Verdere uitwerking van ICT Risicobeheer in de RTS
Een aantal onderwerpen uit de RTS lichten we hier verder toe. Deze onderwerpen zijn een verdere uitwerking van artikel 15 in de verordening. Hierbij is voor het overzicht gekozen voor een selectie van onderwerpen uit de RTS. Het feit dat niet alle onderwerpen uit de RTS worden besproken betekent niet dat de andere onderwerpen minder belangrijk zijn. Ondernemingen dienen per 17 januari 2025 te voldoen aan alle eisen die in de RTS zijn uitgewerkt.
Business Continuity Management
In hoofdstuk IV (artikel 24 t/m 26) van de RTS zijn een aantal onderwerpen rond BCM verder uitgewerkt. Hierin gaat het onder meer over het testen van het Business Continuity Plan (BCP) om de continuïteit van kritieke en belangrijke bedrijfsfuncties te waarborgen. Tijdens het testen van het BCP moeten ondernemingen gebruik maken van realistische testscenario’s die potentiële verstoringen proberen te simuleren. Indien mogelijk, worden ook ICT-services van derde partijen meegenomen in de testwerkzaamheden. De testresultaten worden gedocumenteerd en afwijkingen worden geanalyseerd, opgevolgd en gerapporteerd aan het management.
Naast het testen van het BCP moeten ondernemingen een respons- en herstelplan opstellen om de impact van verstoringen te minimaliseren. Hierbij moeten organisaties rekening houden met de Business Impact Analysis (zie ook artikel 11(5) in de verordening). In het ICT-respons- en herstelplan wordt onder andere opgenomen in welke situaties het plan van toepassing is (en wanneer niet), de acties die worden ondernomen om de beschikbaarheid, integriteit, vertrouwelijkheid van kritische en belangrijke systemen te waarborgen en in welke gevallen de uitvoering van het respons- en herstelplan als succesvol kan worden bestempeld.
ICT Asset Management
Als onderdeel van het beheer van ICT-activa, moeten ondernemingen een beleid en procedures opstellen (en implementeren) om de beschikbaarheid, integriteit en vertrouwelijkheid van gegevens te waarborgen. In het beleid staat hoe de organisatie de life cycle van haar ICT-activa monitort en beheert.
Daarnaast dienen instellingen een overzicht te maken van alle ICT-activa, inclusief de locatie, classificatie, systeemeigenaar en de bedrijfsfunctie die door de ICT-activa wordt ondersteund. Tot slot, moet er een procedure zijn waarin wordt beschreven hoe de onderneming bepaalt of een ICT-asset of applicatie kritiek of belangrijk is.
Encryptie en cryptografie
Net als voor het beheer van ICT-activa, moeten ondernemingen een beleid opstellen en implementeren waarin de encryptie van gegevens en het beheer van cryptografische sleutels wordt beschreven. In dit beleid worden onder meer de criteria beschreven om cryptografische technieken en gebruikspraktijken te selecteren.
Ook moet worden beschreven in welke situaties een onderneming overstapt naar een nieuwe cryptografische techniek om de weerbaarheid tegen cyberaanvallen te vergroten. Voor het beheer van cryptografische sleutels is het van belang dat ondernemingen eisen stellen voor elke fase in de life cycle van cryptografische sleutels. Hieronder valt het genereren, vernieuwen, opslaan, maken van back-ups, archiveren, ophalen, verzenden, buiten gebruik stellen, intrekken en vernietigen van sleutels.
Netwerkbeveiliging
Voor de beveiliging van netwerken binnen de organisatie is het belangrijk dat ondernemingen een beleid en procedure opstellen en implementeren waarin maatregelen worden beschreven die ongewenste toegang tot het netwerk en gegevensmisbruik tegengaan. Door een overzicht te maken van de verschillende netwerkverbindingen en datastromen binnen de organisatie krijgen instellingen een goed beeld van het netwerk.
Verder is het van belang dat netwerkverbindingen die over bedrijfsnetwerken, openbare netwerken, binnenlandse netwerken, netwerken van derden en draadloze netwerken gaan, worden beveiligd en versleuteld om ongewenste toegang tot de gegevens te voorkomen. Tot slot kunnen instellingen de beveiliging van hun netwerk waarborgen door regelmatig de ingestelde regels voor de firewall te herzien en de netwerkarchitectuur en netwerkbeveiliging periodiek te beoordelen.
Vulnerability en patch management
Om de netwerken van ondernemingen verder te beveiligen, dienen instellingen procedures te beschrijven voor zowel vulnerabillity als patch management. In de vulnerability management procedure staat onder meer beschreven hoe de instelling ervoor zorgt dat regelmatig een (geautomatiseerde) vulnerability scan wordt uitgevoerd en hoe de geïdentificeerde kwetsbaarheden worden opgevolgd en gemonitord.
Tegelijkertijd ziet de patch management procedure erop toe dat software en hardware patches automatisch worden geïdentificeerd en getest in een omgeving los van de productieomgeving (indien mogelijk) en dat er een termijn wordt gesteld aan de installatie van patches en updates.
Logging
Naast vulnerability en patch management en netwerkbeveiliging, dienen instellingen zich te beveiligen tegen indringers en gegevensmisbruik door de handelingen van gebruikers te loggen. Hierbij moeten ondernemingen voor zichzelf bepalen welke handelingen worden bijgehouden, hoe lang de logbestanden worden bewaard en maatregelen om de gegevens veilig te bewaren en verwerken.
Om de juistheid van de logbestanden te waarborgen is het ook belangrijk dat maatregelen worden genomen om de logbestanden te beschermen tegen ongeautoriseerde toegang, manipulatie/verwijdering en storingen in het logging systeem.
Change management
Om de beschikbaarheid, integriteit en vertrouwelijkheid van gegevens te waarborgen, is het belangrijk dat instellingen een ICT change management procedure hebben opgesteld en geïmplementeerd. In deze procedure wordt beschreven hoe de organisatie verifieert dat er wordt voldaan aan de ICT-veiligheidseisen, dat wijzigingen worden aangevraagd, getest, goedgekeurd en geïmplementeerd door de juiste medewerkers en hoe emergency changes moeten worden doorgevoerd.
Verder is het belangrijk dat ondernemingen nadenken over de evaluatie en monitoring van wijzigingen na de implementatie en welke stappen moeten worden doorlopen wanneer een wijziging voortijdig wordt afgebroken of niet kan worden geïmplementeerd.
Logisch toegangsbeheer
Voor het logische toegangsbeheer is het eveneens belangrijk dat er een beleid en procedures wordt opgesteld (en geïmplementeerd). Hierin moet worden beschreven hoe personen en systemen met toegang tot gegevens van de instelling, worden geïdentificeerd en geautoriseerd. Hiervoor is het belangrijk dat alle (externe) medewerkers een unieke identiteit toegewezen krijgen die is gekoppeld aan het gebruikersaccount van de medewerker. Deze identiteiten/gebruikersaccounts moeten worden bijgehouden en periodiek worden gecontroleerd. Onder het controleren van de identiteit valt het aanmaken, wijzigen, (tijdelijk) deactiveren en verwijderen van accounts.
Naast de identificatie van gebruikers, is het van belang dat de toegang van medewerkers tot gegevens juist wordt beheerd door de organisatie. Hierbij moeten instellingen de toegang van medewerkers tot gegevens zoveel mogelijk proberen te beperken (least privililege principles), functiescheidingsconflicten voorkomen en ervoor zorgen dat handelingen in ICT-systemen kunnen worden herleid naar medewerkers (met name wanneer gedeelde accounts worden gebruikt). Tot slot is het belangrijk dat mutaties van toegangsrechten juist en tijdig worden doorgevoerd