www.belgium.be Logo of the federal government
▷ Welke maatregelen voor de beveiliging van netwerk- en informatiesystemen (NIS) zijn van toepassing op een AED?
Category: 
Beveiligingsmaatregelen

1 Algemene beveiligingsmaatregelen

De AED moet technische en organisatorische maatregelen nemen:

a) die passend en evenredig zijn

  • Op adequate en gepaste wijze reageren op een gegeven situatie (de maatregelen hierop afstemmen).

b) om de risico’s voor de beveiliging van netwerk- en informatiesystemen te beheersen (na een risicoanalyse)

  • Risico: “elke redelijkerwijs vast te stellen omstandigheid of gebeurtenis met een mogelijke negatieve impact op de beveiliging van netwerk- en informatiesystemen” (art. 6, 15°, van de NIS-wet)
  • Beveiliging van netwerk- en informatiesystemen: “het vermogen van netwerk- en informatiesystemen om met een bepaalde mate van betrouwbaarheid bestand te zijn tegen acties die de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van de opgeslagen, verzonden of verwerkte gegevens of de daaraan gerelateerde diensten die via die netwerk- en informatiesystemen worden aangeboden of toegankelijk zijn, in gevaar brengen” (art. 6, 9°, van de NIS-wet).
  • Beschikbaarheid: vermogen van een systeem om toegankelijk en bruikbaar te zijn ® de werking ervan waarborgen
  • Authenticiteit: vermogen van een systeem om te bevestigen dat het is wat het beweert te zijn
  • Integriteit: vermogen van een systeem om niet te worden gewijzigd door niet-gemachtigde entiteiten
  • Vertrouwelijkheid: vermogen van een systeem om toegang tot de gegevens ervan door niet-gemachtigde personen te voorkomen.
  • Netwerk- en informatiesysteem (art. 6, 8°, van de NIS-wet):
  1. een elektronische-communicatienetwerk in de zin van artikel 2, 3°, van de wet van 13 juni 2005 betreffende de elektronische communicatie;
  2. een apparaat of groep van permanent of tijdelijk gekoppelde of bij elkaar behorende apparaten, waarvan een of meer elementen, in uitvoering van een programma, digitale gegevens automatisch verwerken, met inbegrip van de digitale, elektronische of mechanische componenten van dat apparaat die met name de automatisering van het operationele proces, de controle op afstand of het verkrijgen van werkingsgegevens in real time mogelijk maken;
  3. of digitale gegevens die via in de bepalingen onder a) en b), bedoelde elementen worden opgeslagen, verwerkt, opgehaald of verzonden met het oog op de werking, het gebruik, de beveiliging en het onderhoud ervan.

c) om te zorgen voor een niveau van fysieke en logische beveiliging

  • Ervoor zorgen dat een systeem met een bepaalde mate van betrouwbaarheid bestand is tegen gebeurtenissen die de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van de verzonden of verwerkte gegevens of de daaraan gerelateerde diensten die via dat systeem worden aangeboden of toegankelijk zijn, in gevaar kunnen brengen.
  • Fysiek: maatregelen die de weerbaarheid van de materiële elementen van de netwerk- en informatiesystemen waarborgen (fysieke toegang tot informatica-uitrusting, serverlokaal, enz.).
  • Logisch: maatregelen die de weerbaarheid van de logische elementen van de netwerk- en informatiesystemen waarborgen (toegangscontrole voor software, encryptie, monitoring, antivirus, enz.).

d) afgestemd op de risico’s die zich voordoen rekening houdend met de huidige stand van de technische kennis

  • De techniek moet op de markt aanwezig zijn als een product dat reeds wordt verkocht, niet als prototype waardoor ze moeilijk beschikbaar zou zijn.
  • Technology watch is absoluut noodzakelijk

e) passend om incidenten die de beveiliging van de netwerk- en informatiesystemen aantasten, te voorkomen

  • Passend: hangt af van het voorwerp waarop ze betrekking hebben en of ze afgestemd zijn op het voorkomen van incidenten
  • Incidenten voorkomen: de gevolgen ervan minimaliseren, om de continuïteit van de verlening van de essentiële diensten te waarborgen.

De AED moet een beveiligingsbeleid (I.B.B.) uitwerken en toepassen voor de netwerk- en informatiesystemen waarvan de essentiële diensten die hij verleent afhankelijk zijn. Dit I.B.B. bevat minstens de geïmplementeerde concrete beveiligingsdoelstellingen en -maatregelen.

2 Specifieke maatregelen

De Koning kan, bij koninklijk besluit, bepaalde specifieke beveiligingsmaatregelen opleggen aan alle AED’s (of aan bepaalde soorten AED’s) van een of meer sectoren (of deelsectoren).

Ook de bevoegde sectorale overheid kan, bij individuele administratieve beslissing, specifieke beveiligingsmaatregelen opleggen aan een bepaalde AED.

3 Referentiedocumenten

Bij de tenuitvoerlegging van zijn beveiligingsmaatregelen kan het EAD, naast erkende technische normen (bijvoorbeeld ISO 27001), gebruik maken van de volgende referentiedocumenten

  • NIS Samenwerkingsgroep (CG NIS) :

« Reference document on security measures for Operators of Essential Services »

https://ec.europa.eu/information_society/newsroom/image/document/2018-30/reference_document_security_measures_0040C183-FF20-ECC4-A3D11FA2A80DAAC6_53643.pdf

  • Agentschap van de Europese Unie voor cyberbeveiliging (ENISA)

« Guidelines on assessing DSP security and OES compliance with the NISD security requirements »

https://www.enisa.europa.eu/publications/guidelines-on-assessing-dsp-security-and-oes-compliance-with-the-nisd-security-requirements

“Interactive table of the NIS Cooperation Group Security Measures for OES” –

https://www.enisa.europa.eu/topics/nis-directive/minimum-security-measures-for-operators-of-essentials-services

  • Centrum voor Cybersecurity België (CCB) :

Baseline Information Security Guidelines (BSG) - 2019

https://ccb.belgium.be/sites/default/files/Richtlijnen%20en%20goede%20praktijken%20voor%20de%20informatie%20veiligheid%20v2019%20NL%20f....pdf

Cyber Guide

https://cyberguide.ccb.belgium.be