De digitale infrastructuur in Europa moet beter. Voor veel organisaties blijft security een heet hangijzer. De overheid probeert organisaties te motiveren om de digitale weerbaarheid te verbeteren. Dit doen zij door middel van wet- en regelgeving, zoals de Europese richtlijn voor security NIS 2 (Network and Information Security).
In essentie draait alles om risicogestuurd werken. In de praktijk kan het best lastig zijn om van een risico tot een concreet beveiligingsmaatregel te komen. Het CIS Controls framework ondersteunt. CIS Controls is een lijst van 18 aandachtspunten die organisaties helpen om hun security aan te scherpen.
Verschil CIS Controls, ISO 27001 en NIS 2
Het CIS Controls-framwork is net als de normenkaders ISO 27001 en ISEA 3402 geen verplichting voor een organisatie. Wel kunnen zij de informatiebeveiliging naar een hoger niveau tillen.
NIS 2 is daarentegen een resultaatverplichting. Hieronder valt de zorg- en meldplicht. De zorgplicht eist van bedrijven dat zij aan risicobeoordeling doen. Volgens de meldplicht zijn organisaties wettelijk verplicht om incidenten binnen 24 uur te melden.
CIS Controls in je Microsoft 365 en Azure werkplek
Door CIS Controls toe te passen op het werkplekaanbod in Microsoft 365 en Azure is de basis hygiëne van je werkplek op orde. Dit zijn bijvoorbeeld de adequate technische inrichting van je wachtwoordbeleid of malwaredetectie. Risico’s en eventuele impact zijn met een CIS Controls security baseline lager, dan bij een standaard werkplek.
Maatregelen NIS 2 en je werkplek
Er zijn overeenkomsten met NIS 2 en ISO 27001. Vooral het risicoanalyse gedeelte is hierin belangrijk. Denk hierbij aan: Welke risico’s bestaan er voor mijn organisatie? En welke maatregelen zet ik daar tegenover. Met het ISO 27001 certificaat zijn de noodzakelijke maatregelen voor je werkplek gedekt voor NIS 2 .
Basis hygiëne altijd op orde
Wij dekken de M365 en Azure werkplek met een CIS Controls security baseline. Dit is belangrijk met NIS 2 in het vooruitzicht. Hoewel security voortdurend aandacht en alertheid vraagt, weet je wel zeker de risico’s goed in kaart zijn gebracht. Dat biedt een solide vertrekpunt om steeds vanuit actuele situaties de juiste maatregelen te kunnen nemen.
Kortom, CIS Controls, ISO 27001 en NIS 2 vullen elkaar aan en zijn dé security basismaatregelen voor je werkplek.
Tips om ook eens te raadplegen:
- Beknopt overzicht met NIS 2 verplichtingen (zorgplicht)
- Stappenplan opstellen risicoanalyse
- Oefen en bereid je voor op een cyberincident