NIS2: Bent u in het toepassingsgebied?
De nieuwe Belgische cybersecurity-wet treedt in kracht. Bekijk het nu.
Niveau 1: Basiscyberhygiëne
Niveau 1 is het meest elementaire niveau van cybermaturiteit; het vormt de basis voor basiscyberbeveiliging. De toegepaste praktijken moeten de basishygiëne van de organisatie op het gebied van cyberbeveiliging ondersteunen, zoals het beheer van wachtwoorden en het bijwerken van systemen met patches. Dit niveau is bestemd voor kleine ondernemingen die een minimaal gegevensrisico vormen.
Processen: Uitvoering
De organisatie voert op ad-hocbasis cyberbeveiligingsmaatregelen uit en kan zich al dan niet baseren op documentatie.
Praktijken: Basiscyberhygiëne
De organisatie heeft beperkte of inconsistente cyberbeveiligingsprocessen. In dit stadium bieden de toegepaste cyberbeveiligingsmaatregelen beperkte bescherming tegen gegevensexfiltratie en kwaadwillige handelingen.
Bron: Cybersecurity Maturity Model Certification (CMMC) 1.0
Niveau 2: Intermediaire cyberhygiëne
Dit niveau vereist dat een organisatie de maatregelen toepast die op het vorige niveau 1 (uitvoering) zijn vastgesteld. Hoewel dit niveau duidt op een globale cyberhygiëne, blijft het beperkt ten opzichte van de hogere niveaus. De organisatie kan nog steeds moeilijkheden ondervinden om zich doeltreffend te verdedigen tegen de aanhoudende geavanceerde dreigingen (APT). Bovendien moet de organisatie aantonen dat de praktijken gedocumenteerd zijn in beleid en procedures.
Procedures: Documentatie
De organisatie ontwikkelt en documenteert praktijken en beleidslijnen om de uitvoering van haar inspanningen op het gebied van cyberbeveiliging te omkaderen. Aan de hand van de documentatie van de praktijken kunnen individuen deze herhaaldelijk uitvoeren. Organisaties ontwikkelen volgroeide capaciteiten door hun processen te documenteren en vervolgens in de praktijk te brengen zoals ze gedocumenteerd zijn.
Praktijken: Intermediaire cyberhygiëne
De organisatie onderzoekt haar beleid en praktijken en de daarvoor uitgetrokken middelen in detail. Deze middelen zorgen ervoor dat beveiligingsoplossingen correct worden geïmplementeerd en volledig doeltreffend kunnen zijn door actief toezicht.
Bron: Cybersecurity Maturity Model Certification (CMMC) 1.0
Niveau 3: Voldoende cyberhygiëne
Dit niveau vereist dat de organisatie de maatregelen toepast die op de vorige niveaus 1 en 2 (uitvoering en documentatie) zijn vastgesteld. Bovendien moet de organisatie een plan opstellen, handhaven en verstrekken om aan te tonen dat ze de praktische-uitvoeringsactiviteiten beheert.
Processen: Beheer
De organisatie stelt een plan op dat het beheer van de activiteiten voor de praktische uitvoering aantoont en onderhoudt en vult dit plan aan. Het plan kan informatie bevatten over de taken, doelstellingen, projectplannen, middelen, vereiste opleiding en betrokkenheid van de stakeholders.
Praktijken: Voldoende cyberhygiëne
De organisatie voert maatregelen uit om een geavanceerde of progressieve cyberbeveiligingsaanpak te hanteren en probeert het risico op geavanceerde hardnekkige dreigingen (APT) te verminderen. APT's zijn vaak natiestaten of groepen die worden gesponsord door staten, die gebruikmaken van geavanceerde expertise en uitgebreide middelen, waardoor ze beveiligingsnetwerken voortdurend kunnen aanvallen met behulp van diverse en uiteenlopende aanvalsvectoren, waaronder fysieke beveiliging en cyberbeveiliging, en misleidende technieken.
Bron: Cybersecurity Maturity Model Certification (CMMC) 1.0
Niveau 4: Proactieve cyberhygiëne
Dit niveau vereist dat de organisatie de in de vorige niveaus 1, 2 en 3 vastgestelde maatregelen (uitvoering, documentatie en beheer) toepast. Bovendien moet de organisatie de nodige procedures toepassen om de praktijken te onderzoeken en te meten om de doeltreffendheid ervan aan te tonen, corrigerende maatregelen te nemen en de algemene directie te informeren wanneer de praktijken niet het vereiste niveau van doeltreffendheid bereiken.
Processen: Onderzoek
Een organisatie onderzoekt en meet de doeltreffendheid van haar praktijken. Naast het meten van de doeltreffendheid van de praktijken, zijn de organisaties in staat om zo nodig corrigerende maatregelen te nemen en het topmanagement herhaaldelijk op de hoogte te brengen van de staat of problemen.
Praktijken: Proactieve cyberhygiëne
De organisatie voert maatregelen uit om de kritieke bedrijfsinformatie te beschermen tegen aanhoudende geavanceerde dreigingen (APT). Deze maatregelen verbeteren de detectie- en responscapaciteit van een organisatie om te reageren op en zich aan te passen aan veranderende tactieken, technieken en procedures (TTP's) die door de APT's worden gebruikt.
Bron: Cybersecurity Maturity Model Certification (CMMC) 1.0
Niveau 5: Geavanceerde/progressieve cyberhygiëne
Niveau 5 is het hoogste cyberbeveiligingsniveau. Dit niveau vereist dat een organisatie de in de vorige niveaus 1, 2, 3 en 4 genoemde maatregelen (uitvoering, documentatie, beheer, onderzoek en meting) toepast. Bovendien moet de organisatie de nodige processen toepassen om de praktijken te standaardiseren en te optimaliseren om aan te tonen dat ze coherent, doeltreffend en efficiënt zijn in de gehele organisatie.
Processen: Optimaliseren
De organisatie standaardiseert en optimaliseert de uitvoering van de processen op alle niveaus van de organisatie.
Praktijken: Geavanceerde/proactieve cyberhygiëne
De organisatie voert aanvullende praktijken uit die de diepgang en de complexiteit van de cyberbeveiligingscapaciteit vergroten.
Bron: Cybersecurity Maturity Model Certification (CMMC) 1.0