Audit NIS2

NIS2. Vanaf 2024 krijgen meer organisaties te maken met de nieuwe Europese richtlijn NIS2 - Network and Information Systems. Een richtlijn op het gebied van cybersecurity. Organisaties die hier onder vallen zijn o.a. beheerders van ICT-diensten, digitale aanbieders, digitale infrastructuur, infrastructuur financiële markt, bankwezen, energie, overheidsdiensten, transport, levensmiddelen, afvalstoffenbeheer.
Om te toetsen of aan de NIS2-richtlijnen worden voldaan, kan een audit worden uitgevoerd. Door een certificertingstraject volgens de norm ISO 27001 of met keurmerk-toets als NIS2 Quality Mark.

Audit. Een audit is een systematische periodieke beoordeling die wordt verricht door een auditor. Kortweg ‘auditen’ genoemd. Het woord audit is afgeleid van een Latijnse woord "audire", wat betekent "om te horen". 
De auditor onderzoekt of de realiteit overeenkomt met de normitems, zoals die op het gebied van informatiebeveiliging / cyber security. Gebeurt dit door eigen medewerkers, dan is het een interne audit. Gebeurt dit door (onafhankelijke) externen dan is het een externe audit. Meestal als onderdeel van een certificatieproces. De auditor constateert eventuele (structurele) afwijkingen en bepaalt de ernst van de afwijking, om vervolgens deze bevindingen aan de auditee te rapporteren. Meestal is dit de directie of bij groterere organisaties het management. De uitkomsten van een auditprocedure worden in een rapport vastgelegd.  

Eerst de gouden regels ...

Bij het uitvoeren of begeleiden van audits is het goed om te denken aan de volgende 10 gouden regels:

1. Duidelijk doel en scope
   Bespreek met de auditor (lead auditor in geval van een audit team) wat het doel is van de audit. Bespreek ook de scope, welke processen en activiteiten omvat de audit en vooral wat niet.
    
2. Heldere communicatie
   Laat de auditor duidelijke, enkelvoudige vragen stellen. Eén ding tegelijk, met de vragen kort en bondig. Is het onduidelijk of te complex, laat het weten. Het is de professionaliteit van de auditor om te zorgen voor een heldere communicatie.
    
3. Maak medewerkers bewust
   Het auditproces is in zichzelf helder met als doel de compliance van de organisatie te toetsen en verbeteringen te identificeren. Bereidt de medewerkers hierop voor evenals het verloop van een auditinterview. Dit verkomt ongemakkelijke situaties en laat de audit efficienter verlopen.
    
4. Werk samen
   Een audit vereist de nodige planning en voorbereiding. Daarnaast is de praktijk zullen tijdens de audit vaak aanpassingen nodig zijn, in de agenda of betrokken medewerkers. Dit vereist een goede samenwerking.
    
5. Begeleid de auditor(s)
   Een auditor is niet (goed) bekend met de organisatie. Begeleiding door iemand die inzicht heeft in het auditproces is daarom nodig. Ook om te voldoen aan het eigen beleid omtrent bezoekers. Het is noodzakelijk dat een auditor bekend is met de vereiste vertrouwelijkheid.
    
6. Maak aantekeningen en luister
   Tijdens een auditinterview komt veel informatie langs. Misschien worden er vragen gesteld die blikverruimend zijn. Luister goed -ook 'tussen de regels door'- en maak aantekeningen.
    
7. Deel de resultaten
   Komen tussen een auditinterview aandachtspunten of zelfs tekortkomingen naar voren, deel ze met betrokkenen en verantwoordelijk management. Het is raadzaam om ze vanuit verschillende gezichtspunten te bekijken om te komen tot een juiste feitelijke constatering.
    
8. Beschikbaarheid documentatie en systemen
   Een veelgebruikte audittechniek is het beoordelen van documentatie of de informatie binnen systemen. Zorg daarom -vooraf- dat documentatie en systemen beschikbaar dan wel toegankelijk zijn.
    
9. Stel relevante en duidelijk vragen
   Is iets onduidelijk, stel duidelijke, enkelvoudige vragen. Een auditor heeft veel kennis van andere, vaak vergelijkbare organisaties. Maak daar gebruik van.
    
10. Accepteer geen simpele checklist
    In een audit worden vaak specifieke normitems getoetst. Accepteer niet dat deze normitems simpelweg worden 'afgevinkt'. Verwacht meer diepgang dat een duidelijk beeld oplevert over de volwassenheid van de organisatie en eventuele verbeterpunten.

Audit proces

Een audit is een activiteit waarbij de risico’s of tekortkomingen in een proces of organisatie worden geïdentificeerd. Voldoet een proces of organisatie aan het referentiekader, meestal een norm. Er wordt nagegaan in welke mate de bestaande beheersmaatregelen de risico's voldoende dekken. 
De auditor die de audit uitvoert, dient onafhankelijk zijn. Een belangrijke eis. Het is van belang dat de auditor geen processen beoordeelt waar hij zelf verantwoordelijk voor is en dus geen belang heeft bij de resultaten van de audit. De werkwijze bij een audit kan per keer verschillen.

In het algemeen bestaat het uit de volgende processtappen:

1. Voorbereiding
   Op basis van een eerder opgesteld auditprogramma wordt voor de specifieke audit een agenda opgesteld. Wat komt aan bod en wat niet. Het managementsysteem of delen daarvan worden doorgenomen en er wordt bekeken wat de resultaten waren van de vorige audits. Zijn alle verbeteringen effectief geïmplementeerd?
    
2. Uitvoering
   Tijdens de audit onderzoekt de auditor of de organisatie of het proces aan de eisen van een norm voldoet op basis van bewijs. De auditor verzamelt hiervoor informatie zoals documenten en registraties en beoordeelt operationele (monitoring)systemen. Daarnaast kan informatie worden verkregen door waarnemingen van de auditor en interviews met werknemers. De auditor controleert en beoordeelt de informatie. Kan worden aangetoond dat de auditee zegt wat hij doet, en dat hij doet wat je zegt?
    
3. Rapporteren
   Alle bevindingen, afwijkingen van de norm of verbetersuggesties, worden verzameld en vastgelegd in een auditrapport. Besproken onderwerpen, aandachtspunten en tekortkomingen zijn hierin beschreven en deze worden besproken met de auditee. Ook worden corrigerende maatregelen vastgelegd. Over de feiten mag geen onduidelijkheid zijn.
    
4. Opvolging
   Als er in het auditverslag corrigerende maatregelen zijn voorgesteld, dient de auditee deze uit te voeren. In een volgende audit, bijvoorbeeld een herhalingsaudit, kan dan worden beoordeeld of deze corrigerende maatregelen effectief zijn doorgevoerd.

NIS2 uitgebreid toegelicht

Over NIS2 is nog bij veel bedrijven onduidelijkheid, zeker wat betreft de implementatie.

Onze business partner Quality-in-Motion heeft alles netjes toegelicht:

• NIS2 uitgelegd
• NIS2 per hoofdstuk
• Stapsgewijze implementatie NIS2 voor OES-en (Operators van ESsentiële diensten)
• Stapsgewijze implementatie NIS2 voor digitale dienstverleners

Een andere business partner, Meta-audit.nl, is meer thuis in de digitale implementatie, van een audit tool tot een confrol framework.

ISMS control framework

Een control framework is het geheel van beheersmaatregelen. Als voorbeeld is een ISMS -Information Security Management System- control framework uitgewerkt, gericht op de ISO 27001, Annex A. Een set van 95 beheersmaatregelen gericht op informatiebeveiliging, indien van toepassing.
Binnen het managementsysteem platform is het ISMS control framework een onderdeel. Periodiek wordt hier vastgelegd wat de toetsingsresultaten van de effectiviteitscontroles van de betreffende beheersmaatregelen (controls) zijn. Groot voordeel is dat er directe links met het beschreven managementsysteem en de verschillende kwaliteitsregistraties of KPI-metingen zijn.

Audit tool

In onderstaande korte presentatie wordt een voorbeeld besproken van een audit rapport / tool die de volledige auditcyclus volgt. Het is een onderdeel van het managementsysteem platform van Metaware

, 

Bekijk voor een uitgebreide uitleg onze productpagina van Infoware, de demo-omgeving ingericht voor ISO 27001 of probeer het NU (in 60 seconden online ..).