1.4.2.2. Minimale maatregelen rond risicoanalyse 3.0

Om review makkelijker te maken werden de wijzigingen tegenover ICRv2 als volgt in de tekst duidelijk gemaakt:

Nieuw toegevoegde tekst wordt overal in het rood weergegeven

1.4.2.2.1. Minimale algemene maatregelen

Klasse onafhankelijke maatregelen voor beschikbaarheid, integriteit, vertrouwelijkheid

IC klasse	Minimale maatregelen

IC klasse	Minimale maatregelen
	PAS TOE
	Uitvoeren van risicoanalyses conform de Vo risicoanalyse methodiek. Risicoanalyse moet gedocumenteerd worden en verspreid naar relevante stakeholders. Uitvoeren van een risicoanalyse Minstens jaarlijks of bij significante wijzigingen in de omgeving (infrastructuur, dienstverlening, dreigingen) Na validatie van de minimale maatregelen voorzien in het ICR.

Klasse afhankelijke maatregelen voor beschikbaarheid, integriteit, vertrouwelijkheid

IC klasse	Minimale maatregelen

IC klasse	Minimale maatregelen
	PAS TOE
	Klasse 1, Klasse 2 en Klasse 3 kennen dezelfde maatregelen: Uitvoeren pentest of vulnerability scan om de kwetsbaarheden in kaart te brengen is aanbevolen (cfr Kwetsbaarhedenbeheer - pentest en Kwetsbaarhedenbeheer - vulnerability scan) Risico’s moeten behandeld (mitigatie of overdracht), geaccepteerd of vermeden worden. Formele acceptatie van de behandeling van risico’s. Formele acceptatie van het restrisico door het management.
	PAS TOE OF LEG UIT
	Alle maatregelen van Klasse 1 / Klasse 2 / Klasse 3 + Bij ontsluiting buiten de perimeter: uitvoeren pentest en vulnerability scan om de kwetsbaarheden in kaart te brengen is verplicht.
	Alle maatregelen van Klasse 1 / Klasse 2 / Klasse 3 + Klasse 4 + Overdracht van risico's is niet toegestaan.

1.4.2.2.2. Minimale specifieke (GDPR) maatregelen

De minimale algemene maatregelen voor risicoanalyse moeten toegepast worden: per klasse zijn de overeenkomende maatregelen van toepassing (zie hoofdstuk 'minimale algemene maatregelen').

Vertrouwelijkheid en integriteit

IC klasse	Minimale maatregelen
	Er zijn geen GDPR specifieke maatregelen voor Klasse 1.
	Er zijn geen GDPR specifieke maatregelen voor Klasse 2.
	Klasse 3 en Klasse 4 kennen dezelfde maatregelen: Uitvoeren van een DPIA conform GDPR is verplicht in het geval van: Systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen, waaronder profilering, waarop besluiten worden gebaseerd die een natuurlijke persoon wezenlijk treffen, Grootschalige verwerking van bijzondere categorieën van persoonsgegevens of van gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten, Stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten. De DPIA moet volgende elementen bevatten: Een gedetailleerde en duidelijke beschrijving van de beoogde verwerkingen en de verwerkingsdoeleinden. Het register van verwerkingsactiviteiten kan hier richtinggevend zijn, Een beoordeling van de noodzaak en de evenredigheid van de verwerkingen in functie van de doeleinden, Een beoordeling van de risico's voor de rechten en vrijheden van betrokkenen, De beoogde maatregelen om de risico's aan te pakken.
	Er zijn geen GDPR maatregelen voor klasse 5.

Beschikbaarheid

Er zijn geen GDPR specifieke maatregelen gedefinieerd in het kader van beschikbaarheid.

1.4.2.2.3. Minimale specifieke (NIS2) maatregelen

NIS2 is een Europese richtlijn bedoeld om de cyberbeveiliging en weerbaarheid van kritieke diensten in EU-lidstaten te verbeteren.
Alle minimale algemene maatregelen worden verplicht toegepast voor alle klassen (geen ‘leg uit’).

1.4.2.2.4. Minimale specifieke (KSZ) maatregelen

Volgens de Minimale Normen van de Kruispuntbank Sociale Zekerheid moeten volgende maatregelen toegepast worden in het kader van een risicoanalyse:

Beschikbaarheid, Integriteit & Vertrouwelijkheid

IC klasse

Minimale maatregelen

Klasse 1 t/m Klasse 5 kennen dezelfde maatregelen:

De organisatie moet bij elk proces en bij elk project een risico-beoordeling rond informatieveiligheid en privacy uitvoeren, valideren, communiceren en onderhouden (Ref. KSZ 5.2.2 a).
Alle risico-beoordelingen met een hoog residueel risico communiceren naar de directie voor bespreking en beslissing : behandelen of aanvaarden (Ref. KSZ 5.2.2 b).
De richtlijn rond risico-beoordeling toepassen zoals vermeld in bijlage C van de beleidslijn ‘Risico-beoordeling’ (Ref. KSZ 5.2.2 c):
- In de regel beslist de verwerkingsverantwoordelijke vrij over de procedure en methodologie die hij wenst te hanteren bij het inschatten en beheren van risico’s, op voorwaarde dat deze beantwoordt aan een aantal minimumkenmerken van betrouwbaarheid en objectiviteit. Zo moet het risicobeheer volgende elementen bevatten: Methodologisch onderbouwd, gestructureerd, op maat, begrijpelijk, voldoende genuanceerd. Met voldoende communicatie, consultatie, beheer en nazicht.
De controlemaatregelen afstemmen op de risico’s, waarbij rekening dient te worden gehouden met technische mogelijkheden en de kosten van de te nemen maatregelen (Ref. 5.5.1 f).
Elke organisatie moet een risico analyse in het begin van het project uitvoeren om de noodprocedures te definiëren. Deze moeten bevatten:
- De verwerking bij verminderde beschikbaarheid van informatiesystemen
- De beschrijving van alternatieve informatiesystemen met inbegrip van de uitrol, de exploitatie modaliteiten en de eventuele ontwikkeling van de noodsystemen
- De kerntaken en kernprocedures in geval van systeemonderbreking
- De taken, de sleutelrollen en de in te zetten middelen om tot een optimale beschikbaarheid te komen Ref. KSZ 5.11.9 f).
Een risico-beoordeling uitvoeren om de gepaste methode te bepalen voor het wissen van een informatiedrager (Ref. KSZ. 5.8.3 c).
Gebeurtenissen en zwakheden over informatieveiligheid of privacy die verband houden met informatie en informatiesystemen van de organisatie zodanig kenbaar maken dat de organisatie tijdig en adequaat corrigerende maatregelen kan nemen (Ref. KSZ 5.13.1 c).

informatieclassificatieraamwerk ICR 3.0