ISMS Copilot
NIS2 met AI

Hoe u NIS2-cyberbeveiligingsbeleid opstelt met behulp van AI

Overzicht

U leert hoe u AI kunt gebruiken om uitgebreid cyberbeveiligingsbeleid te maken voor elk van de tien maatregelen die vereist zijn door NIS2 Artikel 21(2). Deze gids doorloopt elk beleidstype, biedt specifieke ISMS Copilot-prompts om ze te genereren, legt uit wat auditoren en toezichthoudende autoriteiten verwachten, en laat zien hoe u uw beleidsdocumentatie structureert voor audit-gereedheid.

Voor wie is dit bedoeld

Deze gids is voor:

  • CISO's en compliance officers die verantwoordelijk zijn voor het ontwikkelen van NIS2-conforme beleidsdocumentatie

  • Security consultants die beleidssets opstellen voor klanten in sectoren die onder de NIS2 vallen

  • GRC-teams die het opstellen van beleid beheren naast bestaande ISO 27001-, DORA- of AVG-documentatie

  • IT-managers die behoefte hebben aan praktisch, uitvoerbaar beleid in plaats van generieke sjablonen

  • Leden van het bestuursorgaan die dit beleid moeten goedkeuren op grond van Artikel 20

Voordat u begint

U heeft het volgende nodig:

  • Een ISMS Copilot-account (gratis proefversie beschikbaar)

  • Uw NIS2-gap-analyseresultaten die aangeven welk beleid ontbreekt of onvoldoende is -- zie How to Get Started with NIS2 Implementation Using AI

  • Uw voltooide risicobeoordeling en risicobehandelingsplannen -- zie How to Conduct NIS2 Risk Assessment Using AI

  • Inzicht in de omvang, sector en operationele context van uw organisatie

  • Eventueel bestaand beleid om te uploaden voor gap-analyse en afstemming

NIS2 Artikel 21(2) somt tien specifieke maatregelgebieden op die uw risicobeheersmaatregelen voor cybersecurity "ten minste" moeten bevatten. Dit betekent dat deze tien gebieden het minimum zijn -- nationale omzettingswetten kunnen aanvullende eisen toevoegen. Uw beleidsset moet alle tien de gebieden dekken om toezichthoudende autoriteiten tevreden te stellen.

Inzicht in de NIS2-beleidseisen

Wat Artikel 21(2) vereist

Artikel 21(2) schrijft voor dat de in lid 1 bedoelde risicobeheersmaatregelen ten minste het volgende omvatten:

Verwijzing Artikel 21(2)

Maatregelgebied

Benodigde beleidsdocumenten

(a)

Beleid inzake risicoanalyse en beveiliging van informatiesystemen

Informatiebeveiligingsbeleid, Risicobeoordelingsbeleid

(b)

Incidentbehandeling

Incidentresponsbeleid, Procedure voor incidentclassificatie

(c)

Bedrijfscontinuïteit, back-upbeheer, herstel na calamiteiten, crisisbeheer

Bedrijfscontinuïteitsbeleid, Disaster Recovery Plan, Back-upbeleid, Crisisbeheersingsplan

(d)

Beveiliging van de toeleveringsketen

Beleid voor beveiliging van de toeleveringsketen, Procedure voor leveranciersbeoordeling

(e)

Beveiliging bij de verwerving, ontwikkeling en het onderhoud van netwerk- en informatiesystemen; afhandeling en openbaarmaking van kwetsbaarheden

Beleid voor veilige ontwikkeling, Beleid voor kwetsbaarheidsbeheer

(f)

Beleid en procedures om de effectiviteit van risicobeheersmaatregelen te beoordelen

Beleid voor beveiligingstesten en -beoordeling, Procedure voor interne audit

(g)

Basispraktijken op het gebied van cyberhygiëne en training op het gebied van cyberbeveiliging

Beleid voor cyberhygiëne en bewustwording, Trainingsprogramma

(h)

Beleid en procedures met betrekking tot cryptografie en versleuteling

Cryptografie- en versleutelingsbeleid

(i)

Beveiliging van personeel, toegangscontrolebeleid en activabeheer

Personeelsbeveiligingsbeleid, Toegangscontrolebeleid, Activabeheerbeleid

(j)

MFA of continue authenticatie, beveiligde spraak-, video- en tekstcommunicatie, beveiligde noodcommunicatie

Authenticatiebeleid, Beleid voor beveiligde communicatie

Beleid versus procedure: Toezichthoudende autoriteiten maken onderscheid tussen beleid (intentieverklaringen en eisen op hoog niveau) en procedures (gedetailleerde stapsgewijze operationele instructies). U heeft beide nodig. Beleid stelt de regels vast; procedures beschrijven hoe u deze opvolgt. ISMS Copilot genereert beide wanneer u het documenttype specificeert.

Kwaliteitsnormen voor NIS2-beleid

Elk beleidsdocument moet het volgende bevatten:

  • Doel en reikwijdte: Wat het beleid dekt en op wie het van toepassing is

  • NIS2-verwijzing: Welke maatregelgebieden uit Artikel 21(2) het beleid behandelt

  • Definities: Belangrijkste termen die in het document worden gebruikt

  • Beleidsverklaringen: Duidelijke, afdwingbare eisen

  • Rollen en verantwoordelijkheden: Wie is waarvoor verantwoordelijk

  • Implementatie-eisen: Specifieke controles en maatregelen

  • Monitoring en evaluatie: Hoe de effectiviteit wordt beoordeeld

  • Gevolgen van niet-naleving: Handhavingsbepalingen

  • Goedkeuring en versiebeheer: Documentbeheer met ondertekening door het bestuursorgaan

Stap 1: Genereer het overkoepelende Informatiebeveiligingsbeleid

Artikel 21(2)(a) -- Risicoanalyse en beveiliging van informatiesystemen

Het overkoepelende Informatiebeveiligingsbeleid is het fundament dat het commitment van uw organisatie aan cyberbeveiliging vastlegt en het kader biedt voor alle andere beleidsvormen. Dit behandelt het eerste maatregelgebied en verbindt alle volgende beleidsstukken.

  1. Genereer het kernbeleid:

    "Maak een uitgebreid Informatiebeveiligingsbeleid in overeenstemming met NIS2 Artikel 21(2)(a) voor een organisatie in de [sector], geclassificeerd als een [essentiële/belangrijke] entiteit met [aantal werknemers] werknemers. Het beleid moet het volgende omvatten: doel van het beleid en de regelgevende context van NIS2, reikwijdte van de gedekte netwerk- en informatiesystemen, betrokkenheid en toezichthoudende verplichtingen van het bestuursorgaan volgens Artikel 20, overzicht van het risicobeheerskader, beveiligingsprincipes (vertrouwelijkheid, integriteit, beschikbaarheid), verwijzing naar de tien maatregelgebieden van Artikel 21 en ondersteunend beleid, rollen en verantwoordelijkheden (bestuursorgaan, CISO, risico-eigenaren, alle werknemers), nalevingsvereisten en gevolgen van niet-naleving, evaluatiecyclus en continue verbetering. Voeg een sectie voor documentbeheer toe met goedkeuring door het bestuursorgaan."

  2. Genereer het ondersteunende Risicobeoordelingsbeleid:

    "Maak een Risicobeoordelingsbeleid in overeenstemming met NIS2 Artikel 21(2)(a) voor onze organisatie. Behandel: methodologie voor risicobeoordeling (all-hazards-benadering volgens Artikel 21(1)), processen voor risico-identificatie, -analyse en -evaluatie, criteria voor risico-acceptatie en goedkeuringsbevoegdheid, opties voor risicobehandeling en documentatievereisten, integratie met activabeheer en dreigingsinformatie, evaluatiefrequentie en trigger-events voor herbeoordeling, en goedkeuringsvereisten door het bestuursorgaan. Verwijs naar ons document Risicobeoordelingsmethodologie."

Gelaagde aanpak: Genereer eerst het overkoepelende Informatiebeveiligingsbeleid en gebruik dit vervolgens als context voor alle volgende beleidsvormen. Vraag ISMS Copilot: "Gebruik ons Informatiebeveiligingsbeleid als moederdocument en zorg ervoor dat dit [specifieke] beleid consistent is met de principes en structuur daarvan."

Stap 2: Genereer het Incidentbehandelingsbeleid

Artikel 21(2)(b) -- Incidentbehandeling

NIS2 legt strikte eisen op voor incidentbehandeling, inclusief detectie, preventie, respons en herstel, plus de rapportagetermijnen van Artikel 23. Uw beleid moet zowel de interne respons als de externe meldingsverplichtingen adresseren.

  1. Genereer het Incidentresponsbeleid:

    "Maak een Incidentresponsbeleid in overeenstemming met de vereisten van NIS2 Artikel 21(2)(b) en de rapportagevereisten van Artikel 23 voor onze [sector] organisatie. Voeg toe: incidentdefinitie en classificatiecriteria in lijn met de NIS2-drempels voor significantie, vereisten voor incidentdetectie en -monitoring, fasen van incidentrespons (voorbereiding, identificatie, inperking, uitroeiing, herstel, geleerde lessen), NIS2-rapportageverplichtingen -- 24-uurs vroegtijdige waarschuwing aan CSIRT, 72-uurs incidentmelding met indicatoren van compromittering, eindrapport na één maand met oorzaakanalyse, escalatiematrix van operationeel team naar bestuursorgaan, rollen en verantwoordelijkheden (incidentmanager, responsteam, CSIRT-contactpersoon, juridisch, communicatie), bewijsbehoud en bewijsketen (chain of custody), vrijwillige rapportage van near-misses en dreigingen, en evaluatieproces na incidenten."

  2. Genereer de Procedure voor Incidentclassificatie:

    "Maak een gedetailleerde Procedure voor Incidentclassificatie voor NIS2-compliance. Voeg toe: classificatiecriteria om te bepalen of een incident 'significant' is onder NIS2 Artikel 23(3) -- rekening houdend met (a) ernstige operationele verstoring of financieel verlies, (b) impact op andere natuurlijke personen of rechtspersonen door het veroorzaken van aanzienlijke materiële of immateriële schade. Geef een classificatiematrix met ernstniveaus, criteria voor impactbeoordeling en duidelijke beslissingsbomen voor wanneer de 24-uurs vroegtijdige waarschuwing moet worden geactiveerd. Voeg voorbeelden toe die specifiek zijn voor onze [sector] sector."

Voor een uitgebreide verdieping in NIS2-incidentrapportageworkflows, sjablonen en playbooks, zie How to Implement NIS2 Incident Reporting Using AI -- de volgende gids in deze serie.

Stap 3: Genereer Bedrijfscontinuïteits- en Disaster Recovery-beleid

Artikel 21(2)(c) -- Bedrijfscontinuïteit, back-upbeheer, herstel na calamiteiten, crisisbeheer

Dit maatregelgebied vereist een uitgebreide reeks documenten over hoe uw organisatie diensten handhaaft en herstelt tijdens en na verstoringen.

  1. Genereer het Bedrijfscontinuïteitsbeleid:

    "Maak een Bedrijfscontinuïteitsbeleid in overeenstemming met NIS2 Artikel 21(2)(c) voor een [essentiële/belangrijke] entiteit in de [sector]. Voeg toe: methodologie en vereisten voor business impact analyse (BIA), recovery time objectives (RTO) en recovery point objectives (RPO) voor essentiële/belangrijke diensten, criteria en procedures voor activatie van het bedrijfscontinuïteitsplan, crisisbeheersing-governance en escalatie, communicatieprotocollen tijdens verstoringen (intern, extern, autoriteiten, media), integratie met NIS2-incidentrapportage (triggeren van 24-uurs vroegtijdige waarschuwing tijdens grote verstoringen), vereisten voor testen en oefenen (minimaal jaarlijks), continuïteitsoverwegingen voor de toeleveringsketen, en toezichtsverplichtingen van het bestuursorgaan."

  2. Genereer het Disaster Recovery Plan:

    "Maak een sjabloon voor een Disaster Recovery Plan in overeenstemming met NIS2 Artikel 21(2)(c) voor onze IT-infrastructuur. Behandel: rampscenario's specifiek voor onze [sector] (ransomware, datacenteruitval, uitval cloudprovider, natuurramp), herstelstrategie per tier van systeemkritischheid, gedetailleerde herstelprocedures voor kritieke systemen (stap-voor-stap), failover- en fallback-procedures, gegevensherstel vanaf back-ups, communicatie- en coördinatieprotocollen, hersteltestschema en documentatievereisten, en afhankelijkheden van leveranciers en diensten van derden."

  3. Genereer het Back-upbeheerbeleid:

    "Maak een Back-upbeheerbeleid in overeenstemming met NIS2 Artikel 21(2)(c). Behandel: reikwijdte van back-ups (alle kritieke systemen, gegevens en configuraties), back-upfrequentie op basis van gegevensclassificatie en RPO-vereisten, back-upmethoden (volledig, incrementeel, differentieel), vereisten voor offline en air-gapped back-ups (weerbaarheid tegen ransomware), versleuteling van back-ups en toegangscontrole, opslaglocaties voor back-ups (on-site, off-site, cloud) met geografische overwegingen, schema voor hersteltests en succescriteria, monitoring en waarschuwingen voor back-ups, bewaartermijnen, en rollen en verantwoordelijkheden."

  4. Genereer het Crisisbeheersingsplan:

    "Maak een Crisisbeheersingsplan in overeenstemming met NIS2 Artikel 21(2)(c) for onze organisatie. Behandel: definitie van een crisis en activatiecriteria, samenstelling van het crisisbeheersingsteam en contactgegevens, beslissingsbevoegdheid tijdens een crisis, interne en externe communicatieprotocollen, coördinatie met nationaal CSIRT en bevoegde autoriteit, richtlijnen voor media- en publiekscommunicatie, procedures voor escalatie en de-escalatie van crises, evaluatie na de crisis en proces voor geleerde lessen, en integratie met NIS2-incidentrapportagetermijnen."

Stap 4: Genereer het Beleid voor Beveiliging van de Toeleveringsketen

Artikel 21(2)(d) -- Beveiliging van de toeleveringsketen

NIS2 legt grote nadruk op de beveiliging van de toeleveringsketen. Uw beleid moet de beveiligingsaspecten van relaties met directe leveranciers en dienstverleners adresseren.

  1. Genereer het Beleid voor Beveiliging van de Toeleveringsketen:

    "Maak een Beleid voor Beveiliging van de Toeleveringsketen in overeenstemming met NIS2 Artikel 21(2)(d) voor onze [sector] organisatie. Voeg toe: methodologie en criteria voor risicobeoordeling van leveranciers, beveiligingseisen voor verschillende risicoklassen van leveranciers, vereisten voor beveiligings-due-diligence voorafgaand aan contractering, verplichte beveiligingsclausules voor contracten (auditrechten, incidentmelding, beveiligingsnormen, controles op onderaannemers), schema voor doorlopende monitoring en evaluatie van leveranciers, kwetsbaarheidsbeheer in de toeleveringsketen, procedures voor respons op incidenten bij leveranciers, vereisten voor het beëindigen en overdragen van leveranciersrelaties, en coördinatie met sectorspecifieke risicobeoordelingen van de toeleveringsketen. Verwijs naar ENISA-richtlijnen voor beveiliging van de toeleveringsketen."

Voor uitgebreide begeleiding bij de implementatie van NIS2-ketenbeveiliging, inclusief vragenlijsten, kaders voor leveranciersbeoordeling en contractuele vereisten, zie How to Manage NIS2 Supply Chain Security Using AI in deze serie.

Stap 5: Genereer beleid voor netwerkbeveiliging en kwetsbaarheidsbeheer

Artikel 21(2)(e) -- Beveiliging bij verwerving, ontwikkeling en onderhoud; afhandeling van kwetsbaarheden

Dit maatregelgebied beslaat de beveiliging van uw netwerk- en informatiesystemen gedurende hun gehele levenscyclus, evenals het beheer en de openbaarmaking van kwetsbaarheden.

  1. Genereer het Beleid voor Veilige Ontwikkeling en Verwerving:

    "Maak een Beleid voor Veilige Ontwikkeling en Verwerving in overeenstemming met NIS2 Artikel 21(2)(e) voor onze organisatie. Behandel: beveiligingseisen in inkoopspecificaties, beveiligingsbeoordeling van leveranciers vóór aankoop, vereisten voor een veilige softwareontwikkelingslevenscyclus (SDLC), beveiligingstesten vóór implementatie (code review, SAST, DAST, penetratietesten), wijzigingsbeheer en beoordeling van beveiligingsimpact, patchbeheer en updateprocedures, standaarden voor veilige configuratie en hardening-richtlijnen, procedures voor buitenbedrijfstelling en veilige verwijdering, en beveiligingsbeheer van open-source software."

  2. Genereer het Beleid voor Kwetsbaarheidsbeheer:

    "Maak een Beleid voor Kwetsbaarheidsbeheer in overeenstemming met NIS2 Artikel 21(2)(e) voor onze [sector] organisatie. Behandel: bronnen voor identificatie van kwetsbaarheden (scanning, dreigingsinformatie, adviezen van leveranciers, CERT-waarschuwingen), reikwijdte en frequentie van kwetsbaarheidsscans (wekelijks voor kritieke systemen, maandelijks voor overige), classificatie en prioritering van kwetsbaarheden (CVSS-score, exploiteerbaarheid, zakelijke context), termijnen voor herstel per ernstniveau (kritiek: 24-72 uur, hoog: 7 dagen, gemiddeld: 30 dagen, laag: 90 dagen), uitzonderingen en proces voor risico-acceptatie bij uitgestelde patching, beleid voor gecoördineerde openbaarmaking van kwetsbaarheden (CVD), rapportage van kwetsbaarheden door werknemers en externe onderzoekers, noodpatch-procedures, en OT/ICS-specifieke overwegingen voor kwetsbaarheidsbeheer voor [sector]."

OT/ICS-overwegingen: Als uw organisatie actief is in de sectoren energie, water, transport of productie, moet uw beleid voor kwetsbaarheidsbeheer de unieke uitdagingen aanpakken van het patchen van operationele technologiesystemen waar beschikbaarheid voorrang heeft en onderhoudsvensters beperkt zijn. Vraag ISMS Copilot om OT-specifieke bepalingen op te nemen.

Stap 6: Genereer het Beleid voor Effectiviteitsbeoordeling

Artikel 21(2)(f) -- Beleid en procedures om de effectiviteit te beoordelen

De NIS2 vereist dat u regelmatig beoordeelt of uw cyberbeveiligingsmaatregelen daadwerkelijk werken. Dit gaat verder dan alleen het hebben van controls -- u moet de effectiviteit ervan testen en verifiëren.

  1. Genereer het Beleid voor Beveiligingstesten en -beoordeling:

    "Maak een Beleid voor Beveiligingstesten en Effectiviteitsbeoordeling in overeenstemming met NIS2 Artikel 21(2)(f) voor onze [essentiële/belangrijke] entiteit. Behandel: typen effectiviteitsbeoordelingen (vulnerability assessments, penetratietesten, red team oefeningen, tabletop oefeningen, control testing), reikwijdte en frequentie van beoordelingen (minimaal jaarlijks voor uitgebreide testen, driemaandelijks voor gebieden met een hoog risico), vereisten voor interne versus externe testen, testmethodologie en standaarden (OWASP, PTES, NIST SP 800-115), metrics en KPI's voor het meten van de effectiviteit van cyberbeveiliging, rapportage van beoordelingsresultaten aan het bestuursorgaan, opvolging van corrigerende maatregelen en verificatie van herstel, integratie met updates van de risicobeoordeling, en vereisten voor continue monitoring."

  2. Genereer de Procedure voor Interne Cybersecurity-audit:

    "Maak een Procedure voor Interne Cybersecurity-audit voor NIS2-compliance. Behandel: audit-reikwijdte die alle tien de maatregelgebieden van Artikel 21(2) dekt, auditplanning en -schema (jaarlijkse cyclus), vereisten voor onafhankelijkheid en competentie van de auditor, auditmethodologie (documentbeoordeling, interviews, technische testen, steekproeven), formaat van de auditrapportage met bevindingen gecategoriseerd naar ernst, vereisten voor managementreactie en corrigerende maatregelen, verificatie van de opvolging van corrigerende maatregelen, en rapportage aan het bestuursorgaan over de auditresultaten."

Stap 7: Genereer het Beleid voor Cyberhygiëne en Training

Artikel 21(2)(g) -- Basispraktijken op het gebied van cyberhygiëne en training over cyberbeveiliging

NIS2 Artikel 20 vereist specifiek dat leden van het bestuursorgaan trainingen op het gebied van cyberbeveiliging volgen en dat entiteiten alle werknemers aanmoedigen om regelmatig aan trainingen deel te nemen. Artikel 21(2)(g) breidt dit uit naar basispraktijken voor cyberhygiëne.

  1. Genereer het Beleid voor Cyberhygiëne en Bewustwording:

    "Maak een Beleid voor Cyberhygiëne en Bewustwordingstraining in overeenstemming met NIS2 Artikel 21(2)(g) en de trainingsvereisten van Artikel 20. Behandel: verplichte cyberbeveiligingstraining voor leden van het bestuursorgaan (inhoud, frequentie, bewijslast), rolgebaseerde training voor alle werknemers (IT/security, algemeen personeel, contractanten), vereisten voor beveiligingsintroductie voor nieuwe medewerkers, basispraktijken voor cyberhygiëne die organisatiebreed moeten worden aangenomen (wachtwoordbeheer, phishing-bewustzijn, clean desk, apparaatbeveiliging, veilig browsen, verwijderbare media), phishingsimulaties en social engineering tests, meting en beoordeling van de effectiviteit van de training, doorlopende bewustwordingsactiviteiten (nieuwsbrieven, waarschuwingen, security champions), sectorspecifieke beveiligingsbewustwording voor [sector] activiteiten, trainingsregisters en documentatie van bewijsmateriaal, en een jaarlijks trainingsplan met kalender."

Bewijs van training bestuursorgaan: Toezichthoudende autoriteiten zullen specifiek controleren of leden van het bestuursorgaan de vereiste cyberbeveiligingstraining hebben voltooid zoals voorgeschreven in Artikel 20(2). Genereer een trainingsprogramma op board-niveau en houd presentielijsten bij. Dit is een van de eerste zaken die auditoren verifiëren tijdens NIS2-inspecties.

Stap 8: Genereer het Cryptografie- en Versleutelingsbeleid

Artikel 21(2)(h) -- Cryptografie en versleuteling

De NIS2 vereist beleid over het gebruik van cryptografie en, waar passend, versleuteling om de vertrouwelijkheid en integriteit van gegevens te beschermen.

  1. Genereer het Cryptografie- en Versleutelingsbeleid:

    "Maak een Cryptografie- en Versleutelingsbeleid in overeenstemming met NIS2 Artikel 21(2)(h) voor onze [sector] organisatie. Behandel: goedgekeurde cryptografische algoritmen en sleutellengtes (in lijn met ENISA en nationale aanbevelingen), vereisten voor gegevensversleuteling per classificatie (data at rest, data in transit, data in use), TLS/SSL-configuratiestandaarden (minimaal TLS 1.2, voorkeur voor TLS 1.3), e-mailversleuteling en digitale handtekeningen, vereisten voor volledige schijfversleuteling voor endpoints en mobiele apparaten, standaarden voor databaseversleuteling, levenscyclusbeheer van cryptografische sleutels (generatie, distributie, opslag, rotatie, herroeping, vernietiging), gebruik van hardware security modules (HSM) waar van toepassing, certificaatbeheer en PKI-governance, bewustwording en transitieplanning voor post-quantum cryptografie, sectorspecifieke cryptografievereisten voor [sector], en verboden algoritmen en protocollen (MD5, SHA-1, DES, SSL 3.0, TLS 1.0/1.1)."

Stap 9: Genereer beleid voor HR-beveiliging, toegangscontrole en activabeheer

Artikel 21(2)(i) -- Beveiliging van personeel, toegangscontrole en activabeheer

Dit gecombineerde maatregelgebied beslaat drie onderling verbonden domeinen. U moet voor elk domein afzonderlijk beleid opstellen om de duidelijkheid en beheersbaarheid te behouden.

  1. Genereer het Personeelsbeveiligingsbeleid:

    "Maak een Personeelsbeveiligingsbeleid in overeenstemming met NIS2 Artikel 21(2)(i) voor onze organisatie. Behandel: veiligheidsscreening vóór indiensttreding (achtergrondonderzoek, verificatie van referenties), beveiligingsvoorwaarden in arbeidsovereenkomsten, beveiligingsbewustzijn tijdens onboarding, beveiligingsverantwoordelijkheden tijdens het dienstverband, disciplinair proces voor beveiligingsschendingen, procedures bij uitdiensttreding en functiewijziging (intrekken van toegang, inleveren van middelen, kennisoverdracht), beveiligingseisen voor contractanten en personeel van derden, en geheimhoudingsovereenkomsten (NDA's)."

  2. Genereer het Toegangscontrolebeleid:

    "Maak een Toegangscontrolebeleid in overeenstemming met NIS2 Artikel 21(2)(i) voor onze [sector] organisatie. Behandel: principes van toegangscontrole (least privilege, need-to-know, scheiding van taken), procedures voor het toekennen en intrekken van gebruikerstoegang, schema voor beoordeling en hercertificering van toegang (driemaandelijks voor bevoorrechte toegang, halfjaarlijks voor standaardtoegang), vereisten voor bevoorrecht toegangsbeheer (PAM), beveiligingseisen voor toegang op afstand, toegangscontroles voor derden en contractanten, vereisten voor loggen en monitoren van toegang, beheer van service-accounts, implementatie van role-based access control (RBAC), en procedures voor noodtoegang."

  3. Genereer het Activabeheerbeleid:

    "Maak een Activabeheerbeleid in overeenstemming met NIS2 Artikel 21(2)(i) for onze organisatie. Behandel: vereisten voor de inventarisatie van activa (hardware, software, informatie, diensten, mensen), criteria voor activaclassificatie en regels voor omgang hiermee, toewijzing van eigendom en bewaarderschap van activa, levenscyclusbeheer van activa (verwerving, implementatie, onderhoud, verwijdering), acceptabel gebruik van activa, BYOD-beleid (bring your own device), controles op verwijderbare media, en procedures voor veilige verwijdering en vernietiging."

Stap 10: Genereer het Beleid voor Authenticatie en Beveiligde Communicatie

Artikel 21(2)(j) -- MFA, continue authenticatie en beveiligde communicatie

De NIS2 noemt specifiek multi-factor authenticatie, oplossingen voor continue authenticatie, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen.

  1. Genereer het Authenticatiebeleid:

    "Maak een Authenticatiebeleid in overeenstemming met NIS2 Artikel 21(2)(j) voor onze [essentiële/belangrijke] entiteit. Behandel: vereisten voor multi-factor authenticatie (MFA) -- verplicht voor alle toegang op afstand, bevoorrechte accounts, kritieke systemen en clouddiensten, goedgekeurde MFA-methoden (hardware tokens, authenticator-apps, FIDO2) met voorkeur voor phishing-resistente methoden, overwegingen voor continue authenticatie en adaptieve toegang, wachtwoordbeleid (minimale lengte, complexiteit, rotatie, verbod op hergebruik), richtlijnen voor Single Sign-On (SSO) implementatie, service-to-service authenticatie (API-sleutels, certificaten, service-accounts), governance voor biometrische authenticatie, authenticatie voor OT/ICS-omgevingen waar van toepassing, en authenticatie-logging en anomaliedetectie."

  2. Genereer het Beleid voor Beveiligde Communicatie:

    "Maak een Beleid voor Beveiligde Communicatie in overeenstemming met NIS2 Artikel 21(2)(j) voor onze organisatie. Behandel: vereisten voor beveiligde spraakcommunicatie (versleutelde VoIP, beveiligde mobiele communicatie), standaarden voor beveiligde videovergaderingen (goedgekeurde platforms, versleutelingseisen), beveiligde tekst en messaging (goedgekeurde zakelijke platforms, verbod op consumenten-apps voor gevoelige gegevens), e-mailbeveiliging (TLS-afdwinging, S/MIME of PGP voor gevoelige communicatie), beveiligde noodcommunicatiesystemen (out-of-band communicatiekanalen voor incidentrespons, crisiscommunicatiemiddelen die werken wanneer primaire systemen zijn gecompromitteerd), en data loss prevention (DLP) controles voor communicatiekanalen."

Noodcommunicatie: NIS2 vereist specifiek beveiligde noodcommunicatiesystemen. Dit betekent dat u een communicatiekanaal nodig heeft dat operationeel blijft, zelfs als uw primaire netwerk of informatiesystemen gecompromitteerd zijn. Documenteer uw out-of-band communicatieplan en test dit regelmatig.

Stap 11: Beoordeel, stem af en keur uw beleidsset goed

Zorgen voor consistentie in alle beleidsvormen

Nu alle tien de maatregelgebieden zijn gedekt, beoordeelt u de volledige beleidsset op consistentie, kruisverwijzingen en volledigheid.

  1. Voer een consistentiecontrole uit:

    "Beoordeel de volgende NIS2-beleidsdocumenten op consistentie. Controleer: (1) of terminologie consistent wordt gebruikt in alle beleidsvormen, (2) of rollen en verantwoordelijkheden niet met elkaar in strijd zijn, (3) of kruisverwijzingen tussen beleidsvormen correct zijn, (4) of alle tien de maatregelgebieden van Artikel 21(2) volledig zijn gedekt, (5) of alle beleidstukken verwijzen naar het overkoepelende Informatiebeveiligingsbeleid, (6) of evaluatiecycli en goedkeuringsprocessen consistent zijn, (7) of er geen hiaten bestaan tussen beleidsvormen waar een vereiste door de mazen van het net zou kunnen vallen."

  2. Maak een index van het beleidskader:

    "Maak een NIS2 Cybersecurity Policy Framework Index die het volgende in kaart brengt: elk Artikel 21(2) maatregelgebied gekoppeld aan het/de beleidsdocument(en) die het adresseren, de documenteigenaar, de goedkeuringsinstantie (bestuursorgaan versus CISO), evaluatiefrequentie, huidige versie, laatste evaluatiedatum en volgende evaluatiedatum. Formatteer als een tabel die geschikt is als bewijsmateriaal voor een audit."

  3. Bereid het goedkeuringspakket voor het bestuursorgaan voor:

    "Maak een goedkeuringspakket voor het bestuursorgaan voor onze NIS2-cyberbeveiligingsbeleidsset. Voeg toe: een samenvatting van alle opgestelde beleidstukken, hoe ze gezamenlijk de vereisten van Artikel 21(2) adresseren, een samenvatting van één pagina van de belangrijkste bepalingen van elk beleid, de specifieke goedkeurings- en toezichtsverplichtingen van het bestuursorgaan onder Artikel 20, een voorgesteld schema voor evaluatie en updates, en een sjabloon voor een bestuursbesluit voor formele adoptie van het beleid."

Ondertekening door het bestuursorgaan: Onder Artikel 20 moet het bestuursorgaan de risicobeheersmaatregelen voor cyberbeveiliging goedkeuren. Dit omvat de beleidsset. Plan een specifieke bestuursvergadering om het beleidskader te beoordelen en formeel goed te keuren. Leg de goedkeuring vast in de notulen en bewaar deze als bewijs voor audits. Het bestuursorgaan kan het dagelijks toezicht delegeren, maar niet de verantwoordelijkheid.

Uw beleid onderhouden en bijwerken

Beheer van de beleidslevenscyclus

NIS2-beleidsstukken zijn levende documenten die moeten worden bijgewerkt wanneer:

  • Resultaten van de risicobeoordeling veranderen

  • Incidenten hiaten in het beleid aan het licht brengen

  • Nieuwe dreigingen ontstaan die aangepaste controles vereisen

  • Organisatorische wijzigingen de reikwijdte of verantwoordelijkheden beïnvloeden

  • Nationale omzettingswetten worden bijgewerkt

  • Technologische veranderingen aangepaste technische controles vereisen

  • Effectiviteitsbeoordelingen verbeterpunten identificeren

"Maak een Procedure voor Beleidsevaluatie en -actualisering voor onze NIS2-beleidsset. Voeg toe: een geplande evaluatiecyclus (minimaal jaarlijks voor alle beleidsstukken), trigger-events voor ongeplande evaluaties, het evaluatieproces (inhoudelijke beoordeling, overleg met belanghebbenden, goedkeuring door het bestuursorgaan), procedures voor versiebeheer en het bijhouden van wijzigingen, communicatie van beleidswijzigingen aan betrokken personeel, en archiveringsvereisten voor vervallen versies."

Volgende stappen

Met uw volledige NIS2-beleidsset opgesteld en goedgekeurd, beschikt u over de documentatiebasis voor compliance.

Ga verder met de volgende gidsen in deze serie:

  • Incidentrapportage: Zie How to Implement NIS2 Incident Reporting Using AI om de operationele workflows, sjablonen en playbooks te bouwen die uw Incidentresponsbeleid operationaliseren

  • Beveiliging van de toeleveringsketen: Zie How to Manage NIS2 Supply Chain Security Using AI om de leveranciersbeoordelingen en vragenlijsten te implementeren die in uw Beleid voor Beveiliging van de Toeleveringsketen worden beschreven

Als u de risicobeoordeling nog niet heeft voltooid, zie dan How to Conduct NIS2 Risk Assessment Using AI -- uw beleid moet gegrond zijn in de resultaten van uw risicobeoordeling. Voor de initiële installatie en afbakening begint u met How to Get Started with NIS2 Implementation Using AI.

Voor kant-en-klare prompts voor het genereren van beleid, bekijk de NIS2 Directive Prompt Library. Voor een uitgebreid overzicht van alle NIS2-vereisten, zie de NIS2 Compliance Guide for In-Scope Companies.

Hulp krijgen

Voor aanvullende ondersteuning bij het opstellen van NIS2-beleid:

  • Vraag het aan ISMS Copilot: Gebruik uw NIS2-werkruimte voor doorlopende vragen over beleid, maatwerk en updates

  • Upload bestaand beleid: Ontvang een door AI aangestuurde gap-analyse om te identificeren wat moet worden gemaakt, bijgewerkt of versterkt

  • Sectoraanpassing: Vraag om sectorspecifieke bepalingen om toe te voegen aan generieke beleidssjablonen (vooral belangrijk voor de sectoren energie, gezondheidszorg, transport en digitale infrastructuur)

  • Afstemming op nationale omzetting: Vraag naar aanvullende eisen die uw lidstaat mogelijk heeft opgelegd bovenop de basislijn van de Richtlijn

Klaar om uw NIS2-beleidsset te genereren? Open uw NIS2-werkruimte op chat.ismscopilot.com en begin met het overkoepelende Informatiebeveiligingsbeleid. Werk vervolgens systematisch elk maatregelgebied af. Met ISMS Copilot kunt u binnen enkele dagen in plaats van maanden een volledige, audit-ready beleidsset genereren.

Was dit nuttig?