Met de invoering van de Cyberbeveiligingswet (Cbw, NIS2) wordt de verantwoordelijkheid voor cyberweerbaarheid nadrukkelijk bij organisaties en hun bestuurders neergelegd. Om overzicht te creëren en gericht te kunnen sturen is het Cbw (NIS2) Control Framework ontwikkeld. Het framework is tot stand gekomen in een gezamenlijke inspanning van de Auditdienst Rijk en ministerie van Binnenlandse Zaken en Koninkrijksrelaties en in samenwerking met de Beroepsorganisatie van IT-Auditors in Nederland (NOREA).
Ga direct naar het framework en het studierapport via onderstaande button:
Aanleiding
De toenemende digitalisering van onze samenleving, in combinatie met groeiende cyberdreigingen en de opkomst van hybride oorlogsvoering, maakt cyberweerbaarheid tot een strategische noodzaak voor organisaties. Met de invoering van de Cyberbeveiligingswet (Cbw, NIS2) wordt de verantwoordelijkheid voor cyberweerbaarheid nadrukkelijk bij organisaties en hun bestuurders neergelegd. Bestuurders zijn juridisch aansprakelijk voor tekortkomingen in cyberbeveiligingsmaatregelen en worden geacht actief invulling te geven aan hun rol door sturing, toezicht en scholing. Tegelijkertijd gelden in diverse sectoren aanvullende normen, zoals de BIO2 voor de overheid en de DORA voor de financiële sector. Het naleven van verplichtingen wordt hierdoor complex en versnipperd, waardoor overzicht en samenhang vaak ontbreekt.
Doel van het framework
Om overzicht te creëren en gericht te kunnen sturen is het Cbw (NIS2) Control Framework ontwikkeld. Dit framework is toepasbaar in zowel publieke als private sectoren. Het maakt gebruik van een volwassenheidsmodel en biedt organisaties de mogelijkheid om snel en gestructureerd inzicht te krijgen in de mate waarin zij invulling geven aan de Cbw (NIS2) en sectorale normen. Het vergroot de efficiëntie verder doordat uiteenlopende normenkaders worden samengebracht in één geïntegreerd raamwerk. Daarnaast draagt toepassing bij aan de versterking van de weerbaarheid van de sector en de Europese keten als geheel.
Doelgroep
Het framework is bedoeld voor organisaties die als essentiële of belangrijke entiteit onder de Cyberbeveiligingswet vallen, en voor IT-auditors en interne beheerders die betrokken zijn bij het evalueren van cyberweerbaarheid en naleving van wet- en regelgeving. Het biedt een overzicht van de wettelijke vereisten en een praktisch hulpmiddel om verbeterpunten te identificeren.
Over het framework
Het framework is zo opgezet dat het toepasbaar is voor alle sectoren en entiteiten in scope van de wetgeving. Het dient als ondersteunend instrument en niet als normatief kader. Entiteiten blijven zelf verantwoordelijk voor het bepalen welke beveiligingsmaatregelen passend en proportioneel zijn binnen hun specifieke context en risicoprofiel. Het framework is beschikbaar in Excel. Hiervoor is gekozen vanwege de flexibiliteit van deze software. Niet-relevante sectorspecifieke normen kunnen eenvoudig worden verwijderd, terwijl organisatie-specifieke normen kunnen worden toegevoegd. Excel maakt het bovendien mogelijk om resultaten snel te actualiseren, intern te delen en binnen de eigen entiteiten te bewaren, waardoor het risico op extern opslaan van gevoelige gegevens wordt beperkt.
Beeld: © Auditdienst Rijk
Het Cbw (NIS2) Control Framework in het kort.
Het bijbehorende studierapport bespreekt de achtergrond van de Cbw (NIS2)-wetgeving, beschrijft de opbouw en werking van het framework en bevat een handreiking voor auditors.
Aan de slag met framework
Het Cbw (NIS2) Control Framework en het bijbehorende studierapport vind je onder 'Documenten' via onderstaande button.
Heb je vragen of opmerkingen over het Cbw (NIS2) Control Framework? Neem dan contact met ons op via het contactformulier.
Het framework is ontwikkeld in samenwerking met NOREA. Wil je meer weten over NOREA, andere initiatieven rondom dit onderwerp of gerelateerde onderwerpen? Bekijk de website van NOREA.