Regeling beveiliging netwerk- en informatiesystemen IenW

In deze regeling wordt verstaan onder:

• AED: aanbieder van een essentiële dienst;

• besluit: Besluit beveiliging netwerk- en informatiesystemen;

• ISMS: Information Security Management System als bedoeld in artikel 3, tweede tot en met vierde lid;

• risicoanalyse: risicoanalyse als bedoeld in onderdeel 1 van de bijlage bij artikel 3a, eerste lid, van het besluit.

• 1 Deze regeling is van toepassing op iedere AED in de sectoren drinkwater en vervoer, voor zover het de netwerk- en informatiesystemen betreft die gebruikt worden voor de essentiële dienst.

• 2 Bij het nemen van de maatregelen, opgenomen in onderdelen 1 tot en met 5 van de bijlage bij artikel 3a van het besluit, past de AED de paragrafen 3 tot en met 9 toe.

• 1 De AED hanteert een ISMS.

• 2 Het ISMS stelt de AED in staat om maatregelen te nemen, uit te voeren en waar nodig bij te stellen met als doel op een structurele wijze risico’s terug te brengen tot een acceptabel niveau.

• 3 Het ISMS omvat omschrijvingen van het beleid, de processen en procedures, gericht op de maatregelen, bedoeld in de paragrafen 4 tot en met 8.

• 4 Het ISMS ondersteunt de AED bij het toepassen van de continue verbetercyclus, bedoeld in artikel 5.

• 5 De AED beschikt over een document waarin is vastgelegd op welke wijze uitvoering is gegeven aan het eerste lid.

• 1 In de risicoanalyse is met behulp van een onderbouwing vastgelegd welk risiconiveau acceptabel wordt geacht voor de levering van de essentiële dienst.

• 2 Bij de risicoanalyse worden de redelijkerwijs voorzienbare risico’s binnen de keten van toeleveranciers betrokken voor zover deze kunnen leiden tot een incident bij de levering van de essentiële dienst.

• 3 De risicoanalyse wordt op basis van een door de AED vastgelegde procedure periodiek geactualiseerd en telkens wanneer blijkt dat de dreigingen of kwetsbaarheden significant zijn toe- of afgenomen.

• 1 De AED hanteert een continue verbetercyclus, waarmee:

  • a. maatregelen worden toegepast ter beheersing van risico’s;

  • b. de doeltreffendheid van deze maatregelen wordt beoordeeld;

  • c. de maatregelen worden bijgesteld, wanneer de beoordeling daartoe aanleiding geeft.

• 2 De AED heeft inzicht in de mate waarin de maatregelen doeltreffend zijn en de risico’s beheerst zijn.

• 3 Het ISMS is zodanig ingericht dat de AED in staat gesteld wordt verantwoording af te leggen over de mate waarin de maatregelen doeltreffend zijn en de risico’s worden beheerst.

De AED beschrijft bij wie of welke functionaris taken, bevoegdheden en verantwoordelijkheden als bedoeld in de bijlage bij artikel 3a van het besluit, onderdeel 2, zijn belegd en actualiseert deze beschrijving als er wijzigingen zijn.

• 1 De AED waarborgt dat functionarissen over passende kwalificaties beschikken gelet op de bij hen belegde taken, bevoegdheden en verantwoordelijkheden.

• 2 De AED verzorgt voor de functionarissen die bij hem in dienst zijn periodieke bewustwordings- en trainingsactiviteiten en opleidingen, gericht op de voor netwerk- en informatiebeveiliging noodzakelijke kennis en kunde, het gewenste gedrag en daarop gerichte bewustzijn van betrokkenen.

• 1 Het management van de AED draagt bewustzijn uit van de noodzaak tot informatiebeveiliging en bevordert op eigen initiatief binnen de organisatie het bewustzijn en de bewustwording hierover.

• 2 De AED legt beleid vast over screening, professionaliteit en integriteit van medewerkers, over geheimhouding door medewerkers en voor maatregelen in geval van schending van de geheimhouding of integriteit en past dat beleid toe.

• 1 Het actueel overzicht, bedoeld in onderdeel 1 van de bijlage bij artikel 3a van het besluit, bevat de actuele configuratie van de netwerk- en informatiesystemen en de relevante kenmerken ervan. Onderdeel van het overzicht is een beschrijving van de zonering en koppelingen van netwerken.

• 2 Het overzicht classificeert de systemen en onderdelen ervan aan de hand van de gevolgen voor de AED bij verstoringen en beschrijft het beveiligingsniveau.

• 3 De configuratie is vastgelegd in een configuratie management database. De beschrijving omvat de versies van hard- en software die in gebruik zijn bij onderdelen van netwerk- en informatiesystemen, die door de AED als kritiek zijn geclassificeerd.

• 4 De AED monitort de kwetsbaarheden voor de configuratie en legt deze vast.

• 1 Voor onderdelen van netwerk- en informatiesystemen die door de AED als kritiek worden geclassificeerd hanteert de AED asset- en lifecyclemanagement.

• 2 De AED stelt een proces vast voor het tijdig vernieuwen of afvoeren van systemen (end-of-support-management) en past dit toe.

Het patchmanagement omvat een risicoanalyse over de uit te voeren patch die ingaat op:

• a. het risico op verstoring van de dienst door de patch;

• b. de risico’s die door de patch of door andere maatregelen worden gemitigeerd.

• 1 Netwerk- en informatiebeveiliging maken onderdeel uit van de inkoopvoorwaarden van de AED met betrekking tot inkoop van software, hardware en diensten.

• 2 De AED betrekt bij overeenkomsten met derden, waaronder leveranciers, relevante beveiligingseisen, -verantwoordelijkheden en -rollen en maakt afspraken over de eisen aan beveiligingsprestaties van de leverancier, het melden van incidenten en de beëindiging van de overeenkomst. De AED houdt de gemaakte afspraken actueel.

• 1 De AED borgt netwerk- en informatiebeveiliging bij ontwerp, planning en realisatie van netwerk- en informatiesystemen.

• 2 De AED gebruikt segmentering om te verhinderen dat een kwetsbaarheid of ongeautoriseerde toegang tot een netwerk- of informatiesysteem gebruikt kan worden om andere netwerk- of informatiesystemen te compromitteren. De keuze voor het toepassen van segmentering wordt gemaakt op basis van een risicoanalyse.

De AED heeft beleid vastgelegd over de fysieke beveiliging van netwerk- en informatiesysteemcomponenten en faciliteiten die de netwerken ondersteunen en past dit beleid toe.

• 1 De AED heeft beleid vastgelegd voor logische toegangsbeveiliging voor de toegang tot netwerk- en informatiesystemen en past dit beleid toe. Dit beleid ziet in ieder geval op beheer van identiteiten, authenticaties en autorisaties, waaronder uitgeven, monitoren van gebruik en intrekken ervan.

• 2 Autorisaties worden ten minste jaarlijks beoordeeld op juistheid en actualiteit en geconstateerde onjuistheden worden hersteld.

• 1 De AED past effectieve maatregelen toe tegen malware en monitort deze.

• 2 Indien gebruik gemaakt wordt van versleuteling, worden maatregelen toegepast om de betrouwbaarheid, integriteit en vertrouwelijkheid van de gebruikte sleutels te borgen.

• 1 De AED heeft beleid vastgelegd voor het beheerst doorvoeren van wijzigingen in en op een netwerk- en informatiesysteem en past dit beleid toe.

• 2 De AED heeft voorts de processen vastgelegd voor toepassen van een wijziging en past deze toe. Het proces omvat ook het testen van de wijziging.

• 1 De AED heeft beleid vastgelegd voor het melden van incidenten door werknemers en ziet toe op de toepassing ervan.

• 2 De AED heeft beleid vastgelegd en processen beschreven voor het melden en identificeren van tekortkomingen en kwetsbaarheden en past deze toe.

• 1 De AED heeft een proces vastgelegd voor het loggen van handelingen op een netwerk- en informatiesysteem en past dit toe. Als onderdeel van het proces zijn de parameters beschreven, waaronder handelingen die leiden tot een nadere analyse en onderzoek.

• 2 Het eerste lid is niet van toepassing op componenten van netwerk- en informatiesystemen waarvoor op technische gronden loggen van handelingen niet mogelijk is. De AED heeft vastgelegd voor welke componenten dit geldt.

• 1 De AED heeft het proces vastgelegd over de methode van monitoring van een netwerk- en informatiesysteem.

• 2 De AED heeft detectieprocessen en -procedures vastgelegd om afwijkende gebeurtenissen tijdig op te merken, te classificeren en, waar noodzakelijk, op te volgen. De AED past deze processen en procedures toe.

• 1 De AED heeft procedures vastgelegd voor het classificeren, onderzoeken en verhelpen van incidenten, het intern en extern communiceren en rapporteren over incidenten en past deze procedures toe.

• 2 De AED borgt dat een incident naar de ernst ervan wordt beoordeeld. Bij de beoordeling van de ernst wordt de impact op ketenpartners betrokken.

• 3 Incidenten worden geanalyseerd en geëvalueerd. De uitkomsten van deze analyse en evaluatie worden gebruikt bij de verbetering van de beheersing van de risico’s.

Het crisis- of bedrijfscontinuïteitsplan wordt ten minste jaarlijks getest op doeltreffendheid en waar nodig aangepast. Testen kan plaatsvinden door middel van oefeningen.

• 1 De AED heeft procedures vastgelegd voor het maken van backups (system, software en data), past deze procedures toe en indien nodig aan.

• 2 Het eerste lid is niet van toepassing op componenten van netwerk- en informatiesystemen waarvoor op technische gronden het maken van backups niet mogelijk of niet noodzakelijk is. De AED heeft vastgelegd voor welke componenten dit geldt.

• 3 De procedures, bedoeld in het eerste lid, worden ten minste jaarlijks getest.

• 1 Een AED kan aantonen dat de paragrafen 3 tot en met 8 zijn toegepast, door aan te tonen dat een met deze regeling tenminste gelijkwaardige sectorspecifieke norm wordt toegepast.

• 2 De Beveiligingsnorm Procesautomatisering, zoals vastgesteld op 28 maart 2019 door de drinkwaterbedrijven gezamenlijk en die geldt voor de sector drinkwater, wordt vermoed tenminste gelijkwaardig te zijn met deze regeling, behoudens de artikelen 3, 4, derde lid, 5, derde lid, 6, 7, eerste lid, 8, 9, eerste en tweede lid, 10, 12, eerste lid, 13, eerste lid, 15, tweede lid en 23, tweede lid.

• 3 EASA.rmt720, zodra deze is vastgesteld en geldt voor de sector vervoer, onderdeel luchtvaart, wordt vermoed tenminste gelijkwaardig te zijn met deze regeling.

• 4 Een wijziging in een sectorspecifieke norm wordt door of namens de AED medegedeeld aan de Minister en aan de Inspecteur-Generaal van de Inspectie Leefomgeving en Transport.

Deze regeling treedt in werking met ingang van 1 juli 2021.

Deze regeling wordt aangehaald als: Regeling beveiliging netwerk- en informatiesystemen IenW.