NIS2 ISO27001

 

NIS2 en ISO27001

NIS2. Vanaf 2024 krijgen meer organisaties te maken met de nieuwe Europese richtlijn NIS2 - Network and Information Systems. Een richtlijn op het gebied van cybersecurity. Organisaties die hier onder vallen zijn o.a. beheerders van ICT-diensten, digitale aanbieders, digitale infrastructuur, infrastructuur financiële markt, bankwezen, energie, overheidsdiensten, transport, levensmiddelen, afvalstoffenbeheer.
ISO27001. De internationale managementsysteem norm voor informatiebeveiliging is ISO27001. Werkt de organisatie al volgens ISO27001 of is zelfs gecertificeerd tegen ISO27001, dan geeft dat een grote voorsprong op NIS2.

 

Wat is NIS2

De NIS2-richtlijn (Network and Information Security 2, opvolger van NIS1) is vastgesteld door de Europese Unie om de cybersecurity en digitale weerbaarheid in EU-lidstaten te versterken. NIS2 gaat verder dan zijn voorganger: meer sectoren, strengere beveiligingsnormen en meldingsvereisten voor incidenten. Zorg- en meldplicht is een belangrijk element. Vanaf 2024 treedt deze richtlijn als wetgeving in werking.

 

Wat is ISO27001

ISO 27001 is een wereldwijd erkende norm op het gebied van informatiebeveiliging. De norm beschrijft hoe procesmatig met het beveiligen van informatie kan worden omgaan, met als doel om de vertrouwelijkheid, beschikbaarheid en integriteit van informatie binnen de eigen organisatie zeker te stellen. Deze ISO 27001 norm bevat een stelsel van beheersmaatregelen om de cybersecurity en privacybescherming naar een hoger niveau te brengen.

 

NIS2 en ISO27001 - overeenkomsten en verschillen

Is de IT-omgeving ingericht conform ISO27001 dan is er al een (heel) belangrijke stap gemaakt. Er is een informatiebeveiligingsbeleid, logische toegangbeveiliging is ingeregeld, medewerkers zijn bewust van informatiebeveiligingsrisico's, een proces voor incidentmanagement is geïmplementeerd etc. Er is zo al een voorsprong op de NIS2, helemaal als het ISO 27001 managementsysteem is gecertificeerd.
Wel zijn er enkele verschillen. Er is zorgplicht en meldplicht van significante cyberincidenten. Ook staat de organisatie onder toezicht van een bevoegde instantie.

 

ISMS voor ISO27001, praktisch voorbeeld

Ook al zet je een ISO 27001 managementsysteem als cloudoplossing in 60 sekonden klaar, stapsgewijs toewerken naar een geïmplementeerd en certificeerbaar ISMS vereist de noodzakelijke aandacht. Denk daarbij aan een control framework.
Hieronder een voorbeeld basisopzet van een ISMS - Information Security Management System. Voor de vereiste 'controls' (maatregelen) hebben weer onze business partner Meta-audit.nl met enkele overzichten en de verplichte documenten. (Voor hun digitale lijstje, klik dan hier.) Hun kennis is verwerkt in onderstaande demo-omgevingen.

 

 

Klik voor een impressie van het Metaware platform als ISMS op onderstaande video.

 

Demo systemen:

Log automatisch in bij één van de demo systemen en ervaar hoe het werkt:

ISO 27001 - Informatiebeveiliging 

BIO - Baseline Informatiebeveiliging Overheid

NEN 7510 - Informatiebeveiliging in de Zorg