Vereenvoudigd kader voor ICT-risicobeheer
In artikel 16 van de verordening worden de vereisten voor het vereenvoudigd kader voor ICT-risicobeheer beschreven welke van toepassing zijn op een aantal uitgezonderde instellingen. Hierbij is een deel van de vereisten voor het framework in de verordening beschreven, terwijl een ander deel in de RTS wordt uitgewerkt.
Als er wordt gekeken naar het kader voor ICT-risicobeheer, geldt dat het vereenvoudigd kader in grote lijnen gelijk is aan het ‘reguliere’ kader voor ICT-risicobeheer. Net als voor het reguliere ICT Risk Management framework, geldt dat de vereenvoudigde variant wordt gedocumenteerd en periodiek (en in het geval van ernstige ICT-incidenten) geëvalueerd. De frequentie van de periodieke evaluatie is afhankelijk van het risicoprofiel van de instelling.
Vereisten vereenvoudigd framework
Het grootste verschil is het aantal vereisten waar het vereenvoudigd framework aan moet voldoen. Deze vereisten zijn daarnaast vaak minder gedetailleerd. De gedachte hierachter is dat het vereenvoudigd framework de elementen bevat die minimaal nodig zijn om de beschikbaarheid, intgriteit en vertrouwelijkheid van gegevens te waarborgen, terwijl rekening wordt gehouden met het risico, de omvang en de complexiteit van de onderneming.
Instellingen waarvoor het vereenvoudigd kader van toepassing is, hoeven daarom enkel een informatiebeveiligingsbeleid op te stellen waarin algemene, overkoepelende richtlijnen en regels staan beschreven die de beschikbaarheid, integriteit en vertrouwelijkheid van gegevens moeten waarborgen.
Aanvullende veiligheidsmaatregelen
Naast dit informatiebeveiligingsbeleid, moeten instellingen echter wel voldoende veiligheidsmaatregelen treffen voor onder meer logische toegangsbeheer, netwerkbeveiliging, beheer van ICT-systemen en wijzigingsbeheer (change management). Om het risico van ongeautoriseerde toegang tot een minimum te beperken, moeten instellingen bijvoorbeeld procedures opstellen en implementeren waarmee de rechten van medewerkers zoveel mogelijk worden beperkt en handelingen op ICT-systemen kunnen worden herleid naar individuele gebruikers. Verder moeten organisaties een vast proces inrichten voor het toekennen, wijzigen en intrekken van rechten en dienen deze rechten periodiek te worden gecontroleerd.
Voor change management dienen organisaties eveneens een procedure op te stellen. De eisen hiervoor zijn echter beknopter dan de eisen die worden gesteld voor instellingen waar artikel 15 op van toepassing is. De vereenvoudigde change management procedure moet erop toezien dat elke wijziging aan ICT-systemen worden geregistreerd, getest, beoordeeld, goedgekeurd, geïmplementeerd en geëvalueerd.
Op het gebied van netwerkbeveiliging moeten ondernemingen het netwerk zo inrichten dat systemen die verbonden zijn met het interne en/of externe netwerk voldoende zijn beschermd tegen ongewenste toegang en gegevensmisbruik. Hiervoor is het belangrijk dat maatregelen worden genomen om gegevens te beschermen (in gebruik, tijdens overdracht en in rust) en de authenticiteit, integriteit en vertrouwelijkheid te waarborgen tijdens gegevensoverdracht. Daarnaast moet worden nagedacht over hoe ongeautoriseerde toegang tot het netwerk wordt voorkomen en tijdig wordt gedetecteerd en dient er een proces te zijn voor het veilig verwijderen van gegevens.
Tot slot, dienen instellingen in het kader van het beheer van ICT-activa, alle ICT-systemen te identificeren die een belangrijke of kritische bedrijfsfunctie ondersteunen. Daarnaast moeten organisaties een procedure ontwikkelen en implementeren voor de aanschaf, ontwikkeling en onderhoud van ICT-systemen. In deze procedure is onder meer opgenomen welke eisen op het gebied van informatiebeveiliging worden gesteld en hoe ICT-systemen worden getest voordat deze in gebruik worden genomen. Hierbij is het ook belangrijk dat de life cycle van het ICT-systeem wordt gemonitord om ervoor te zorgen dat deze ten alle tijden voldoen aan de eisen van de organisatie.
De eisen die in de RTS voor het vereenvoudigd kader voor ICT-risicobeheer zijn opgenomen, komen dus in grote lijnen overeen met de vereisten voor het reguliere kader voor ICT-risicobeheer. Voor het vereenvoudigd ICT Risk Management framework zijn de gestelde eisen echter minder uitgebreid. Op deze manier wordt er rekening gehouden met de omvang van de instellingen waar artikel 16 op van toepassing is.