Met de invoering van de Cyberbeveiligingswet (Cbw, NIS2) wordt de verantwoordelijkheid voor cyberweerbaarheid nadrukkelijk bij organisaties en hun bestuurders neergelegd. Om overzicht te creëren en gericht te kunnen sturen is het Cbw (NIS2) Control Framework ontwikkeld. Het framework is tot stand gekomen in een gezamenlijke inspanning van de Auditdienst Rijk en ministerie van Binnenlandse Zaken en Koninkrijksrelaties en in samenwerking met de Beroepsorganisatie van IT-Auditors in Nederland (NOREA).
Ga direct naar het framework en het studierapport via onderstaande button:
Aanleiding
De toenemende digitalisering van onze samenleving, in combinatie met groeiende cyberdreigingen en de opkomst van hybride oorlogsvoering, maakt cyberweerbaarheid tot een strategische noodzaak voor organisaties. Met de invoering van de Cyberbeveiligingswet (Cbw, NIS2) wordt de verantwoordelijkheid voor cyberweerbaarheid nadrukkelijk bij organisaties en hun bestuurders neergelegd. Bestuurders zijn juridisch aansprakelijk voor tekortkomingen in cyberbeveiligingsmaatregelen en worden geacht actief invulling te geven aan hun rol door sturing, toezicht en scholing. Tegelijkertijd gelden in diverse sectoren aanvullende normen, zoals de BIO2 voor de overheid, NEN 7510 voor de zorg en de DORA voor de financiële sector. Het naleven van verplichtingen wordt hierdoor complex en versnipperd, waardoor overzicht en samenhang vaak ontbreekt.
Doel van het framework
Om overzicht te creëren en gericht te kunnen sturen is het Cbw (NIS2) Control Framework ontwikkeld. Dit framework is toepasbaar voor alle organisaties die onder de Cbw vallen, in zowel publieke als private sectoren. Het kan de eerste lijn ondersteunen bij diens bestuurlijke verantwoordelijkheid die voortkomt uit de Cbw, door gerichte sturingsinformatie op te halen. Daarnaast helpt het de tweede lijn met identificeren van gaps en het monitoren van verbeteringen. De derde lijn kan dit framework inzetten voor attest-opdrachten. Het framework vergroot de efficiëntie van de interne beheersing van informatiebeveiliging (IB) door verschillende normenkaders samen te brengen in één geïntegreerd raamwerk. Daarnaast draagt toepassing bij aan de versterking van de weerbaarheid van de sector en de Europese keten als geheel.
"Het framework ondersteunt de eerste, tweede én derde lijn door overzicht en samenhang in (IB-) wetgeving te brengen, wat nu vaak gemist wordt."
Door het volwassenheidsmodel* krijgen organisaties snel en gestructureerd inzicht in de mate waarin zij invulling geven aan de Cbw (NIS2) en sectorale normen, en hoe zij kunnen verbeteren. Het framework dient daarbij als ondersteunend instrument. Entiteiten blijven zelf verantwoordelijk voor het bepalen welke beveiligingsmaatregelen passend en proportioneel zijn binnen hun specifieke context en risicoprofiel.
* De volwassenheidsniveaus in het Cbw (NIS2) Control Framework volgen uit het NBA Volwassenheidsmodel voor informatiebeveiliging 3.0.
Beeld: © Auditdienst Rijk
Het Cbw (NIS2) Control Framework in het kort.
Mappings en sectorspecifieke eisen
Het framework is niet normzettend, maar komt direct voort uit bestaande wetten en normen. Deze bestaande eisen zijn omgevormd tot een modulair framework. De basis voor dit framework is de Cbw en het Cbb (Cyberbeveiligingsbesluit), welke verplicht zijn voor alle Nederlandse organisaties die onder de Cbw vallen*. Aanvullende sectorspecifieke eisen zijn in aparte kolommen toegevoegd, die eenvoudig kunnen worden verwijderd indien deze niet van toepassing zijn voor uw organisatie. Daarnaast is het mogelijk om zelf organisatie-specifieke eisen toe te voegen aan het framework. Normenkaders die in de huidige versie van het Cbw (NIS2) Control Framework zijn meegenomen zijn de BIO2, NEN 7510, DORA en de uitvoeringsverordening voor ICT-dienstenleveranciers.
* Met deze zelf-evaluatietool van de Rijksinspectie Digitale Inspectie (RDI) weet je of jouw organisatie onder de Cbw valt.
De BIO2 (Baseline Informatiebeveiliging Overheid 2) is het vernieuwde normenkader voor informatiebeveiliging binnen de Nederlandse overheid. Het geldt voor de gehele overheid, waaronder rijk, provincies, gemeenten, waterschappen en uitvoeringsorganisaties. De BIO2 wordt verplicht gesteld via een ministeriële regeling onder de Cbw. De norm is gebaseerd op internationale standaarden (zoals ISO 27001) en stelt concrete eisen aan de zorgplicht uit de Cbw, zodat overheidsorganisaties passende maatregelen nemen om hun informatie en digitale infrastructuur te beveiligen.
NEN 7510 is een Nederlandse norm voor informatiebeveiliging in de zorgsector. De norm beschrijft eisen voor het zorgvuldig omgaan met persoonlijke en medische gegevens door zorginstellingen, zoals ziekenhuizen, huisartsenpraktijken en zorgverleners. NEN 7510 is gebaseerd op internationale standaarden (zoals ISO 27001) en helpt zorgorganisaties bij het veilig inrichten, beheren en continu verbeteren van hun informatieveiligheid. De norm is in Nederland verplicht gesteld voor veel zorgaanbieders om te voldoen aan wet- en regelgeving op het gebied van privacy en gegevensbescherming.
DORA (Digital Operational Resilience Act) is een Europese verordening die eisen stelt aan de digitale weerbaarheid van organisaties in de financiële sector. DORA geldt voor banken, verzekeraars, betaalinstellingen, beleggingsondernemingen en andere financiële instellingen binnen de EU. De verordening verplicht deze organisaties om hun ICT-risico’s te beheersen, onder andere door het nemen van passende beveiligingsmaatregelen, het testen van digitale veerkracht en het rapporteren van incidenten. DORA kent geen verbijzondering voor de Nederlandse context en is daarom rechtstreeks van toepassing. Deze verordening moet ervoor zorgen dat de financiële sector in Europa beter beschermd is tegen cyberdreigingen en ICT-storingen.
Uitvoeringsverordening (EU) 2024/2690 is een nadere uitwerking van de DORA die specifiek ingaat op IT-dienstenleveranciers van financiële instellingen. De regeling geldt voor aanbieders van essentiële ICT-diensten aan financiële instellingen binnen de EU, zoals cloud- en datacenterdiensten, die daarmee onder direct toezicht van de Europese toezichthouder vallen. Deze uitvoeringsverordening wordt tevens als best practice beschouwd voor het implementeren van Cbw/NIS2- vereisten, en biedt dan ook een breder publiek concrete handvatten voor het versterken van de digitale weerbaarheid.
Aan de slag met het framework
Het framework is gratis te downloaden als Excelbestand. Op deze manier kan het framework in de eigen digitale omgeving worden bewerkt, zonder het risico te lopen dat gevoelige gegevens extern worden opgeslagen. Door de flexibiliteit van deze software kunnen niet-relevante sectorspecifieke normen eenvoudig worden verwijderd en organisatie-specifieke normen kunnen worden toegevoegd. Daarnaast is het mogelijk om resultaten snel te actualiseren en te delen.
Het bijbehorende studierapport bespreekt de achtergrond van de Cbw (NIS2)-wetgeving, beschrijft de opbouw en werking van het framework en bevat een handreiking voor auditors.
Het Cbw (NIS2) Control Framework en het bijbehorende studierapport vind je onder 'Documenten' via onderstaande button.
Heb je vragen of opmerkingen over het Cbw (NIS2) Control Framework? Neem dan contact met ons op via het contactformulier.
Het framework is ontwikkeld in samenwerking met NOREA. Wil je meer weten over NOREA, andere initiatieven rondom dit onderwerp of gerelateerde onderwerpen? Bekijk de website van NOREA.