NIS2 verplichtingen

 

NIS2 verplichtingen en ISO27001

NIS2 verplichtingen. Vanaf 2024 krijgen meer organisaties te maken met de nieuwe Europese richtlijn NIS2 - Network and Information Systems. Een richtlijn op het gebied van cybersecurity. Organisaties die hier onder vallen zijn o.a. beheerders van ICT-diensten, digitale aanbieders, digitale infrastructuur, infrastructuur financiële markt, bankwezen, energie, overheidsdiensten, transport, levensmiddelen, afvalstoffenbeheer.
ISO27001. De internationale managementsysteem norm voor informatiebeveiliging is ISO27001 en overlappend met cybersecurity. Werkt de organisatie al volgens ISO27001 of is zelfs gecertificeerd tegen ISO27001, dan geeft dat een grote voorsprong op NIS2 zoals hieronder wordt getoond. Betekent wel dat een (werkend) ISMS - Information Security Management System aanwezig moet zijn.

 

Wat is NIS2

De NIS2-richtlijn (Network and Information Security 2, opvolger van NIS1) is vastgesteld door de Europese Unie om de cybersecurity en digitale weerbaarheid in EU-lidstaten te versterken. NIS2 gaat verder dan zijn voorganger: meer sectoren, strengere beveiligingsnormen en meldingsvereisten voor incidenten. Zorg- en meldplicht is een belangrijk element. Vanaf 2024 treedt deze richtlijn als wetgeving in werking.

 

Wat is ISO27001

ISO 27001 is een wereldwijd erkende norm op het gebied van informatiebeveiliging. De norm beschrijft hoe procesmatig met het beveiligen van informatie kan worden omgaan, met als doel om de vertrouwelijkheid, beschikbaarheid en integriteit van informatie binnen de eigen organisatie zeker te stellen. Deze ISO 27001 norm bevat een stelsel van beheersmaatregelen om de cybersecurity en privacybescherming naar een hoger niveau te brengen.

 

NIS2 en ISO27001 - overeenkomsten en verschillen

Is de IT-omgeving ingericht conform ISO27001 dan is er al een belangrijke stap gemaakt. Er is een informatiebeveiligingsbeleid, logische toegangbeveiliging is ingeregeld, medewerkers zijn bewust van informatiebeveiligingsrisico's, een proces voor incidentmanagement is geïmplementeerd etc. Er is zo al een voorsprong op de NIS2, helemaal als het ISO 27001 managementsysteem is gecertificeerd.
Wel zijn er enkele verschillen. Er is zorgplicht en meldplicht van significante cyberincidenten. Ook staat de organisatie onder toezicht van een bevoegde instantie.

 

NIS2 verplichtingen

De maatregelen die moeten worden genomen om aan de zorgplicht van NIS2 te voldoen:

 
  • Een risicoanalyse en beveiliging van informatiesystemen
  • (Beleid en procedures over) incidentenbehandeling
  • Maatregelen op het gebied van bedrijfscontinuïteit, zoals back-upbeheer en noodvoorzieningenplannen
  • Beveiliging van de toeleveranciersketen
  • Beveiliging bij het verwerken, ontwikkelen en onderhouden van netwerk- en informatiesystemen, inclusief de respons op en bekendmaking van kwetsbaarheden
  • Beleid en procedures om de effectiviteit van beheersmaatregelen van cyberbeveiligingsrisico’s te beoordelen
  • Basis cyberhygiëne en trainingen op het gebied van cyberbeveiliging
  • Beleid en procedures over het gebruik van cryptografie en encryptie
  • Beveiligingsaspecten op het gebied van personeel, toegangsbeleid en beheer van activa
  • Het gebruik van multifactor-authenticatie, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen binnen de entiteit

 

ISO27001 Annex A

Naast de risicoanalyse die een integraal onderdeel vormt van deze managementsysteem-norm, zijn een groot aantal aanvullende maatregelen van toepassing, de zogenaamde Annex A. Deze zijn veel meeromvattend dan de hierboven aangegeven NIS2 verplichtingen.

 
  •  5        Organisatorische maatregelen    
  •  5.1     Beleid voor informatiebeveiliging     
  •  5.2     Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging 
  •  5.3     Functiescheiding     
  •  5.4     Beheersverantwoordelijkheden      
  •  5.5     Contact met autoriteiten     
  •  5.6     Contact met speciale belangengroepen      
  •  5.7     Bedreigingsinformatie      
  •  5.8     Informatiebeveiliging in projectmanagement     
  •  5.9     Inventarisatie van informatie en andere bijbehorende assets      
  •  5.10   Aanvaardbaar gebruik van informatie en andere bijbehorende assets     
  •  5.11   Teruggave van assets     
  •  5.12   Classificatie van informatie      
  •  5.13   Labellen van informatie     
  •  5.14   Informatieoverdracht     
  •  5.15   Toegangsbeveiliging     
  •  5.16   Identiteitsbeheer      
  •  5.17   Authenticatie-informatie      
  •  5.18   Toegangsrechten      
  •  5.19   Informatiebeveiliging in leveranciersrelaties      
  •  5.20   Aanpak informatiebeveiliging binnen leveranciersovereenkomsten      
  •  5.21   Beheer van informatiebeveiliging in de ICT-toeleveringsketen     
  •  5.22   Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten      
  •  5.23   Informatiebeveiliging bij het gebruik van cloud diensten      
  •  5.24   Planning en voorbereiding van informatiebeveiligingsincidenten      
  •  5.25   Beoordeling en besluit over informatiebeveiligingsgebeurtenissen     
  •  5.26   Reactie op informatiebeveiligingsincidenten     
  •  5.27   Leren van informatiebeveiligingsincidenten     
  •  5.28   Verzameling van bewijs      
  •  5.29   Informatiebeveiliging tijdens verstoring      
  •  5.30   ICT-gereedheid voor bedrijfscontinuïteit     
  •  5.31   Identificatie van wettelijke, statutaire, regelgevende en contractuele vereisten      
  •  5.32   Intellectuele eigendomsrechten     
  •  5.33   Gegevensbescherming     
  •  5.34   Privacy en bescherming van PII      
  •  5.35   Onafhankelijke beoordeling van informatiebeveiliging     
  •  5.36   Naleving van beleidslijnen en normen voor informatiebeveiliging      
  •  5.37   Gedocumenteerde bedieningsprocedures     
           
  •  6.       Maatregelen tav mensen     
  •  6.1     Screening      
  •  6.2     Arbeidsvoorwaarden     
  •  6.3     Bewustwording, opleiding en training op het gebied van informatiebeveiliging     
  •  6.4     Disciplinair proces      
  •  6.5     Verantwoordelijkheden na beëindiging of verandering van dienstverband     
  •  6.6     Geheimhoudings- of geheimhoudingsovereenkomsten     
  •  6.7     Werken op afstand      
  •  6.8     Rapportage van informatiebeveiligingsgebeurtenissen     
           
  •  7.       Fysieke maatregelen      
  •  7.1     Fysieke beveiligingszone     
  •  7.2     Fysieke toegangscontroles      
  •  7.3     Beveiligen van kantoren, kamers en faciliteiten      
  •  7.4     Fysieke beveiligingsmonitoring      
  •  7.5     Bescherming tegen fysieke en omgevingsbedreigingen     
  •  7.6     Werken in beveiligde ruimtes     
  •  7.7     Clear desk, clear screen     
  •  7.8     Plaatsing en bescherming van de uitrusting      
  •  7.9     Beveiliging van assets buiten de bedrijfsruimten     
  •  7.10   Opslagmedia      
  •  7.11   Ondersteunende systemen     
  •  7.12   Bekabelingbeveiliging      
  •  7.13   Onderhoud van de apparatuur      
  •  7.14   Veilige verwijdering of hergebruik van apparatuur     
           
  •  8.       Technische maatregelen     
  •  8.1     Eindgebruikers apparatuur      
  •  8.2     Speciale toegangsrechten     
  •  8.3     Beperking van toegang tot informatie      
  •  8.4     Toegang tot broncode     
  •  8.5     Beveiligde authenticatie      
  •  8.6     Capaciteitsbeheer      
  •  8.7     Bescherming tegen malware      
  •  8.8     Beheer van technische kwetsbaarheden      
  •  8.9     Configuratiebeheer      
  •  8.10   Informatie verwijderen     
  •  8.11   Gegevensmaskering      
  •  8.12   Preventie van datalekken     
  •  8.13   Informatie back-up      
  •  8.14   Redundantie van informatieverwerkingsfaciliteiten      
  •  8.15   Loggen      
  •  8.16   Bewaking van activiteiten     
  •  8.17   Kloksynchronisatie     
  •  8.18   Gebruik van geprivilegieerde hulpprogramma's      
  •  8.19   Installatie van software op operationele systemen      
  •  8.20   Netwerkbediening     
  •  8.21   Beveiliging van netwerkdiensten      
  •  8.22   Segregatie in netwerken     
  •  8.23   Webfiltering      
  •  8.24   Gebruik van cryptografie      
  •  8.25   Veilige ontwikkelingslevenscyclus      
  •  8.26   Beveiligingsvereisten voor toepassingen     
  •  8.27   Veilige systeemarchitectuur en engineeringprincipes     
  •  8.28   Veilig programmeren      
  •  8.29   Beveiligingstesten in ontwikkeling en acceptatie      
  •  8.30   Uitbestede ontwikkeling     
  •  8.31   Scheiding van ontwikkel-, test- en productieomgevingen      
  •  8.32   Wijzigingsbeheer      
  •  8.33   Testinformatie      
  •  8.34   Bescherming van informatiesystemen tijdens audit en testen     

 

ISMS voor ISO27001, praktisch voorbeeld

Ook al zet je een ISO 27001 managementsysteem als cloudoplossing in 60 sekonden klaar, stapsgewijs toewerken naar een geïmplementeerd en certificeerbaar ISMS vereist de noodzakelijke aandacht. Hieronder een voorbeeld basisopzet van een ISMS - Information Security Management System. Voor de vereiste 'controls' (maatregelen) hebben weer onze business partner Meta-audit.nl met enkele overzichten en de verplichte documenten. (Voor hun digitale lijstje of starterspakket, klik dan hier.) Hun kennis is verwerkt in onderstaande demo-omgevingen. 'Beter goed geleend dan slecht bedacht' .... :=)
 

 

 

Klik voor een impressie van het Metaware platform als ISMS op onderstaande video.

 

Demo systemen:

Log automatisch in bij één van de demo systemen en ervaar hoe het werkt:

ISO 27001 - Informatiebeveiliging 

BIO - Baseline Informatiebeveiliging Overheid

NEN 7510 - Informatiebeveiliging in de Zorg