Meer informatie of offerte aanvragen?
Wil je meer weten over de NIS2-wetgeving en/of het NIS2 – ISO 27001 implementatiepakket? Neem dan contact met ons op! Wil je direct aan de slag? Vraag een offerte aan!
Voordelen op een rij
Waarom NIS2 – ISO 27001 implementatie-pakket?
Wil je aan de slag met integratie van de NIS2 eisen in je organisatie? Wat je situatie ook is: wij adviseren en ondersteunen op maat. Het NIS2 – ISO 27001 implementatiepakket is, in overleg, op allerlei manieren in te richten voor jouw organisatie. De voordelen:
- Borg dat je tijdig voldoet aan de NIS2 eisen
- Ervaren adviseurs met jarenlange ervaring
- Praktisch toepasbare kennis
- Te integreren met het (reeds ingerichte) ISO 27001 systeem
- Op maat ingericht voor ieder type organisatie
Over de NIS2
De Network and Information Security Directive (NIS2 directive) is sinds 16 januari 2023 in werking getreden. De Nederlandse overheid is nog altijd druk bezig om deze EU-wetgeving door te vertalen naar nationale wetgeving (NIB2), die naar verwachting eind 2024 van kracht zal zijn (bij Nederlandse wet).
De NIB2-richtlijn is de opvolger van de NIS directive die in Nederland in 2016 is opgenomen in de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni). De NIS2 is vastgesteld door de Europese Unie en bedoeld om de cyberbeveiliging en de weerbaarheid van essentiële diensten in EU-lidstaten te verbeteren. De NIS2 vergroot de reikwijdte van de eerste richtlijn door meer sectoren te omvatten. Daarnaast stelt de richtlijn strengere beveiligingsnormen en meldingsvereisten voor incidenten.
Voor wie?
Is de NIS2 voor mijn organisatie relevant?
De NIS2 geldt straks voor o.a. banken, zorginstellingen, vervoerders, fabrieken die voedsel of andere belangrijke huishoudelijke artikelen maken en voor Managed Service Providers (msp’s). In principe vallen kleinere bedrijven niet onder de NIB2-wetgeving. De grens ligt op 10 miljoen aan jaarinkomsten of 50 medewerkers. Zie ook: De NIS2-richtlijn: wat is het en wat betekent het voor mijn organisatie?
Dat neemt echter niet weg, dat wanneer jouw organisatie niet onder de NIB2-verplichting valt, er wel degelijk risico’s zijn. Ook in dat geval is het verstandig om naar het (niveau van) cybersecurity te kijken. Ook kleinere organisaties lopen risico’s, zolang er geen maatregelen worden getroffen. Controleren of de NIS2 voor jouw organisatie geldt? Doe de scan van de overheid.
Quickscan NIS2
Onlangs, op 29 februari 2024, heeft de overheid de Quickscan NIS2 gelanceerd. 40 ja/nee vragen die je bewust maakt van de status van digitale weerbaarheid van je organisatie. Een handig hulpmiddel voor organisaties die willen weten hoe zij zich moeten voorbereiden op de komst van de NIS2.
Benodigde kennis
NIS2 – ISO 27001 implementatiepakket
Met het NIS2 – ISO 27001:2022 implementatiepakket integreer je de NIS2 verplichtingen in je managementsysteem conform ISO 27001. Ieder managementsysteem is echter anders. Het pakket biedt daarom kaders; mogelijk is, specifiek voor jouw situatie, niet alles in het pakket direct inzetbaar. Sommige zaken moeten op maat aan de omstandigheden van jouw organisatie worden aangepast. En zoals gezegd: mocht je dat willen, is het ook mogelijk om aan NIS2 te voldoen zonder ISO 27001 managementsysteem.
Om de wijzigingen door te kunnen voeren is het zaak dat:
- Er in de organisatie kennis is van de ISO 27001 en ISO 27002 norm;
- Er kennis is van de NIS2-richtlijn;
- En er kennis is van het eigen managementsysteem.
NIS2 implementatie
Stappenplan op hoofdlijnen
Wanneer je aan de slag gaat met NIS2 (implementatie), dan dien je op hoofdlijnen het volgende te doen:
- Maak een risicoanalyse, of NIS2 audit, van de fysieke en digitale dreigingen die de dienstverlening van jouw organisatie kunnen verstoren;
- Neem waar mogelijk maatregelen die jouw organisatie (beter) beschermen tegen deze risico’s;
- Zorg voor procedures die jouw organisatie in staat stellen om incidenten die bedrijfsprocessen (kunnen) verstoren te detecteren, monitoren, op te lossen en te melden.
NIS2 implementatie
Omgaan met de NIS 2 implementatie – wanneer je al een ISO 27001 managementsysteem hebt
- Naar verwachting voer je een analyse uit van wat je aanvullend zou moeten doen en bepaal je de wijze van uitvoeren door middel van een (mogelijk eerder uitgevoerd dan regulier gepland) geïntegreerde ISO-27001-NIS 2 risicoanalyse.
- Of de wijziging voor een reeds ISO 27001 gecertificeerde organisatie daarna veel of weinig impact heeft, hangt met name af van de wijze waarop je de ‘nieuwe’ NIS2 regels al naleefde.
Omgaan met de NIS2 implementatie – wanneer je nog geen ISO 27001 managementsysteem hebt
In dit geval start je met een regulier ISO 27001 implementatietraject, waarbij bij de zogenaamde nulmeting (ook wel Gap-analyse) niet alleen de reguliere ISO 27001 eis wordt meegenomen, maar ook die vanuit NIS2.
ISO 27001 als uitgangspunt
NIB2 zegt in feite niets anders, dan dat je op basis van een risicoanalyse van je organisatie de juiste maatregelen moet treffen om risico’s te mitigeren. Alle moderne wetgeving en branchegerichte informatiebeveiliging is geënt op en ligt direct in het verlengde van het gedachtegoed van ISO 27001. Doordat technische ontwikkelingen zo hard gaan, is een wetgever nooit in staat om de wetgeving in die snelheid mee te ontwikkelen. De wet zou dan snel achterhaald zijn.
Om die reden wordt dat – in wetgeving – allemaal omkleedt met taal als ’tref passende maatregelen’. Ofwel: voer een risicoanalyse, of NIS2 audit, uit en implementeer, met de juiste technische kennis, de juiste maatregelen. En dat is precies wat ISO 27001 ook wil. Als organisatie hoef je dus op dit moment niet na te denken over de NIB 2 richtlijn, ga liever aan de slag met ISO 27001, dan weet je zeker dat je de juiste stappen zet.
Gekoppelde normen
Een aantal normen zijn afhankelijk van of gekoppeld aan ISO 27001/ISO 27002, zoals de Baseline Informatiebeveiliging Overheid (BIO) en NEN 7510, de norm voor de zorg. Daarbij is de BIO voor alle organisaties interessant, omdat hiervoor de gezaghebbende organisatie IBD van de VNG reeds een voorzet heeft gedaan voor deze integratie, welke in dit NIS2 implementatiepakket ook wordt toegepast.
Integratie van NIS2
Concreet stappenplan
Het NIS2 – ISO 27001 implementatiepakket biedt documenten die onderstaand stappenplan ondersteunen:
- Voer een GAP- en risicoanalyse uit;
- Identificeer kennisbronnen welke de NIS2 maatregelen concreter maken met richtlijnen;
- Implementeer de geïdentificeerde maatregelen;
- Sta extra stil bij verdiepende analyses m.b.t. de leveranciersketen;
- Monitor de ontwikkelingen in de Nederlandse wetgeving, waaronder relevante CSIRT/autoriteit waar je bij aan dient te sluiten.
Deze specialisten helpen je graag
Onze informatiebeveiliging experts
Kom in contact met de partner in certificeren!
Aan de slag met de NIS2 – ISO 27001 implementatie?
Wil je meer weten over het NIS2 – ISO 27001 implementatiepakket en/of de bijbehorende kosten? Neem dan gerust contact met ons op of vraag vrijblijvend een offerte aan!