Leestijd: 9 minuten

NIS2 stappenplan voor NIS2 en ISO 27001 mapping

Met behulp van dit NIS2 stappenplan map je ISO 27001 en NIS2. Daarnaast vertellen we in dit artikel wat de verschillen en overeenkomsten zijn tussen beide kaders.

NIS2-ISO 27001 mapping
Nelis van de Pol
Nelis van de Pol
Algemeen Directeur

Nelis van de Pol is directeur bij CertificeringsAdvies Nederland. 'Na jaren als ondernemer te hebben gewerkt, heb ik CertificeringsAdvies Nederland opgezet. Jouw partner, in certificeren!'

nelis@certificeringsadvies.nl

In de wereld van informatiebeveiliging zijn organisaties continu bezig om zich te beschermen tegen de groeiende dreigingen van cybercriminaliteit. Er zijn twee belangrijke kaders die daarin een cruciale rol kunnen spelen: dit zijn de internationale norm voor informatiebeveiliging ISO 27001 en de Europese richtlijn NIS2 Directive (Network and Information Security directive). Beide kaders zijn gericht op het versterken van de beveiliging van informatie- en netwerksystemen, hebben verschillende uitgangspunten en vullen elkaar op verschillende gebieden aan. In dit artikel verkennen we hoe de NIS2 Directive, die in Nederland bekend zal zijn als NIB2-richtlijn, aansluit op de ISO 27001-standaard, wat de implicaties hiervan zijn voor organisaties en welk stappenplan doorlopen kan worden om de NIS2-richtlijn te integreren met een bestaand ISMS (Information Security Management System) op basis van de ISO 27001 norm.

Wat is NIS2?

De NIS2-richtlijn is de opvolger van de oorspronkelijke NIS-richtlijn die in 2016 werd ingevoerd. NIS2 werd in 2022 goedgekeurd door de Europese Unie en heeft als doel om de weerbaarheid van kritieke infrastructuren tegen cyberdreigingen te verhogen. De richtlijn legt strengere eisen op aan een bredere groep organisaties in sectoren zoals energie, gezondheidszorg, transport, digitale infrastructuur, en financiën.

Belangrijke elementen van NIS2 zijn onder meer:

  • Breder toepassingsgebied: Meer organisaties vallen nu onder de richtlijn, waaronder middelgrote en grote ondernemingen in kritieke sectoren.
  • Versterkte ‘governance’: Meer nadruk op cybersecurity op bestuursniveau, met duidelijke verantwoordelijkheden voor directies.
  • Meldingsplicht: Organisaties moeten ernstige cyberincidenten tijdig rapporteren aan nationale autoriteiten.
  • Sancties: Niet-naleving van de richtlijn kan leiden tot aanzienlijke boetes en andere sancties.

Wat is ISO 27001?

ISO 27001 is een wereldwijd erkende norm voor informatiebeveiliging die organisaties helpt bij het beheren van de beveiliging van hun informatie-activa. Het framework richt zich op het opzetten, implementeren, onderhouden en continu verbeteren van een Information Security Management System (ISMS).

De belangrijkste elementen van ISO 27001 zijn:

  • Risico-gebaseerde aanpak: Organisaties identificeren en beheren risico’s gerelateerd aan informatiebeveiliging.
  • Beleidsontwikkeling en -implementatie: ISO 27001 stelt eisen aan het ontwikkelen en implementeren van beleid voor beveiliging, communicatie, incidentmanagement, enz.
  • Audits en certificering: De norm vereist regelmatige interne audits en biedt de mogelijkheid om gecertificeerd te worden door externe auditors.

Wat is het verschil tussen NIS2 en ISO 27001?

NIS2 vs. ISO 27001: wat is het verschil? Hoewel beide kaders verschillende uitgangspunten hebben, hebben ze één gemeenschappelijk doel: het verbeteren van de beveiliging van digitale infrastructuren en informatiesystemen. Laten we daar eens verder naar kijken: wat is het verschil tussen NIS2 en ISO 27001?

Toepassingsgebied:

  • ISO 27001 is toepasbaar op alle organisaties, ongeacht de sector of grootte, en kan ‘vrijwillig’ worden geïmplementeerd. Het biedt flexibiliteit, omdat organisaties zelf de omvang van hun ISMS kunnen bepalen.
  • NIS2 is een verplichte richtlijn voor specifieke sectoren die als cruciaal worden beschouwd voor de economie en de samenleving, zoals energie, transport en gezondheid. Het is bindend voor alle middelgrote en grote bedrijven in deze sectoren binnen de EU. Daarnaast gaan dit soort partijen ook weer allerlei eisen in relatie tot de NIS2 verplichting neerleggen bij hun (toe)leveranciers.

Compliance en Certificering:

  • ISO 27001 leidt tot een formele certificering wanneer een organisatie voldoet aan de norm(eisen) en is regelmatig onderhevig aan audits door onafhankelijke instanties.
  • NIS2 vereist geen formele certificering, maar eist wel dat organisaties kunnen aantonen dat ze voldoen aan de richtlijn. Dit gebeurt door middel van audits, inspecties en rapportages aan toezichthoudende autoriteiten.

Security Officer as a Service

De implementatie van een wet zoals NIS2 en/of implementatie en onderhoud van een ISMS in relatie tot ISO 27001, vraagt om capaciteit binnen je organisatie. Heb je niet de juiste mensen in huis en/of geen capaciteit beschikbaar? Denk dan eens aan outsourcing waarbij een adviseur periodiek bij je in huis werkt om alles op de rit te krijgen en/of te onderhouden. Met ons Security Officer as a Service programma bieden we je hulp op maat!

Risicomanagement:

  • ISO 27001 hanteert een risico-gebaseerde benadering, waarbij organisaties zelf risico’s inventariseren en beheersen op basis van hun specifieke bedrijfsomgeving.
  • NIS2 legt ook veel nadruk op risicomanagement, maar stelt daarnaast specifieke beveiligingseisen vast, zoals incidentmanagement, crisisbeheer en continuïteitsplanning.

Meldingsplicht en incidentrespons:

  • Een belangrijk onderscheid is de meldingsplicht bij incidenten. NIS2 vereist dat ernstige cyberincidenten binnen een bepaalde tijd aan de bevoegde autoriteiten worden gemeld. Dit is een direct gevolg van de richtlijn, die erop gericht is om incidenten op EU-niveau gecoördineerd te beheren.
  • ISO 27001 vereist dat organisaties een proces voor incidentbeheer hebben, maar legt geen meldingsplicht op aan externe partijen, tenzij dit contractueel of wettelijk verplicht is.

NIS2 vs. ISO 27001: hoe vullen ze elkaar aan?

NIS2 vs. ISO 27001: hoe verhouden ze zich tot elkaar? Organisaties die al ISO 27001-gecertificeerd zijn, hebben een sterke basis voor het voldoen aan de NIS2 eisen. De overlap in vereisten maakt het eenvoudiger om de richtlijn te integreren in bestaande beveiligingspraktijken. Hier zijn enkele manieren waarop NIS2 en ISO 27001 elkaar aanvullen:

  • ‘Governance’ en verantwoordelijkheid: NIS2 benadrukt dat het management rechtstreeks verantwoordelijk is voor cybersecurity. ISO 27001 vereist op zijn beurt betrokkenheid van de directie bij het ISMS, waardoor het eenvoudiger is om deze governance-eisen te integreren.
  • Risicomanagementprocessen: Beide kaders vereisen een robuust risicomanagementproces. Organisaties die voldoen aan ISO 27001 hebben al procedures voor het identificeren, beoordelen en beheren van risico’s. Dit kan eenvoudig worden uitgebreid om te voldoen aan de NIS2-specifieke eisen.
  • Incidentmanagement en rapportage: ISO 27001 helpt bij het opzetten van een sterk incidentresponsproces. Dit kan worden uitgebreid met de meldingsvereisten van NIS2, wat betekent dat organisaties niet vanaf nul hoeven te beginnen bij het opstellen van procedures voor incidentmelding.

Ben je NIS2 compliant met ISO 27001?

Een veelgestelde vraag: ben je NIS2 compliant met ISO 27001? In de basis is het antwoord op die vraag nee. Waar ISO 27001 een flexibele en risico-gebaseerde aanpak biedt, legt NIS2 striktere wettelijke eisen op voor specifieke sectoren. Voor organisaties die ISO 27001 al hebben geïmplementeerd, biedt dit wel een stevige basis om NIS2-compliance te realiseren zonder grote herstructureringen. Al met al biedt de implementatie van NIS2 in combinatie met ISO 27001 organisaties een krachtige benadering van informatiebeveiliging.

Door deze twee kaders te combineren, kunnen organisaties niet alleen voldoen aan wettelijke verplichtingen, maar ook hun algehele cyberweerbaarheid versterken in een steeds complexer wordend dreigingslandschap.

Stappenplan NIS2 voor NIS2 en ISO 27001 mapping

Hoe integreer je NIS2 met een ISO 27001 ISMS? De laatste tijd wordt er veel gevraagd om NIS2 en ISO 27001 mapping. Om dat te realiseren vergt een planmatige aanpak. Hieronder volgt een NIS2 stappenplan van 10 stappen om deze integratie te faciliteren:

Stap 1: GAP-analyse

Bepaal de verschillen tussen de vereisten van NIS2 en de huidige ISO 27001-implementatie:

  • Analyseer de specifieke eisen van de NIS2-richtlijn die van toepassing zijn op jouw organisatie.
  • Vergelijk deze eisen met de bestaande maatregelen en processen binnen ISO 27001.
  • Identificeer eventuele hiaten waar extra maatregelen of aanpassingen nodig zijn om te voldoen aan NIS2.

Stap 2: Risicoanalyse en -beheer

Uitbreiden van het huidige risicoanalyseproces onder ISO 27001 om NIS2-specifieke risico’s mee te nemen:

  • Zorg ervoor dat de risicoanalyse NIS2-gerelateerde risico’s omvat, zoals sectorale en nationale dreigingen.
  • Betrek nieuwe risico’s zoals “cyberdreigingen op EU-niveau” en ketenrisico’s (supply chain).
  • Werk het risicoregister bij om te voldoen aan zowel ISO 27001 als NIS2.

Stap 3: Beleidsupdate

Aanpassen van het informatiebeveiligingsbeleid aan de vereisten van NIS2:

  • Pas het informatiebeveiligingsbeleid aan om de nieuwe verplichtingen van NIS2 op te nemen.
  • Definieer nieuwe rollen en verantwoordelijkheden, zoals de verplichting voor een contactpunt voor netwerk- en informatiesystemen.
  • Zorg dat het beleid afstemming vertoont met de meldingsplichten die NIS2 eist (incidentrapportage).

Stap 4: Meldingsplichten en incidentrespons

Zorg dat het incidentmanagementproces voldoet aan de eisen van NIS2:

  • Zorg ervoor dat het bestaande ISO 27001-incidentmanagementproces wordt uitgebreid met de rapportagevereisten van NIS2 (tijdig melden van incidenten aan toezichthoudende autoriteiten).
  • Test of de processen voor het melden van incidenten werken zoals vereist onder NIS2.
  • Stel een draaiboek op voor het omgaan met incidenten op basis van NIS2-eisen.

Stap 5: Toezicht en compliance

Voldoe aan de controles en audits die NIS2 vereist naast de interne ISO 27001-audits:

  • Voer periodieke audits uit met een focus op NIS2-compliance.
  • Betrek externe auditors om objectief te kunnen toetsen of de implementatie voldoet aan zowel ISO 27001 als NIS2.
  • Leg rapportages vast over de voortgang en naleving van de nieuwe eisen.

(Interne) audit uit laten voeren?

Wist je dat wij ook ondersteunen bij het uitvoeren van audits? Denk aan interne audits bijvoorbeeld voor ISO 27001, maar ook aan leverancieraudits, franchise audits etc. Bekijk onze auditsectie voor meer informatie.

Stap 6: Awareness en training

Zorg voor bewustwording en training binnen de organisatie omtrent de NIS2-eisen:

  • Breid de ISO 27001-trainingen uit met NIS2-specifieke onderwerpen zoals meldingsverplichtingen en risico’s.
  • Zorg ervoor dat medewerkers op de hoogte zijn van de impact van NIS2 en hun rol daarin.
  • Houd sessies over veranderende dreigingslandschappen op basis van NIS2-risicoanalyses.

Security awareness e-learning volgen?

Bewustwording creeeren op gebied van informatiebeveiliging of cybersecurity? Denk eens aan een e-learning security awareness. Medewerkers volgen de e-learning op het moment dat het hen uitkomt en via de rapportagetool volg je de voortgang.

Bekijk de e-learning security awareness

Stap 7: Leveranciersmanagement

Waarborgen dat derde partijen voldoen aan de eisen van NIS2:

  • Voeg NIS2-compliance toe aan de eisen voor leveranciers en partners.
  • Evalueer de contracten met derde partijen en voeg bepalingen toe die voldoen aan de vereisten van NIS2.
  • Controleer periodiek of de externe partijen voldoen aan de informatiebeveiligingseisen van zowel ISO 27001 als NIS2.

Stap 8: Communicatie en coördinatie

Zorg voor een goed coördinatiemechanisme met nationale autoriteiten en belanghebbenden:

  • Stel communicatieplannen op voor wanneer er incidenten zijn die moeten worden gerapporteerd.
  • Zorg dat je goed verbonden bent met de nationale cyberbeveiligingsautoriteiten voor advies en updates.
  • Creëer een coördinatiemechanisme met andere kritieke infrastructuurspelers in de sector.

Stap 9: Continue verbetering

Waarborgen dat de implementatie van NIS2 en ISO 27001 een continu verbeteringsproces blijft:

  • Maak gebruik van ISO 27001’s Plan-Do-Check-Act (PDCA)-cyclus om de effectiviteit van de informatiebeveiligingsmaatregelen continu te verbeteren.
  • Houd regelmatige evaluaties om te controleren of aan NIS2 wordt voldaan en of er aanpassingen nodig zijn aan de ISO 27001-processen.

Stap 10: Documentatie en certificering

Zorg voor passende documentatie die zowel NIS2- als ISO 27001-verplichtingen ondersteunt:

  • Documenteer alle aanpassingen en uitbreidingen die zijn gedaan aan het ISO 27001-informatiebeveiligingsmanagementsysteem (ISMS) om NIS2 te dekken.
  • Zorg voor een audit trail en beheer de certificeringsdocumentatie zodat je aantoonbaar compliant bent met beide standaarden.

Direct aan de slag met NIS2 in combinatie met ISO 27001?

Dit stappenplan helpt je om de NIS2-uitbreiding in te passen binnen een bestaande ISO 27001-certificering. De belangrijkste focus ligt op het identificeren van risico’s, het actualiseren van het beleid en het waarborgen van naleving door middel van meldingsplichten en incidentresponsprocessen. Kun je bij het voldoen aan NIS2 eisen hulp gebruiken? Of wil je juist NIS2 en ISO 27001 met elkaar combineren? Wat je vraagstuk ook is, onze adviseurs staan voor je klaar! Neem gerust contact met ons op voor meer informatie of vraag direct het NIS2-ISO 27001 implementatiepakket aan!

Offerte aanvragen

Nelis van de Pol
Nelis van de Pol
Algemeen Directeur

Nelis van de Pol is directeur bij CertificeringsAdvies Nederland. 'Na jaren als ondernemer te hebben gewerkt, heb ik CertificeringsAdvies Nederland opgezet. Jouw partner, in certificeren!'

nelis@certificeringsadvies.nl

NIS2-ISO 27001 implementatiepakket

Met dit pakket integreer je NIS2 in je ISO 27001 ISMS.

  • Voldoe aan de eisen
  • Een prima basis
  • Advies op maat

Maandelijks op de hoogte blijven?

Wil jij op de hoogte blijven van het laatste nieuws uit jouw branche en de nieuwste ontwikkelingen rondom (bedrijfs)normen en groeimogelijkheden voor jouw organisatie? Schrijf je dan in voor de nieuwsbrief en ontvang maandelijks een flinke dosis inspiratie met o.a.:

  • Handige kennisartikelen en praktische tips voor jouw organisatie
  • Actuele updates rondom normen en certificeringen
  • Ontwikkelingen in wet- en regelgeving
  • Interessante acties & events
  • Relevante trainingen en opleidingen

Schrijf je in voor de nieuwsbrief

Schrijf jezelf in voor onze maandelijkse nieuwsbrief door het formulier in te vullen!

"*" indicates required fields