NIS2 Scope- en Baseline-rapport intake

Onder de Netwerk- en informatiebeveiligingsrichtlijn (NIS2) is een klant "essentieel" of "belangrijk" als die actief is in één van de sectoren uit Bijlage I of Bijlage II EN aan de groottetest voldoet (doorgaans 50+ voltijdsequivalenten of 10 miljoen euro omzet, met sectorspecifieke uitzonderingen). Het Centrum voor Cybersecurity België (CCB) beheert de officiële mapping.

Concrete voorbeelden. Essentieel: een regionaal Belgisch ziekenhuis; een gemeentelijke IT-dienst; een bank; een elektriciteitsnetbeheerder; een drinkwaterbedrijf. Belangrijk: een regionale voedingsproducent; een chemiegroothandel; een postoperator. Niet in scope: een bakkerij; een marketingbureau; een klein advocatenkantoor; een typische kleinhandelaar.

Bent u onzeker maar zitten meer dan een paar van uw klanten in zorg, openbaar bestuur, bankwezen, energie, water, transport of digitale infrastructuur: kies Ja. Onze supply-chain analyse behandelt dit in het rapport.

"Ja" betekent dat meervoudige authenticatie (MFA) wordt afgedwongen voor elk werknemersaccount op elk gevoelig systeem: Microsoft 365 (M365) of Google Workspace; Virtual Private Network (VPN); productietoegang; admin-panelen; remote desktop. Geen stille uitzonderingen.

"Gedeeltelijk" betekent dat MFA op sommige systemen wordt afgedwongen maar niet op andere (bijvoorbeeld enkel M365), of voor sommige gebruikers maar niet voor andere (bijvoorbeeld enkel admins maar niet voor gewone medewerkers), of een combinatie van beide.

"Nee" betekent dat MFA optioneel, opt-in of nergens afgedwongen is.

Antwoord eerlijk. Deze ene vraag duikt op in elke leveranciersvragenlijst die u ooit ontvangt, en in elke CyberFundamentals (CyFun) zelfevaluatie van het Centrum voor Cybersecurity België (CCB). Het rapport bestraft eerlijkheid niet, maar markeert wel elk gat dat de auditor ook zou vinden.

Endpoint Detection and Response (EDR) en traditionele antivirus zijn soms verschillende producten. Voorbeelden van moderne EDR: Bitdefender GravityZone, SentinelOne, Microsoft Defender for Endpoint (de gelicentieerde versie, niet de gratis), CrowdStrike Falcon, Sophos Intercept X. Heeft u een van deze centraal beheerd op uw laptops en servers (met een console waar een admin of uw Managed Service Provider op inlogt): antwoord Ja.

Heeft u alleen de ingebouwde Windows Defender die met Windows meekomt, zonder centrale beheerconsole, zonder beleidsregels vanuit een server gepusht, en zonder zichtbaarheid voor uw IT-team: dat ligt in de praktijk dichter bij "gedeeltelijk". Dit formulier accepteert hier alleen Ja of Nee, dus antwoord Nee en ons rapport markeert het gat met een duidelijke remediëringsstap. Het Centrum voor Cybersecurity België (CCB) beschouwt centraal beheerde EDR als de CyberFundamentals (CyFun) BASIC-drempel.

Een "geschreven" incident-responsplan is een document (één tot tien pagina's volstaat op CyberFundamentals (CyFun) BASIC-niveau). Het benoemt wie waarvoor verantwoordelijk is tijdens een beveiligingsincident, wie te bellen (intern team; klanten als klantgegevens getroffen zijn; de toezichthouder indien vereist), de tijdslijn (essentiële entiteiten onder de Netwerk- en informatiebeveiligingsrichtlijn (NIS2) hebben 24 uur voor de vroege waarschuwing en 72 uur voor de incidentmelding, verzonden aan het Centrum voor Cybersecurity België (CCB)), en de post-incident reviewstap.

"Geschreven" betekent in om het even welk duurzaam formaat: een Word-document, een wiki-pagina, een Confluence-pagina, een Notion-pagina, een afgedrukte map. Zit uw plan "in onze hoofden" maar staat het niet op papier, of leeft het alleen in iemands e-mailhandtekening, antwoord dan Nee. Eerlijkheid wint hier van een vals Ja; de remediëringsstap uit het rapport kost een paar uur om te sluiten.