wie het contact met toezichthouders coördineert, wie eigenaar is van incidentmelding, wie het juridisch register onderhoudt, wie autoriteitscontacten actualiseert en wie aan het bestuur rapporteert.

Een praktische set governancebewijsmateriaal omvat:

• Bestuursgoedkeuring van het kader voor cyberbeveiligingsrisicobeheer.
• Notulen van directiebeoordelingen waarin NIS2-scope, risico’s, incidenten, leveranciers en gereedheid worden behandeld.
• Trainingsregistraties voor leden van het managementorgaan en medewerkers.
• Een RACI-matrix voor NIS2-verplichtingen, ISO 27001:2022-beheersmaatregelen, incidentmelding, leveranciersassurance en communicatie met toezichthouders.
• Bewijsmateriaal dat NIS2-verplichtingen zijn opgenomen in interne audit en toezicht op naleving.
• Opvolging van corrigerende maatregelen voor hiaten, achterstallige risico’s, uitzonderingen en mislukte tests.

Artikelen 32 en 33 maken de kwaliteit van bewijsmateriaal ook belangrijk door factoren voor ernstige inbreuken te benoemen, zoals herhaalde overtredingen, het niet melden of verhelpen van significante incidenten, het niet aanpakken van tekortkomingen na bindende instructies, obstructie van audits of monitoring, en onjuiste of grof onnauwkeurige informatie. Zwak bewijsmateriaal kan een handhavingsprobleem worden, zelfs wanneer technische beheersmaatregelen bestaan.

Bereid bewijsmateriaal voor autoriteitscontact en incidentmelding vóór 02:00 voor

De pijnlijkste tekortkomingen in incidentmelding beginnen vaak met een basale vraag: “Wie moeten we informeren?” Tijdens ransomware, DNS-uitval, cloudcompromittering of gegevensblootstelling verliezen teams tijd met het zoeken naar de juiste CSIRT, bevoegde autoriteit, privacytoezichthouder, financiële toezichthouder, meldkanaal voor opsporingsinstanties, klantsjabloon en interne goedkeurder.

NIS2 artikel 23 vereist melding zonder onnodige vertraging van significante incidenten die de dienstverlening raken. Een significant incident is een incident dat ernstige operationele verstoring of financieel verlies heeft veroorzaakt of kan veroorzaken, of dat anderen heeft getroffen of kan treffen door aanzienlijke materiële of immateriële schade te veroorzaken. De tijdlijn is gefaseerd: vroege waarschuwing binnen 24 uur nadat men zich bewust is geworden, incidentmelding binnen 72 uur, tussentijdse updates op verzoek en een eindrapport binnen één maand na de 72-uursmelding of nadat het incident is afgehandeld bij lopende incidenten. Waar passend moeten afnemers van diensten ook worden geïnformeerd over significante incidenten of significante cyberdreigingen en beschermende maatregelen.

Zenith Blueprint, fase Controls in Action, stap 22, behandelt contact met autoriteiten als voorbereiding, niet als paniekreactie:

Het principe is eenvoudig: als uw organisatie het doelwit was van een cyberaanval, betrokken was bij een datalek of onderwerp was van een onderzoek, wie zou dan de autoriteiten bellen? Hoe zouden zij weten wat zij moeten zeggen? Onder welke voorwaarden zou dergelijk contact worden geïnitieerd? Deze vragen moeten vooraf worden beantwoord, niet achteraf.

Clarysec’s Zenith Controls: The Cross-Compliance Guide Zenith Controls behandelt ISO/IEC 27002:2022-beheersmaatregel 5.5, contact met autoriteiten. Het classificeert de beheersmaatregel als preventief en corrigerend, gekoppeld aan vertrouwelijkheid, integriteit en beschikbaarheid, en verbonden met de concepten Identify, Protect, Respond en Recover. Het koppelt beheersmaatregel 5.5 ook aan ISO/IEC 27002:2022-beheersmaatregelen 5.24 planning en voorbereiding van beheer van informatiebeveiligingsincidenten, 6.8 rapportage van informatiebeveiligingsgebeurtenissen, 5.7 Threat Intelligence, 5.6 contact met speciale belangengroepen en 5.26 respons op informatiebeveiligingsincidenten.

Vanuit cross-complianceperspectief koppelt Zenith Controls contact met autoriteiten aan NIS2 artikel 23, GDPR-melding van inbreuken, DORA-incidentmelding, NIST SP 800-53 IR-6 Incident Reporting en COBIT 2019-praktijken voor externe escalatie. Eén contactregister voor autoriteiten kan meerdere verplichtingen ondersteunen als het goed is ontworpen.

Clarysec’s Incident Response Policy Incidentresponsbeleid - SME maakt juridische triage expliciet:

“Wanneer klantgegevens betrokken zijn, moet de algemeen directeur de wettelijke meldingsverplichtingen beoordelen op basis van de toepasselijkheid van GDPR, NIS2 of DORA.”

Een sterk bewijspakket voor autoriteitscontacten moet het volgende bevatten:

• Contactgegevens van bevoegde autoriteiten en CSIRT’s per lidstaat en dienst.
• Contacten van privacytoezichthouders voor GDPR-melding van inbreuken in verband met persoonsgegevens.
• Contacten van financiële toezichthouders indien DORA van toepassing is.
• Contactroutes naar opsporingsinstanties en cybercrime-eenheden.
• Geautoriseerde interne woordvoerders en plaatsvervangers.
• Incidentdrempels voor NIS2, GDPR, DORA, klantcontracten en cyberverzekering.
• Sjablonen voor 24-uurs vroege waarschuwing, 72-uursmelding, tussentijdse update en eenmaandsrapportage.
• Registraties van tabletop-oefeningen waarin externe melding is getest.
• Registraties van eerdere meldingen, besluiten om niet te melden en juridische onderbouwing.

Koppel NIS2 artikel 21 aan ISO 27001-beheersmaatregelen en beleidsbewijsmateriaal

Een certificaat alleen beantwoordt de vraag van een toezichthouder niet. Een mapping van beheersmaatregelen doet dat wel. De volgende tabel biedt beveiligings- en complianceteams een praktische brug tussen NIS2 artikel 21-gebieden, ISO/IEC 27002:2022-beheersmaatregelen, Clarysec-beleidsankers en bewijsmateriaal.

Clarysec’s Zenith Controls behandelt ook ISO/IEC 27002:2022-beheersmaatregel 5.31, wettelijke, statutaire, regelgevende en contractuele eisen, als preventieve beheersmaatregel met impact op vertrouwelijkheid, integriteit en beschikbaarheid. Het koppelt 5.31 aan privacy en bescherming van persoonlijk identificeerbare informatie (PII), bewaartermijnen voor registraties, onafhankelijke beoordeling en naleving van interne beleidslijnen. Het koppelt 5.31 ook aan GDPR-verantwoordingsplicht, naleving van NIS2-verplichtingen in de toeleveringsketen, DORA ICT-risicobeheer, NIST CSF-governance, NIST SP 800-53-programmabeheersmaatregelen en COBIT 2019-toezicht op externe naleving.

“Beheersmaatregel 5.31 waarborgt dat alle relevante wettelijke, regelgevende, statutaire en contractuele eisen met betrekking tot informatiebeveiliging worden geïdentificeerd, gedocumenteerd en continu beheerd.”

Dat is precies wat een nationale autoriteit na registratie wil zien: niet alleen dat NIS2 is opgenomen, maar dat de organisatie een levend mechanisme heeft om verplichtingen te identificeren, te mappen, te implementeren, te monitoren en te actualiseren.

Scheid NIS2 niet van DORA, GDPR, leveranciers en cloud

NIS2-bewijsmateriaal staat zelden op zichzelf.

NIS2 artikel 21(2)(d) vereist beveiliging van de toeleveringsketen, inclusief beveiligingsgerelateerde aspecten van relaties met leveranciers en dienstverleners. Artikel 21(3) vereist dat leveranciersrisicobesluiten rekening houden met kwetsbaarheden, algemene productkwaliteit, cyberbeveiligingspraktijken, procedures voor veilige ontwikkeling en relevante gecoördineerde EU-risicobeoordelingen van de toeleveringsketen.

ISO 27001:2022 Annex A biedt de operationele brug via A.5.19 tot en met A.5.23. Voor SaaS- en cloudorganisaties bepalen deze beheersmaatregelen vaak of registratiebewijsmateriaal oppervlakkig of verdedigbaar is.

DORA scherpt het leveranciersbeeld voor financiële entiteiten aan. Artikelen 28 tot en met 30 vereisen ICT-risicobeheer van derde partijen, een register van ICT-dienstverleningscontracten, onderscheid tussen diensten die kritieke of belangrijke functies ondersteunen, precontractuele risicobeoordeling, due diligence, contractuele beveiligingseisen, audit- en inspectierechten, beëindigingsrechten, geteste exitstrategieën, beoordeling van onderaanneming, transparantie over gegevenslocatie, incidentondersteuning, samenwerking met autoriteiten en overgangsregelingen. Als een SaaS-aanbieder DORA-gereguleerde klanten bedient, kunnen zijn contracten en assurancepakket worden onderzocht, zelfs als hij zelf niet de financiële entiteit is.

Clarysec’s Third-party and supplier security policy - SME Derde-partij- en leveranciersbeveiligingsbeleid - SME moet daarom worden gekoppeld aan het NIS2-bewijspakket. Leveranciersgereedheid moet het volgende omvatten:

• Leveranciersinventaris en classificatie naar kritikaliteit.
• Leveranciers-due diligence en risicobeoordelingen.
• Contractclausules voor beveiliging, incidentondersteuning, auditrechten, gegevenslocatie, onderaanneming en exit.
• Matrices voor gedeelde verantwoordelijkheid in de cloud.
• Monitoringregistraties voor kritieke aanbieders.
• Exit- en hersteltesten voor kritieke diensten.
• Procedures voor melding en escalatie van leveranciersincidenten.

GDPR moet eveneens worden geïntegreerd. Een NIS2-significant incident kan ook een inbreuk in verband met persoonsgegevens zijn als klant-, medewerker- of gebruikersgegevens zijn gecompromitteerd. GDPR vereist dat verwerkingsverantwoordelijken verantwoordingsplicht kunnen aantonen en, wanneer meldingsdrempels worden gehaald, de toezichthoudende autoriteit binnen 72 uur na kennisname van een inbreuk in verband met persoonsgegevens informeren. Uw incidentresponsworkflow moet NIS2-, GDPR-, DORA-, contractuele en klantverplichtingen parallel beoordelen.

Stel in één week een NIS2-bewijspakket samen

Een SaaS-aanbieder, MSP, MSSP, cloudprovider of bedrijf voor digitale infrastructuur kan in één gerichte week aanzienlijke voortgang boeken.

Dag 1, classificeer de entiteit en diensten. Gebruik de ISMS-scopeverklaring en het register van belanghebbenden. Voeg een NIS2-scopememo toe die de categorieën van Bijlage I of Bijlage II, EU-diensten, lidstaten, klanten, afhankelijkheden, omvangsveronderstellingen en de toepasselijkheid van DORA of sectorregels identificeert. Leg classificatieonzekerheid als risico vast als de juridische interpretatie nog niet definitief is.

Dag 2, actualiseer het register van wettelijke en regelgevende verplichtingen. Voeg NIS2 artikelen 20, 21 en 23, registratie-eisen op grond van nationale wetgeving, GDPR-verplichtingen bij inbreuken, DORA-verplichtingen waar relevant en belangrijke contractuele meldingsvereisten toe. Koppel elke verplichting aan een beleid, eigenaar, beheersmaatregel, bron van bewijsmateriaal en beoordelingsfrequentie.

Dag 3, actualiseer risicobeoordeling en risicobehandeling. Neem juridische, regelgevende, operationele, leveranciers-, financiële, reputatie- en maatschappelijke impact op in de risicocriteria. Voeg risico’s toe zoals het niet registreren, onjuiste entiteitsclassificatie, gemiste 24-uurs vroege waarschuwing, niet-beschikbare autoriteitscontacten, leveranciersuitval die kritieke diensten raakt, onvoldoende bestuurstoezicht en onvermogen om doeltreffendheid van beheersmaatregelen aan te tonen.

Dag 4, actualiseer de SoA. Bevestig NIS2-relevante beheersmaatregelen, waaronder A.5.5 contact met autoriteiten, A.5.19 tot en met A.5.23 leveranciers- en cloudbeheersmaatregelen, A.5.24 tot en met A.5.28 incidentbeheersmaatregelen, A.5.29 beveiliging tijdens verstoring, A.5.30 ICT-gereedheid voor bedrijfscontinuïteit, A.5.31 wettelijke eisen, A.5.34 privacy, A.8.8 kwetsbaarhedenbeheer, A.8.13 back-ups, A.8.15 logging, A.8.16 monitoringactiviteiten, A.8.24 cryptografie en beheersmaatregelen voor veilige ontwikkeling A.8.25 tot en met A.8.32.

Dag 5, test incidentmelding. Voer een tabletop-oefening uit: een foutieve cloudconfiguratie stelt klantgegevens bloot en verstoort dienstverlening in twee lidstaten. Start de klok. Kan het team de gebeurtenis classificeren, GDPR-, NIS2-, DORA-, contractuele en klantdrempels beoordelen, een 24-uurs vroege waarschuwing voorbereiden, een 72-uursmelding opstellen, bewijsmateriaal veiligstellen en oorzaakanalyse toewijzen?

Dag 6, verzamel bewijsmateriaal. Maak een map gereed voor toezichthouders met de scopememo, het juridisch register, risicoregister, de SoA, contactlijst voor autoriteiten, het incidentdraaiboek, leveranciersregister, bestuursnotulen, trainingsregistraties, logboeken, monitoringsrapportages, back-uptests, kwetsbaarheidsrapporten, interne-auditscope en het logboek voor corrigerende maatregelen.

Dag 7, directiebeoordeling. Presenteer het gereedheidspakket aan het leiderschap. Leg goedkeuringen, restrisico’s, openstaande acties, deadlines, middelen en verantwoordingsplicht van eigenaren vast. Als registratie moet plaatsvinden, voeg dan de bewijsindex toe aan de registratiebesluitregistratie.

Clarysec’s Audit and Compliance Monitoring Policy for SMEs Beleid voor audit en toezicht op naleving - SME voorziet in deze behoefte:

“Bewijsmateriaal moet worden afgestemd op NIS2-verplichtingen wanneer de organisatie is aangewezen als belangrijke entiteit of anderszins binnen de scope van nationale wetgeving valt.”

Het enterprise Audit and Compliance Monitoring Policy Beleid voor audit en toezicht op naleving formuleert het doel als volgt:

“Het genereren van verdedigbaar bewijsmateriaal en een audittrail ter ondersteuning van verzoeken van toezichthouders, juridische procedures of klantassuranceverzoeken.”

Dat is het doel: verdedigbaar bewijsmateriaal voordat het verzoek binnenkomt.

Bereid u voor op verschillende auditperspectieven

Een certificeringsauditor, nationale autoriteit, klantauditor, privacy-auditor en leveranciersassuranceteam stellen niet dezelfde vragen. Een sterk NIS2-bewijspakket werkt voor al deze perspectieven.

Voor ISO/IEC 27002:2022-beheersmaatregel 5.5 verwachten auditors doorgaans gedocumenteerde autoriteitscontacten, toegewezen verantwoordelijkheden, onderhoud van contacten, incidentresponsdraaiboeken en scenariogebaseerde duidelijkheid. Een eenvoudige auditvraag kan volwassenheid blootleggen: “Wie neemt bij ransomware contact op met opsporingsinstanties of de nationale CSIRT?” Als het antwoord afhankelijk is van iemand die zich een naam herinnert, is de beheersmaatregel niet gereed.

Clarysec’s Logging and Monitoring Policy Beleid voor logging en monitoring - SME versterkt de verwachting rond bewijsmateriaal:

“Logboeken moeten op verzoek beschikbaar en begrijpelijk zijn voor externe auditors of toezichthouders.”

Clarysec’s Information Security Policy Informatiebeveiligingsbeleid stelt de bredere enterprise-standaard:

“Alle geïmplementeerde beheersmaatregelen moeten auditeerbaar zijn, ondersteund door gedocumenteerde procedures en bewaard bewijsmateriaal van werking.”

Dat is de audittest in één zin. Als een beheersmaatregel niet met bewijsmateriaal kan worden onderbouwd, heeft deze weinig gewicht wanneer een bevoegde autoriteit om bewijs vraagt.

Definitieve checklist voor NIS2-registratiebewijsmateriaal

Gebruik deze checklist vóór registratie of vóór beantwoording van een verzoek van een nationale autoriteit.

• Documenteer de NIS2-scopeanalyse, inclusief onderbouwing voor Bijlage I of Bijlage II, dienstbeschrijvingen, omvangsveronderstellingen, aanwezigheid per lidstaat en entiteitsclassificatie.
• Bepaal of DORA rechtstreeks van toepassing is, of indirect via klanten in de financiële sector en ICT-dienstverleningscontracten.
• Actualiseer de ISMS-scope zodat relevante diensten, afhankelijkheden, uitbestede processen en interfaces met toezichthouders zijn opgenomen.
• Voeg NIS2, GDPR, DORA, sectorregels en contractuele eisen toe aan het register van wettelijke en regelgevende verplichtingen.
• Koppel elke verplichting aan beleidslijnen, beheersmaatregelen, eigenaren, bewijsmateriaal, beoordelingsfrequentie en managementrapportage.
• Bevestig bestuursgoedkeuring en toezicht op maatregelen voor cyberbeveiligingsrisicobeheer.
• Onderhoud trainingsregistraties voor management en medewerkers over cyberbeveiliging.
• Actualiseer risicocriteria zodat regelgevende impact, verstoring van dienstverlening, schade voor klanten, grensoverschrijdende impact en leveranciersafhankelijkheid zijn opgenomen.
• Registreer NIS2-gerelateerde risico’s in het risicoregister en koppel ze aan behandelplannen.
• Actualiseer de SoA met NIS2-relevante Annex A-beheersmaatregelen en implementatiestatus.
• Onderhoud contactlijsten voor autoriteiten en meldprocedures voor CSIRT’s, bevoegde autoriteiten, privacytoezichthouders, financiële toezichthouders en opsporingsinstanties.
• Test de workflow voor 24-uurs vroege waarschuwing, 72-uursmelding, tussentijdse update en eindrapport na één maand.
• Onderhoud leveranciers- en cloudbewijsmateriaal, inclusief due diligence, contracten, auditrechten, monitoring, onderaanneming en exitplannen.
• Onderbouw de doeltreffendheid van beheersmaatregelen met logboeken, metrieken, audits, dashboards, testresultaten en corrigerende maatregelen.
• Bereid een bewijsindex voor zodat elk verzoek van een toezichthouder, klant of auditor snel kan worden beantwoord.

De volgende stap met Clarysec

NIS2-entiteitsregistratie is niet de eindstreep. Het is het moment waarop uw organisatie zichtbaar wordt voor nationaal cyberbeveiligingstoezicht. De juiste vraag is niet: “Kunnen we registreren?” De juiste vraag is: “Als de autoriteit na registratie om bewijsmateriaal vraagt, kunnen we dan binnen uren, niet weken, een samenhangend ISO 27001:2022-verhaal leveren?”

Clarysec helpt organisaties dat verhaal op te bouwen met de Zenith Blueprint Zenith Blueprint, Zenith Controls Zenith Controls en praktische ISO 27001:2022-beleidssets die wettelijke verplichtingen, risicobehandeling, incidentmelding, leveranciersbeveiliging, logging, monitoring, auditbewijsmateriaal en managementverantwoordingsplicht met elkaar verbinden.

Voer een gapreview uit op NIS2-bewijsmateriaal ten opzichte van uw huidige ISMS. Begin met de scopememo, het juridisch register, risicoregister, de SoA, contactlijst voor autoriteiten, workflow voor incidentmelding, leveranciersregister en map met auditbewijsmateriaal. Als deze artefacten onvolledig zijn of niet met elkaar verbonden zijn, kan Clarysec helpen om ze om te zetten in een bewijspakket dat gereed is voor toezichthouders voordat uw nationale autoriteit erom vraagt.