Mapping NIS2 en ISO 27002:2022 / BIO

NIS2 – ISO 27001 implementatie-pakket

Met dit NIS2 – ISO 27001 implementatiepakket integreer je de NIS2 verplichtingen in je managementsysteem conform ISO 27001. Zo voldoe je tijdig aan de eisen van de NIS2 wetgeving, die in Nederland bekend zal zijn als de NIB2-wetgeving, die naar verwachting eind 2024 van kracht wordt.

Hoe zorg je dat je tijdig aan de eisen voldoet? Welke stappen moet je ondernemen? Het NIS2 – ISO 27001 implementatiepakket van CertificeringsAdvies Nederland (CAN) vormt een uitstekende basis om de NIS2 in je organisatie te implementeren. Mocht daar aanleiding voor zijn, is het ook mogelijk om aan NIS2 te voldoen, zonder inrichting van een ISO 27001 managementsysteem. 

NIS2 - ISO 27001 implementatiepakket
Laptop werken bij CertificeringsAdvies Nederland

Meer informatie of offerte aanvragen?

Wil je meer weten over de NIS2-wetgeving en/of het NIS2 – ISO 27001 implementatiepakket? Neem dan contact met ons op! Wil je direct aan de slag? Vraag een offerte aan!

Voordelen op een rij

Waarom NIS2 – ISO 27001 implementatie-pakket?

Wil je aan de slag met integratie van de NIS2 eisen in je organisatie? Wat je situatie ook is: wij adviseren en ondersteunen op maat. Het NIS2 – ISO 27001 implementatiepakket is, in overleg, op allerlei manieren in te richten voor jouw organisatie. De voordelen:

  • Borg dat je tijdig voldoet aan de NIS2 eisen
  • Ervaren adviseurs met jarenlange ervaring
  • Praktisch toepasbare kennis
  • Te integreren met het (reeds ingerichte) ISO 27001 systeem
  • Op maat ingericht voor ieder type organisatie
NIS2-Directive

Over de NIS2

De Network and Information Security Directive (NIS2 directive) is sinds 16 januari 2023 in werking getreden. De Nederlandse overheid is nog altijd druk bezig om deze EU-wetgeving door te vertalen naar nationale wetgeving (NIB2), die naar verwachting eind 2024 van kracht zal zijn (bij Nederlandse wet).

De NIB2-richtlijn is de opvolger van de NIS directive die in Nederland in 2016 is opgenomen in de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni). De NIS2 is vastgesteld door de Europese Unie en bedoeld om de cyberbeveiliging en de weerbaarheid van essentiële diensten in EU-lidstaten te verbeteren. De NIS2 vergroot de reikwijdte van de eerste richtlijn door meer sectoren te omvatten. Daarnaast stelt de richtlijn strengere beveiligingsnormen en meldingsvereisten voor incidenten.

Voor wie?

Is de NIS2 voor mijn organisatie relevant?

De NIS2 geldt straks voor o.a. banken, zorginstellingen, vervoerders, fabrieken die voedsel of andere belangrijke huishoudelijke artikelen maken en voor Managed Service Providers (msp’s). In principe vallen kleinere bedrijven niet onder de NIB2-wetgeving. De grens ligt op 10 miljoen aan jaarinkomsten of 50 medewerkers. Zie ook: De NIB2-richtlijn: wat is het en wat betekent het voor mijn organisatie?

Dat neemt echter niet weg, dat wanneer jouw organisatie niet onder de NIB2-verplichting valt, er wel degelijk risico’s zijn. Ook in dat geval is het verstandig om naar het (niveau van) cybersecurity te kijken. Ook kleinere organisaties lopen risico’s, zolang er geen maatregelen worden getroffen. Controleren of de NIS2 voor jouw organisatie geldt? Doe de scan van de overheid.

Thumbnail NIS 2 video

Benodigde kennis

NIS2 – ISO 27001 implementatiepakket

Met het NIS2 – ISO 27001:2022 implementatiepakket integreer je de NIS2 verplichtingen in je managementsysteem conform ISO 27001. Ieder managementsysteem is echter anders. Het pakket biedt daarom kaders; mogelijk is, specifiek voor jouw situatie, niet alles in het pakket direct inzetbaar. Sommige zaken moeten op maat aan de omstandigheden van jouw organisatie worden aangepast. En zoals gezegd: mocht je dat willen, is het ook mogelijk om aan NIS2 te voldoen zonder ISO 27001 managementsysteem.

Om de wijzigingen door te kunnen voeren is het zaak dat:

  • Er in de organisatie kennis is van de ISO 27001 en ISO 27002 norm;
  • Er kennis is van de NIS2-richtlijn;
  • En er kennis is van het eigen managementsysteem.
ISO 27001:2022
Risicoanalyse informatiebeveiliging

Wat te doen?

Stappenplan op hoofdlijnen

Wanneer je aan de slag gaat met NIS2 (implementatie), dan dien je op hoofdlijnen het volgende te doen:

  1. Maak een risicoanalyse van de fysieke en digitale dreigingen die de dienstverlening van jouw organisatie kunnen verstoren;
  2. Neem waar mogelijk maatregelen die jouw organisatie (beter) beschermen tegen deze risico’s;
  3. Zorg voor procedures die jouw organisatie in staat stellen om incidenten die bedrijfsprocessen (kunnen) verstoren te detecteren, monitoren, op te lossen en te melden.

De implementatie van de NIS2

Omgaan met de implementatie – wanneer je al een ISO 27001 managementsysteem hebt

  • Naar verwachting voer je een analyse uit van wat je aanvullend zou moeten doen en bepaal je de wijze van uitvoeren door middel van een (mogelijk eerder uitgevoerd dan regulier gepland) geïntegreerde ISO-27001-NIS 2 risicoanalyse.
  • Of de wijziging voor een reeds ISO 27001 gecertificeerde organisatie daarna veel of weinig impact heeft, hangt met name af van de wijze waarop je de ‘nieuwe’ NIS2 regels al naleefde.

Omgaan met de implementatie – wanneer je nog geen ISO 27001 managementsysteem hebt

In dit geval start je met een regulier ISO 27001 implementatietraject, waarbij bij de zogenaamde nulmeting (ook wel Gap-analyse) niet alleen de reguliere ISO 27001 eis wordt meegenomen, maar ook die vanuit NIS2.

ISO 27001 als uitgangspunt

NIB2 zegt in feite niets anders, dan dat je op basis van een risicoanalyse van je organisatie de juiste maatregelen moet treffen om risico’s te mitigeren. Alle moderne wetgeving en branchegerichte informatiebeveiliging is geënt op en ligt direct in het verlengde van het gedachtegoed van ISO 27001. Doordat technische ontwikkelingen zo hard gaan, is een wetgever nooit in staat om de wetgeving in die snelheid mee te ontwikkelen. De wet zou dan snel achterhaald zijn.

Om die reden wordt dat – in wetgeving – allemaal omkleedt met taal als ’tref passende maatregelen’. Ofwel: voer een risicoanalyse uit en implementeer, met de juiste technische kennis, de juiste maatregelen. En dat is precies wat ISO 27001 ook wil. Als organisatie hoef je dus op dit moment niet na te denken over de NIB 2 richtlijn, ga liever aan de slag met ISO 27001, dan weet je zeker dat je de juiste stappen zet.

Gekoppelde normen

Een aantal normen zijn afhankelijk van of gekoppeld aan ISO 27001/ISO 27002, zoals de Baseline Informatiebeveiliging Overheid (BIO) en NEN 7510, de norm voor de zorg. Daarbij is de BIO voor alle organisaties interessant, omdat hiervoor de gezaghebbende organisatie IBD van de VNG reeds een voorzet heeft gedaan voor deze integratie, welke in dit NIS2 implementatiepakket ook wordt toegepast. 

iso 27001 stappenplan

Integratie van NIS2

Concreet stappenplan

Het NIS2 – ISO 27001 implementatiepakket biedt documenten die onderstaand stappenplan ondersteunen:

  1. Voer een GAP- en risicoanalyse uit;
  2. Identificeer kennisbronnen welke de NIS2 maatregelen concreter maken met richtlijnen;
  3. Implementeer de geïdentificeerde maatregelen;
  4. Sta extra stil bij verdiepende analyses m.b.t. de leveranciersketen;
  5. Monitor de ontwikkelingen in de Nederlandse wetgeving, waaronder relevante CSIRT/autoriteit waar je bij aan dient te sluiten.

Kom in contact met de partner in certificeren!

Aan de slag met de NIS2 – ISO 27001 implementatie?

Wil je meer weten over het NIS2 – ISO 27001 implementatiepakket en/of de bijbehorende kosten? Neem dan gerust contact met ons op of vraag vrijblijvend een offerte aan!