Consult

Thema’s

De markt is continu in beweging.
Soms gedreven vanuit de toezichthouder en soms gedreven vanuit de interne ambitie. Een klein overzicht van thema’s waar SBR Interim u kan ondersteunen.

Wet- en regelgeving

DNB Good Practise IB

DNB Good Practice Informatiebeveiliging 2023 geeft de onder toezicht van DNB staande instellingen actuele handvatten en beheersmaatregelen, waarmee zij kunnen voldoen aan de wettelijke bepalingen om de voortdurende beschikbaarheid, integriteit, vertrouwelijkheid en authenticiteit van de (geautomatiseerde) gegevensverwerking te waarborgen.

Met de geactualiseerde Good Practice Informatiebeveiliging 2023 bevordert DNB dat instellingen op het gebied van informatiebeveiliging en cybersecurity een stap maken in de richting naar implementatie van DORA per 17 januari 2025. Het is aan de instellingen om zich goed voor te bereiden op DORA. In 2024 bepaalt DNB hoe deze Good Practice Informatiebeveiliging zich verhoudt tot de dan uitgewerkte DORA regelgeving.

DORA

Digital Operational Resilience Act (DORA) is een Europese verordening met als doel dat financiële organisaties hun IT-risico’s beter gaan beheersen en daarmee weerbaarder worden tegen cyberdreigingen. De verordening richt zich op het aanscherpen van risk management, IT-incidentbeheersing, testen, toezicht op kritieke IT-dienstverleners, en het onderdeel governance en organisatie. Daarnaast verbetert DORA de ketenveiligheid en worden de risico’s van fouten bij informatie-uitwisseling beperkt.

NIS2 richtlijn

NIS2-richtlijn is vastgesteld door de Europese Unie (EU) en bedoeld om de cyberbeveiliging en weerbaarheid van essentiële diensten in EU-lidstaten te verbeteren. De NIS2-richtlijn vergroot de reikwijdte van de NIS-richtlijn door meer sectoren te omvatten. De NIS2-richtlijn gaat in op de risico’s die netwerk- en informatiesystemen bedreigen, zoals cyberbeveiligingsrisico’s. Nis2-richtlijn schrijft aantal richtlijnen voor, namelijk (1) Zorgplicht (2) Meldplicht (3) Toezicht.

ISO/BIO

ISO 27001 is de internationale standaard voor informatiebeveiliging. In deze standaard staat beschreven hoe u procesmatig om kunt gaan met het beveiligen van informatie. ISO 27001, onderdeel van de ISO 27000-serie, is de internationaal bekende norm voor het Information Security Management System (ISMS).

De Baseline Informatiebeveiliging Overheid (BIO) is het basisnormenkader voor informatiebeveiliging binnen alle overheidslagen (Rijk, gemeenten, provincies en waterschappen). Had voorheen iedere overheidslaag zijn eigen baseline, nu is er met gezamenlijke inspanning 1 BIO voor de gehele overheid. De BIO is gebaseerd op de ISO 27001 en de ISO 27002. Op specifieke controls geeft de BIO een nadere invulling in de vorm van overheidsmaatregelen. De overheid heeft zich verplicht de BIO te implementeren.

Overige Thema’s

DIGID Audits

Organisaties die DigiD gebruiken moeten jaarlijks een ICT-beveiligingsassessment doen. Met ICT-beveiligingsassessments DigiD houdt Logius toezicht op de DigiD-aansluitingen met als doel het gebruik van DigiD veilig te houden. Binnen de ICT-beveiligingsassessments DigiD spelen verschillende partijen een rol.

ISAE 3402/3000

Wanneer diensten uitbesteed zijn aan externe partijen is niet altijd direct goed inzicht in de processen en is er geen directe invloed op de werkzaamheden. Om dit inzicht toch te verkrijgen en zekerheid te hebben over de juistheid van de processen, kunt u een ISAE rapport laten opstellen. Voor diensten met een financieel aspect is er de ISAE 3420/SOC 1 standaard, voor security en overige niet financiële informatie is er de ISAE 3000/SOC 2 standaard.

Security Scans

Een security scan/test controleert computersystemen en software op kwetsbaarheden die hackers in staat kunnen stellen om binnen te dringen. De scan/test spoort deze kwetsbaarheden op door precies dezelfde methodieken te gebruiken als cybercriminelen. Deze exercitie vindt steeds plaats met toestemming van het bedrijf waarvan de computerinfrastructuur getest wordt, en heeft als doel om vervolgens acties te ondernemen om de IT-veiligheid te verhogen.

Data management

Data management is belangrijk omdat het bedrijven in staat stelt om waardevolle inzichten te halen uit hun gegevens. Door gegevens op de juiste manier op te slaan, te beheren, te analyserenen goed te beveiligen kunnen bedrijven trends en patronen identificeren die anders verborgen zouden blijven. Wij kunnen helpen met het inrichten van Data Governance en Data Management processen.