NIS2 verplichtingen en ISO27001

NIS2 verplichtingen. De NI S2-richtlijn is de aangescherpte Europese wetgeving die organisaties verplicht hun digitale weerbaarheid structureel te verbeteren.
Met name bedrijven in essentiële en belangrijke sectoren krijgen te maken met uitgebreide NIS2 verplichtingen die verder gaan dan traditionele beveiligingsmaatregelen. Deze richtlijn richt zich niet alleen op techniek, maar vooral op governance, risicobeheer en bestuurlijke verantwoordelijkheid. Organisaties moeten aantoonbaar grip hebben op cyberrisico’s, incidenten snel melden en passende beveiligingsmaatregelen implementeren. De NIS2 verplichtingen omvatten onder andere continue monitoring, supply chain security en strengere rapportage-eisen richting toezichthouders.

Dit vraagt om een gestructureerde en herhaalbare aanpak die verder gaat dan losse maatregelen. Hier komt ISO/IEC 27001 nadrukkelijk in beeld als bewezen fundament voor compliance. ISO 27001 biedt een integraal managementsysteem waarmee organisaties risico’s systematisch identificeren, beheersen en verbeteren. De sterke overlap tussen ISO 27001 en de NIS2 verplichtingen maakt het mogelijk om bestaande controls efficiënt te hergebruiken. Hierdoor kunnen organisaties sneller voldoen aan wetgeving zonder dubbele inspanningen of versnipperde processen. Bovendien zorgt een ISMS gebaseerd op ISO 27001 voor aantoonbaarheid, wat cruciaal is richting toezichthouders en stakeholders.

Kortom, organisaties die ISO 27001 strategisch inzetten, transformeren NIS2 van een compliance-uitdaging naar een kans om hun digitale weerbaarheid en marktpositie structureel te versterken.

Wat is NIS2

De NIS2-richtlijn (Network and Information Security 2, opvolger van NIS1) is vastgesteld door de Europese Unie om de cybersecurity en digitale weerbaarheid in EU-lidstaten te versterken. NIS2 gaat verder dan zijn voorganger: meer sectoren, strengere beveiligingsnormen en meldingsvereisten voor incidenten. Zorg- en meldplicht is een belangrijk element. Vanaf 2024 treedt deze richtlijn als wetgeving in werking.

Wat is ISO27001

ISO 27001 is een wereldwijd erkende norm op het gebied van informatiebeveiliging. De norm beschrijft hoe procesmatig met het beveiligen van informatie kan worden omgaan, met als doel om de vertrouwelijkheid, beschikbaarheid en integriteit van informatie binnen de eigen organisatie zeker te stellen. Deze ISO 27001 norm bevat een stelsel van beheersmaatregelen om de cybersecurity en privacybescherming naar een hoger niveau te brengen.

NIS2 en ISO27001 - overeenkomsten en verschillen

Is de IT-omgeving ingericht conform ISO27001 dan is er al een belangrijke stap gemaakt. Er is een informatiebeveiligingsbeleid, logische toegangbeveiliging is ingeregeld, medewerkers zijn bewust van informatiebeveiligingsrisico's, een proces voor incidentmanagement is geïmplementeerd etc. Er is zo al een voorsprong op de NIS2, helemaal als het ISO 27001 managementsysteem is gecertificeerd.
Wel zijn er enkele verschillen. Er is zorgplicht en meldplicht van significante cyberincidenten. Ook staat de organisatie onder toezicht van een bevoegde instantie.

NIS2 verplichtingen

De maatregelen die moeten worden genomen om aan de zorgplicht van NIS2 te voldoen:

Een risicoanalyse en beveiliging van informatiesystemen
(Beleid en procedures over) incidentenbehandeling
Maatregelen op het gebied van bedrijfscontinuïteit, zoals back-upbeheer en noodvoorzieningenplannen
Beveiliging van de toeleveranciersketen
Beveiliging bij het verwerken, ontwikkelen en onderhouden van netwerk- en informatiesystemen, inclusief de respons op en bekendmaking van kwetsbaarheden
Beleid en procedures om de effectiviteit van beheersmaatregelen van cyberbeveiligingsrisico’s te beoordelen
Basis cyberhygiëne en trainingen op het gebied van cyberbeveiliging
Beleid en procedures over het gebruik van cryptografie en encryptie
Beveiligingsaspecten op het gebied van personeel, toegangsbeleid en beheer van activa
Het gebruik van multifactor-authenticatie, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen binnen de entiteit

ISO27001 Annex A

Naast de risicoanalyse die een integraal onderdeel vormt van deze managementsysteem-norm, zijn een groot aantal aanvullende maatregelen van toepassing, de zogenaamde Annex A. Deze zijn veel meeromvattend dan de hierboven aangegeven NIS2 verplichtingen.

5 Organisatorische maatregelen

5.1 Beleid voor informatiebeveiliging

5.2 Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging

5.3 Functiescheiding

5.4 Beheersverantwoordelijkheden

5.5 Contact met autoriteiten

5.6 Contact met speciale belangengroepen

5.7 Bedreigingsinformatie

5.8 Informatiebeveiliging in projectmanagement

5.9 Inventarisatie van informatie en andere bijbehorende assets

5.10 Aanvaardbaar gebruik van informatie en andere bijbehorende assets

5.11 Teruggave van assets

5.12 Classificatie van informatie

5.13 Labellen van informatie

5.14 Informatieoverdracht

5.15 Toegangsbeveiliging

5.16 Identiteitsbeheer

5.17 Authenticatie-informatie

5.18 Toegangsrechten

5.19 Informatiebeveiliging in leveranciersrelaties

5.20 Aanpak informatiebeveiliging binnen leveranciersovereenkomsten

5.21 Beheer van informatiebeveiliging in de ICT-toeleveringsketen

5.22 Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten

5.23 Informatiebeveiliging bij het gebruik van cloud diensten

5.24 Planning en voorbereiding van informatiebeveiligingsincidenten

5.25 Beoordeling en besluit over informatiebeveiligingsgebeurtenissen

5.26 Reactie op informatiebeveiligingsincidenten

5.27 Leren van informatiebeveiligingsincidenten

5.28 Verzameling van bewijs

5.29 Informatiebeveiliging tijdens verstoring

5.30 ICT-gereedheid voor bedrijfscontinuïteit

5.31 Identificatie van wettelijke, statutaire, regelgevende en contractuele vereisten

5.32 Intellectuele eigendomsrechten

5.33 Gegevensbescherming

5.34 Privacy en bescherming van PII

5.35 Onafhankelijke beoordeling van informatiebeveiliging

5.36 Naleving van beleidslijnen en normen voor informatiebeveiliging

5.37 Gedocumenteerde bedieningsprocedures

6. Maatregelen tav mensen

6.1 Screening

6.2 Arbeidsvoorwaarden

6.3 Bewustwording, opleiding en training op het gebied van informatiebeveiliging

6.4 Disciplinair proces

6.5 Verantwoordelijkheden na beëindiging of verandering van dienstverband

6.6 Geheimhoudings- of geheimhoudingsovereenkomsten

6.7 Werken op afstand

6.8 Rapportage van informatiebeveiligingsgebeurtenissen

7. Fysieke maatregelen

7.1 Fysieke beveiligingszone

7.2 Fysieke toegangscontroles

7.3 Beveiligen van kantoren, kamers en faciliteiten

7.4 Fysieke beveiligingsmonitoring

7.5 Bescherming tegen fysieke en omgevingsbedreigingen

7.6 Werken in beveiligde ruimtes

7.7 Clear desk, clear screen

7.8 Plaatsing en bescherming van de uitrusting

7.9 Beveiliging van assets buiten de bedrijfsruimten

7.10 Opslagmedia

7.11 Ondersteunende systemen

7.12 Bekabelingbeveiliging

7.13 Onderhoud van de apparatuur

7.14 Veilige verwijdering of hergebruik van apparatuur

8. Technische maatregelen

8.1 Eindgebruikers apparatuur

8.2 Speciale toegangsrechten

8.3 Beperking van toegang tot informatie

8.4 Toegang tot broncode

8.5 Beveiligde authenticatie

8.6 Capaciteitsbeheer

8.7 Bescherming tegen malware

8.8 Beheer van technische kwetsbaarheden

8.9 Configuratiebeheer

8.10 Informatie verwijderen

8.11 Gegevensmaskering

8.12 Preventie van datalekken

8.13 Informatie back-up

8.14 Redundantie van informatieverwerkingsfaciliteiten

8.15 Loggen

8.16 Bewaking van activiteiten

8.17 Kloksynchronisatie

8.18 Gebruik van geprivilegieerde hulpprogramma's

8.19 Installatie van software op operationele systemen

8.20 Netwerkbediening

8.21 Beveiliging van netwerkdiensten

8.22 Segregatie in netwerken

8.23 Webfiltering

8.24 Gebruik van cryptografie

8.25 Veilige ontwikkelingslevenscyclus

8.26 Beveiligingsvereisten voor toepassingen

8.27 Veilige systeemarchitectuur en engineeringprincipes

8.28 Veilig programmeren

8.29 Beveiligingstesten in ontwikkeling en acceptatie

8.30 Uitbestede ontwikkeling

8.31 Scheiding van ontwikkel-, test- en productieomgevingen

8.32 Wijzigingsbeheer

8.33 Testinformatie

8.34 Bescherming van informatiesystemen tijdens audit en testen

ISMS voor ISO27001, praktisch voorbeeld

Ook al zet je een ISO 27001 managementsysteem als cloudoplossing in 60 sekonden klaar, stapsgewijs toewerken naar een geïmplementeerd en certificeerbaar ISMS vereist de noodzakelijke aandacht. Hieronder een voorbeeld basisopzet van een ISMS - Information Security Management System. Voor de vereiste 'controls' (maatregelen) hebben weer onze business partner Meta-audit.nl met enkele overzichten en de verplichte documenten. (Voor hun digitale lijstje of starterspakket, klik dan hier.) Hun kennis is verwerkt in onderstaande demo-omgevingen. 'Beter goed geleend dan slecht bedacht' .... :=)

Klik voor een impressie van het Metaware platform als ISMS op onderstaande video.

Demo systemen:

Log automatisch in bij één van de demo systemen en ervaar hoe het werkt:

ISO 27001 - Informatiebeveiliging

BIO - Baseline Informatiebeveiliging Overheid

NEN 7510 - Informatiebeveiliging in de Zorg

Start nu je gratis proefperiode

Wij hebben geen 'glimmende folders'. Ga meteen zelf achter de knoppen zitten en ervaar het gemak, overzicht en de productiviteitsverbetering.
Wij helpen je online en verrijken je met de ervaring en 'best practices' van andere gebruikers.

Start Nu