Om je op weg te helpen naar NIS2-compliance, hebben we een checklist opgesteld met de essentiële stappen die je moet ondernemen om je e-mailbeveiliging in orde te maken. We staan klaar om je organisatie te ondersteunen met de compliance, van encryptie tot DLP-tools en meer.
1. Implementeer robuuste protocollen voor encryptie
Encryptie is één van de basisvereisten voor NIS2-compliance. Artikel 21 van de richtlijn stelt dat beleid en procedures aangaande het gebruik van cryptografie en, waar van toepassing, encryptie, verplicht zijn.
Microsoft 365 (M365) ondersteunt weliswaar transportencryptie via TLS, maar daarnaast ook DANE integreren biedt een extra laag veiligheid. De implementatie van DANE in M365 biedt echter te weinig zekerheid, waardoor aanvullende encryptie-oplossingen nodig zijn.
Acties:
- Schakel TLS in voor alle e-mailcommunicatie
- Implementeer DANE voor encryptie op domeinniveau
- Gebruik aanvullende encryptietools als back-up
Hoe Zivver kan helpen
Zivver biedt geavanceerde encryptieprotocollen voor e-mail en bestandsoverdracht en verzekert zo dat gevoelige informatie beschermd blijft tegen toegang door ongeautoriseerden, zowel tijdens de transmissie als in rust.
2. Dwing multifactorauthenticatie (MFA) af
MFA is essentieel om te voorkomen dat ongeautoriseerde personen toegang krijgen tot gegevens. Naast encryptie specificeert artikel 21 van NIS2 ook het gebruik van multifactorauthenticatie.
M365 ondersteunt wel MFA, maar de toepassing ervan is beperkt. Voor meer waterdichte beveiliging kan je beter MFA afdwingen voor zowel interne als externe ontvangers.
Acties:
- Schakel MFA in voor alle gebruikers binnen M365
- Integreer een extra MFA-oplossing voor externe ontvangers
- Herzie en update MFA-regels regelmatig
Hoe Zivver kan helpen
Zivver integreert MFA in je mailbox en verbetert zo de beveiliging tegen ongeautoriseerde toegang. Het biedt ook handige en flexibele authenticatiemethoden voor derden, waaronder SMS-codes, paswoorden of authenticatie via e-mail.
3. Automatische e-mailclassificatie en Data Loss Prevention (DLP)
Effectieve protocols voor dataclassificatie en dataverliespreventie zijn essentieel om je gegevens te beschermen. NIS2 benadrukt het belang van conforme dataclassificatie en het invoeren van de juiste beveiligingsmaatregelen.
De native tools in M365 voor e-mailclassificatie en DLP zijn vaak ontoereikend naar NIS2-standaarden, waardoor aanvullende oplossingen nodig zijn.
Acties:
- Stel regels voor automatische classificatie op in M365
- Integreer geavanceerde DLP-oplossingen die verder gaan dan alleen keyword-matching
- Voer regelmatig audits uit van je beleid rond classificatie en DLP
Hoe Zivver kan helpen
Zivvers DLP-functies helpen organisaties vermijden dat er – per ongeluk of uit kwade wil – gevoelige informatie gedeeld wordt in e-mails. Zivver integreert geavanceerde DLP-oplossingen die meer doen dan alleen keywords detecteren, in overeenstemming met de nadruk die NIS2 legt op het voorkomen van cybersecurity-incidenten die kritieke infrastructuur kunnen stilleggen.
4. Veilig omgaan met gevoelige bijlagen
Ook bijlagen moeten veilig zijn tegen ongeautoriseerde toegang. In M365 is de encryptie van bijlagen beperkt tot bestanden onder 25 MB, wat voor veel toepassingen ontoereikend is. Een geïntegreerde oplossing die grotere bestanden veilig verwerkt, is een goed idee.
Acties:
- Gebruik Purview Message Encryption voor bijlagen tot 25 MB
- Implementeer een geïntegreerde oplossing voor veilige bestandsoverdracht voor grotere bestanden
- Verzeker dat alle bijlagen gescand worden op gevoelige gegevens voor ze verzonden worden
Hoe Zivver kan helpen
Zivver integreert met e-mailprogramma’s en brengt grote bestandsoverdracht tot 5 TB direct in je mailbox. Zo worden externe – en mogelijk onveilige – platformen overbodig.
5. Voorkom menselijke fouten
Menselijke fouten zijn de meest voorkomende oorzaak van datalekken. Verkeerd geadresseerde e-mails in het bijzonder komen frequent voor en kunnen grote gevolgen hebben. Artikel 21 van de NIS2-richtlijn benadrukt het belang van procedures om dergelijke fouten te voorkomen.
Acties:
- Gebruik tools voor e-mailverificatie om het adres van ontvangers te controleren
- Integreer oplossingen die gebruikers aanzetten om gevoelige informatie te checken voor het verzenden
- Train medewerkers regelmatig inzake het belang van e-mailbeveiliging
Hoe Zivver kan helpen
Geef je medewerkers de tools in handen om datalekken te voorkomen. Zivver integreert naadloos met je e-mailprogramma en stuurt gebruikers meteen een melding wanneer een vergissing plaatsvindt. Zo kunnen ze tijdig actie ondernemen om de gevoelige gegevens te verwijderen, de e-mail te encrypteren voor het verzenden of ontvangers en personen in bcc te corrigeren.
6. E-mails intrekken en traceren
De mogelijkheid om e-mails te traceren en de toegang in te trekken is belangrijk voor compliance met NIS2. M365 biedt wel de mogelijkheid om mails in te trekken met Purview Advanced Message Encryption, maar deze functie is beperkt tot gebruikers binnen het Microsoft-ecosysteem.
Acties:
- Schakel e-mail recall in binnen M365 waar mogelijk
- Gebruik aanvullende tools waarmee je ook andere mails kunt intrekken
- Implementeer een trackingsysteem om na te gaan of en wanneer gevoelige mails afgeleverd en geopend worden
Hoe Zivver kan helpen
Met Zivver kan je ongelimiteerd e-mails terughalen en krijg je inzicht in de status van je e-mails, inclusief of ze al geopend zijn. Zo kunnen gebruikers nagaan of een datalek heeft plaatsgevonden en de gepaste actie ondernemen.
7. Regelmatige audits en updates van de beveiliging
Regelmatige audits zorgen voor ononderbroken compliance. Artikel 21 van NIS2 vereist doorlopende monitoring en updates van beveiligingsprotocollen.
Acties:
- Plan regelmatige beveiligingsaudits van je e-mailsystemen
- Update beveiligingsprotocollen en tools wanneer nieuwe dreigingen of regels zich voordoen
- Houd documentatie bij van al je compliance-maatregelen en audits in het geval van een externe audit
Hoe Zivver kan helpen
Zivver biedt mogelijkheden voor audits en logging, zodat organisaties hun communicatie kunnen monitoren en rapporteren. Zivver kan ondersteuning bieden met reguliere audits van e-mailsystemen, updates aan beveiligingsprotocollen wanneer er nieuwe dreigingen optreden, en documentatie van maatregelen inzake compliance.
Traditionele e-mail gaat niet voldoende veilig om met gevoelige gegevens. Met de introductie van de NIS2-richtlijn vallen er meer verantwoordelijkheden op de schouders van organisaties. Dat betekent in veel gevallen dat ze hun leveranciers van beveiligingsmaatregelen opnieuw moeten controleren om zeker te zijn dat de tools die ze gebruiken hen voldoende ondersteunen met compliance.
Compliance gaat ook niet langer om ‘net genoeg’ doen om enkele vakjes af te vinken. Databescherming evolueert voortdurend. Dat geeft organisaties ook de kans om zich met goed gegevensbeheer te onderscheiden van de competitie.
Met de zeven stappen die we in dit e-book beschreven, kunnen organisaties verzekeren dat hun e-mailcommunicatie veilig en compliant is, en zo de cybersecurity-risico’s verminderen.
