ISO-27001 Informatiebeveiliging in de organisatie.
Deze Norm is niet verplicht. Organisaties kunnen ervoor kiezen zelf de maatregelen te formuleren die zij invoeren t.b.v. informatiebeveiliging. De ISO 27001 is een internationale standaard voor een managementsysteem voor informatiebeveiliging. U werkt hierbij met een ISMS (Information Security Management System), waarmee u voldoet aan alle wet- en regelgeving rondom privacy. ISO-27001 certificering kan wel helpen bij het vergroten van het vertrouwen dat relaties in uw organisatie hebben. In bepaalde gevallen is certificering wel vereist, bijvoorbeeld bij inschrijven op Europese aanbestedingen. Een up-to-date ISMS is een weergave van waar de organisatie staat ten aanzien van informatiebeveiliging. Informatiebeveiliging (IB) is een doorlopend proces. Een veelgebruikte methode van werken aan IB is de PDCA-cyclus.
Voordelen voor de organisatie:
Verbeterde informatieveiligheid van assets en processen
Aantoonbaar voldoen aan wet- en regelgeving op het gebied van privacy.
Door informatiebeveiligingsrisico’s inzichtelijk te maken, waarborgt dat continuïteit.
Het ISMS geeft structuur en dwingt om kritisch na te denken over informatiebeveiligingsvraagstukken.
Het ISMS werkt met de PDCA-cyclus: Plan, Do, Check, Act.
Daarmee werkt de organisatie aan continue verbetering van informatiebeveiliging.
Voortdurend werken aan informatiebeveiliging vergroot de security awareness in uw organisatie
NEN7510 in de Zorg
De NEN7510
BIO voor gemeenten: Baseline Informatiebeveiliging Overheid. Het basisnormenkader voor informatiebeveiliging binnen alle overheidslagen: Rijk, gemeenten, provincies en waterschappen.
Eén normenkader: Het gebruik van één normenkader voor de gehele overheid biedt een aantal voordelen:
Het versterken van de informatieveiligheid door betere afstemming binnen ketens van overheden en andere partijen;
Administratieve lastenverlichting bij overheid en bedrijven, zowel afnemers als leveranciers, door uniforme beveiligingsnormen bij de overheid;
Aansluiting bij internationale regelgeving en standaarden;
Vermindering van onderhoudskosten.
Implementatie BIO
De BIO is in december 2018 vastgesteld door de Ministerraad voor de Rijksoverheid. Daarvoor was door de gemeenten, waterschappen en provincie al besloten tot invoering van de BIO: de implementatie is verplicht gesteld, BZK heeft bepaald dat in het digitale verkeer met het Rijk de BIO wordt gehanteerd. De overheden zijn in januari 2019 gestart met de BIO implementatie. Iedere level van de overheid heeft daarvoor zelf een implementatietraject opgesteld.
BIO en de ‘pas-toe-of-leg-uitlijst’: Informatiebeveiligingsstandaarden ISO 27001 en ISO 27002 zijn geplaatst op de ‘pas toe of leg uit’-lijst van het Forum Standaardisatie. Die lijst legt de verhouding tussen de ISO-standaard 27001 en 27002 met de BIO uit. De BIO is gebaseerd op de NEN-ISO/IEC 27001:2017 en de NEN-ISO/IEC 27002:2017. In oktober 2022 is de ISO-27001-2022 uitgekomen. In hoeverre men de BIO daarop aanpast wordt nog uitgezocht (red.). Op specifieke controls geeft de BIO een nadere invulling in de vorm van overheidsmaatregelen. De overheid heeft zich verplicht de BIO te implementeren.
NIS2: Network & Information Security richtlijn.
In mei 2022 is de Europese Commissie akkoord gegaan met de opvolger van de NIS, de NIS2.
In de NIS2 is de scope verruimd waarvoor deze richtlijn (directive) van toepassing is. Denk daarbij aan de Zorg, ICT en Infrastructuur.
Doel NIS2: versterken van de veerkracht van de kritische infrastructuur en digitale services tegen cyberdreigingen.
Essentials van NIS2:
Toepassingsgebied: NIS2 is van toepassing op een breed scala aan organisaties, waaronder exploitanten van essentiële diensten (zoals energie, transport, gezondheidszorg en financiële diensten) en digitale dienstverleners (zoals cloud computing, online marktplaatsen en zoekmachines).
Verplichtingen: NIS2 vereist dat organisaties een aantal cybersecuritymaatregelen implementeren, waaronder risicobeheer, incidentbeheer en beveiligingstests. Het verplicht organisaties ook bepaalde soorten veiligheidsincidenten te melden aan een aangewezen nationale autoriteit.
Risicobeheer: NIS2 vereist dat organisaties hun cybersecurityrisico’s beoordelen en beheren met behulp van een risicobeheerraamwerk. Dit omvat het identificeren van activa, bedreigingen en kwetsbaarheden, en het implementeren van passende beveiligingsmaatregelen om risico’s te beperken.
Incidentbeheer: NIS2 vereist dat organisaties incidentbeheerplannen hebben, inclusief procedures voor het detecteren, rapporteren en reageren op beveiligingsincidenten. Het vereist ook dat organisaties regelmatig beveiligingsoefeningen uitvoeren om hun capaciteiten op het gebied van incidentrespons te testen.
Beveiligingstests: NIS2 vereist dat organisaties regelmatig beveiligingstests uitvoeren, inclusief kwetsbaarheidsbeoordelingen en penetratietests, om beveiligingszwakheden in hun systemen te identificeren en te beperken.
Rapportage: NIS2 schrijft voor dat organisaties bepaalde soorten beveiligingsincidenten moeten melden aan een aangewezen nationale autoriteit. Hieronder vallen ook incidenten die grote impact hebben op de levering van essentiële diensten of digitale diensten.
Handhaving: NIS2 voorziet in handhavingsmaatregelen, waaronder boetes en andere straffen, voor organisaties die de regelgeving niet naleven.
Over het geheel genomen is NIS2 een belangrijke cyberbeveiligingsregelgeving die een aantal verplichtingen oplegt aan organisaties die essentiële diensten of digitale diensten exploiteren. Naleving van NIS2 kan de veerkracht van kritieke infrastructuur en digitale diensten tegen cyberdreigingen helpen verbeteren.