Cybersecurity: NIS2 toepassen in de praktijk

Module 1: Cybersecurity onder NIS2: een (r)evolutie

Docent: Meester Maarten Verhaghe

• EU Cyberstrategie
  • Historiek en de weg vooruit: NIS1, AVG, NIS2,
  • Doelstelling: het waarom?
• Actueel juridisch kader
  • E-commerce richtlijn
  • DSA en DMA:
  • E-Privacyrichtlijn: cookies
  • eIDAS verordening ifv meldplicht:
    • gekwalificeerde handtekening: meldplicht
    • trust services, certificaten,
• Cyberveiligheidsrecht
  • AVG
  • NIS 1
  • Cybersecurity verordening
• Juridisch kader 2.0
  • NIS 2 (toepassingsgebied – verplichtingen – handhaving – sancties)
  • Combinatie met AVG en Cybersecurity verordening
  • EU Cyberresilience verordening
• Gevolgen van een incident / datalek
  • Burgerlijke partijstelling
  • Meldplicht
  • Aansprakelijkheid (wettelijk – administratief – contractueel)
  • Werkloosheid
  • Cybersecurity verzekeringen

Module  2: Cybersecurity onder NIS2: Praktische aanpak

Docent: Pascal D'Eer

• ·Context
  • Stappenplan voor aanpak dmv (deel-)oplossingen
  • Werken naar praktische, beknopte voorbeelden bij elk onderdeel
  • Hoe kan je bepalen of je al dan niet onder NIS2 valt?
  • NIS2 is een tussenstap op weg naar NIS 3…
• Rollen, verantwoordelijkheden en functies,
  • NIS2 kan overkomen als ‘een noodzakelijk kwaad dat je moet realiseren’. Wat wordt er echt opgelegd, hoe kan ik dat dan effectief bereiken?
  • De rol van de manager/CEO, van de DPO, van de IT-manager binnen deze context, met verantwoordelijkheden
  • Algemene rollen/taken van CCB
  • Hoe en waarom een certificaat behalen?
• Cybersecurity: Visie en strategie
  • Beschikbaarheid van bepaalde cybersecurity frameworks en hun nut
  • Belgische aanpak dmv cybersecurity fundamentals toolkit (CCB)
  • Opbouw rond 4 pijlers, maakt het meer inzichtelijk
  • Visie en strategie, waarom?
• Noodzaak en aanpak van een "governance aanpak"
  • Praktische vertaling van (deel van de) NIS2-richtlijn
  • Toelichting en indeling van deze opleiding
  • Realisatie van Governance in de praktijk
  • Nut van een risicoanalyse (Heatmap)
• Security Opertions Center (SOC) en Incident Response Plan (IRP)
  • Waarom incidentenbeheer noodzakelijk is, melden van incidenten (wettelijk verplichtingen)
  • Wat is bijvoorbeeld een SOC?, ontzorgen
  • CSIRT of CERT, wat is het verschil?
  • Meldingsplicht en -tijden volgens NIS2, ook naar andere instanties
  • Details omtrent de rol van het CCB
  • Enkele praktische voorbeelden ivm incidenten
• Noodzaak van cybersecurity bewustwording: Training specifiek gericht op management,
  • De betrokken teams en verschillende betrokken niveaus,
  • Hoe awareness opbouwen?
  • Nood aan een algemeen verhoogde ‘security awareness’
  • Wat met cybersecurity hygiene?
  • Enkele voordelen en voorbeelden
• Secure infrastructuur, beveiliging omgeving en minimale vereisten,
  • Stappenplan, hoe tot een veilige omgeving komen?
  • Enkele specifieke aandachtspunten toegelicht
• Verplichting mbt Business Continuïty Plan (BCP) en Disaster Recovery Plan (DRP)
  • Wat is business continuity BCP, en wat met disaster recovery DRP?
  • Hoe bouw je dit praktisch op, als deel van het beleid?
• Risk Assessment
  • Hoe en waarom dien je de prioriteiten te bepalen mbt risico’s?
  • Risicoanalyse en -mitigatie
  • Mogelijke acties en resultaten (actie en reactie)
  • Nut van een Security Plan (ISMS, information security management system)
• Samenvatting: Werkpunten voor CEO, CIO (alle andere CxO - Functies)
  • Belangrijkste aandachtspunten bij implementatie
  • Streven naar praktische resultaten (SMART)
  • Stapsgewijze aanpak