Misschien heeft u er al eerder van gehoord, maar CSIRT’s zullen met de komst van NIS2 wat meer bekendheid verwerven. De richtlijn maakt cyberbeveiliging voor meer sectoren verplicht en daarbij zijn lidstaten van de EU verplicht om een of meerdere CSIRT’s op te richten. Zij ondersteunen namelijk organisaties wanneer er sprake is van een cyberincident. Hoe gaat dat in zijn werk en wat kunnen ze voor u betekenen wanneer u onverhoopt met een incident te maken krijgt.
Wat is een CSIRT Een Computer Security Incident Response Team wordt ook wel gezien als een organisatie die zich bezighoudt met incidenten die gerelateerd zijn aan cyberbeveiliging. Dit kan gaan over het voorkomen van incidenten, maar ook over ondersteuning bieden bij incidenten die zich hebben voorgedaan. Zowel preventief als reactief dus. Sinds 2018 hebben we in Nederland CSIRT’s en zijn ze dus niet nieuw in het leven geroepen. Maar met de komst van de NIS2 zullen er wel nieuwe taken bijkomen voor de CSIRT’s. Dit houdt in dat een response team niet alleen met taken als monitoring, analyse en ondersteuning bieden bij incidenten te maken krijgt, maar ook regie- en coördinatie taken nu tot het takenpakket van een CSIRT behoren. Daarnaast kan de NIS2-richtlijn ervoor zorgen dat nieuwe CSIRT’s bijkomen. Doordat de NIS2 meer sectoren zal bereiken, zullen er sectorale CSIRT’s opgericht moeten worden voor sectoren die dit nog niet hebben. |
Wanneer krijgt een organisatie te maken met een CSIRT?
Zoals eerder beschreven zijn deze response teams in het leven geroepen om ondersteuning te bieden bij cyberincidenten. Wanneer een organisatie te maken krijgt met een cyberaanval waarmee meerdere personen voor langere tijd te kampen hebben en deze financiële verliezen teweegbrengt, moet dit gemeld worden bij een CSIRT. Het melden van zo’n incident gaat in grote lijnen als volgt:
- Binnen 24 uur nadat een organisatie kennis heeft gekregen van het incident, moet er een vroegtijdige waarschuwing worden gegeven. Als het mogelijk is moet er aangegeven worden dat het incident vermoedelijk door onrechtmatige of kwaadwillende handeling veroorzaakt is en grensoverschrijdende gevolgen kan hebben.
- Binnen 72 uur na kennisgeving van het incident moet er een incidentmelding ingediend worden. Is er meer informatie over het incident dan dient dit ook doorgegeven te worden. Denk hierbij aan een initiële beoordeling, de ernst en gevolgen van het incident en de indicatoren voor aantasting.
- Op verzoek van het CSIRT of de bevoegde autoriteit wordt er een tussentijds verslag ingediend over relevante updates van de situatie.
- Uiterlijk één maand na het indienen van de melding, wordt er een eindverslag aangeleverd waarin het volgende is opgenomen:
- Een gedetailleerde beschrijving van het incident, inclusief de ernst en de gevolgen ervan.
- Het soort bedreiging of de grondoorzaak die vermoedelijk tot het incident geleid heeft.
- Lopende en toegepaste maatregelen om het risico te beperken.
- Indien van toepassing een beschrijving van de grensoverschrijdende gevolgen van het incident.
- Mocht het zo zijn dat het incident nog lopende is op het moment dat het eindverslag ingediend moet worden, dan wordt dit omgezet naar een voortgangsverslag. Wanneer het incident is afgehandeld, dan dient er alsnog binnen een maand een eindverslag aangeleverd te worden.
Belangrijk onderdeel van de NIS2
De CSIRT’s nemen een belangrijke positie in bij de invoering van de NIS2. Niet alleen dienen organisaties bij een incident hier de melding in, ook wordt er vanuit een CSIRT preventief gehandeld om incidenten te voorkomen. Door de aanstaande komst van de NIS2, is ook het CSIRT-landschap nog in volle ontwikkeling. DSE IT-Services houdt u hier ook over op de hoogte. Heeft u vragen of wilt u meer informatie over de toekomstige CSIRT’s dan kunt u gerust contact opnemen met een van onze medewerkers via 0251-278990 of via info@dseit.nl.