Wet- en regelgeving informatiebeveiliging en ISO 27001

Als organisatie ben je verplicht om te voldoen aan de (inter)nationale wet- en regelgeving van het land/de landen waarin je operationeel bent. Doe je dat niet, dan ben je nalatig. Dat geldt dus ook met betrekking tot wet- en regelgeving rondom het thema informatiebeveiliging en specifiek de ISO 27001 norm. Veel organisaties vinden het lastig om de voor hen relevante wet- en regelgeving in kaart te brengen en door te vertalen naar zaken die ze moeten inregelen om aan de wetgeving te (blijven) voldoen. Daarom in dit blogartikel aandacht voor de wet- en regelgeving rondom informatiebeveiliging en de stappen op weg naar naleving.

Voor we inzoomen op wet- en regelgeving rondom informatiebeveiliging, en specifiek ISO 27001, maken we eerst even een wat algemener rondje langs de velden. We vertrekken vanuit de ‘moedernorm’, ISO 9001, kwaliteitsmanagement.

Wanneer je met de norm voor kwaliteitsmanagement aan de slag gaat, raak je ook het onderwerp wet- en regelgeving aan. Aan welke wetten en regels moet je als organisatie dan voldoen? Algemeen geldt dat je een minimaal kwaliteitsniveau moet bieden dat de maatschappij of een klant van je mag verwachten. Dat is vanuit een norm(tekst), die jouw organisatie natuurlijk niet kent, vooraf lastig te zeggen. Daardoor is het vanuit ISO 9001 bekeken moeilijk(er) te voorspellen aan welke relevante wet- en regelgeving jouw organisatie dient te voldoen. Dit hangt namelijk sterk samen met de sector waarin je opereert en de bedrijfsactiviteiten die je uitvoert. Branche-kennis van de sector is dan nuttiger dan normkennis. Organisaties in branches met weinig expliciete wetgeving – zoals ICT dienstverlening – hoeven niet per se wetgeving te kennen en volgen (anders dan algemene wetgeving; iedere ondernemer weet dat hij de belastingdienst moet betalen).

Er zijn sectoren waarvoor wet wel grotendeels ‘vastligt’, doordat deze sectoren sterk gereguleerd zijn. Denk aan de zorgsector, de overheid, de bancaire sector, productiebedrijven die chemische productie doen etc. Los van deze sterk gereguleerde sectoren is het over het algemeen voor een gemiddelde organisatie, die aan de slag gaat met ISO 9001, vooraf lastig te zeggen aan welke geldende wet- en regelgeving voldaan moet worden. Om die reden bestaat er geen ‘standaard afvinklijstje’ dat je kunt doorlopen.

Anders is het wanneer je organisatie aan de slag gaat met milieumanagement, ISO 14001 en de bijbehorende milieuwetgeving. ISO 14001 is, in tegenstelling tot ISO 9001, veel strikter gekoppeld aan wet- en regelgeving. Sterker nog: wet- en regelgeving is een zwaarwegende factor binnen deze norm. Dat brengt met zich mee dat er rondom milieucompliance zelfs online modules als aimonline.nl beschikbaar zijn die je als organisatie periodiek moet toepassen om te zorgen dat je in lijn bent en blijft met geldende wet- en regelgeving.

Het gemak dat wordt geboden bij ISO 14001, waarbij organisaties door de overheid worden geholpen met tooling om op die manier milieuwetgeving in kaart te brengen en eraan te voldoen, bestaat helaas (nog) niet op dat niveau voor informatiebeveiliging en de daaraan gerelateerde normen, zoals ISO 27001. Toch zit er wel degelijk een eis in de 27001 norm met betrekking tot wet- en regelgeving. Hoe regel je dat als organisatie goed in?

Vooropgesteld: Elke organisatie dient te voldoen aan de wetgeving van het land waarin je operationeel bent. Voor organisaties die informatiebeveiliging serieus oppakken, kent ISO 27001 daarbovenop nog een expliciete eis omtrent naleving die terug te vinden is in de zogenaamde Annex A, hoofdstuk 18. Daarin staat dat een organisatie die een informatiebeveiligingsmanagementsysteem (ISMS) heeft ook moet weten welke wetten relevant zijn voor informatiebeveiliging. Net zoals een organisatie moet voldoen aan (beveiligings)eisen die vastliggen in contracten (belofte aan klanten moet worden gerealiseerd). Deze eisen moet de organisatie handhaven. Er moet dus een proces worden ingericht dat borgt dat de organisatie scherp blijft en blijft evalueren, met het oog op voldoen en blijven voldoen aan die wetgeving. Dat is dus geen eenmalige check, maar een periodieke activiteit.

Hoe breng je dat in kaart? Binnen informatiebeveiliging en de daaraan gerelateerde normen heb je, net als bij ieder ander managementsysteem, het algemeen geldende principe dat je eisen en wensen van de voor jou relevante stakeholders inzichtelijk dient te maken. De wetgever is ook een stakeholder. Daar kun je dus niet omheen. Zie de eerder genoemde belastingdienst. Je organisatie staat nu eenmaal in de maatschappij en dient zich aan de daarin geldende wetten en regels te houden. Vanuit de stakeholdersanalyse is het ook goed om stil te staan bij eisen van klanten, leveranciers en aandeelhouders: wat verwachten zij van jouw organisatie met betrekking tot het voldoen aan wet- en regelgeving?

Welke wet- en regelgeving speelt er dan zoal rondom informatiebeveiliging? De meest bekende wet van de laatste tijd is de Algemene Verordening Gegevensbescherming (AVG). Deze Europese wet komt er uiteindelijk op neer dat je jouw informatiebeveiliging op orde moet hebben. Er zitten een aantal eisen in die wet met betrekking tot persoonsgegevens. Het is bijzonder onwaarschijnlijk dat jouw organisatie geen persoonsgegevens kent. Het zou dan dus raar zijn als je in je bedrijfsvoering of ISMS nergens laat merken dat je de AVG wet kent en eraan voldoet.

Naast de AVG zijn er nog tal van andere wetten en regels die relevant zijn voor je organisatie. In de praktijk blijkt dat veel organisaties het lastig vinden om een goede, uitputtende lijst, waarin tevens de doorvertaling is gemaakt naar zaken die je als organisatie in moet regelen, op te stellen met betrekking tot wet- en regelgeving. Bij CertificeringsAdvies Nederland hebben we voor de meest gangbare klantgroepen een dergelijk register van wet- en regelgeving samengesteld dat bij wijzigingen of aanvullingen in wet- en regelgeving wordt geüpdatet. In dat register staan bijvoorbeeld:

Concreet voorbeeld van hierboven: wanneer je organisatie uit meer dan 50 medewerkers bestaat, dan dien je een klokkenluiders reglement te hebben. Klokkenluiders informatie is een vorm van informatie die je natuurlijk goed wilt beschermen binnen je organisatie. Deze ga je niet zomaar even delen met alle collega’s. Je moet daarvoor dus zaken inregelen.

Ons register bevat verder belangrijke wetten voor zorg en overheid (omdat dit gereguleerde branches zijn met hun eigen beveiligingsnormen, NEN 7510 en de Baseline Informatiebeveiliging Overheid).

Denk bij zorg aan bijvoorbeeld het Besluit elektronische gegevensverwerking door zorgaanbieders of de Europese Verordening medische hulpmiddelen (MDR).

Denk bij overheden aan eIDAS, WOB of het (tijdelijk) besluit digitale toegankelijkheid overheid.

Ons register van wet- en regelgeving is een goede start voor inzicht in relevante wetten en hoe je aan kan geven hoe je hier aan voldoet. Er is dus een hele set aan wettelijke eisen, maar de gemiddelde onderneming heeft die nooit vertaald naar wat dat betekent voor die onderneming. Je kunt bijvoorbeeld zeggen ‘er is een AVG-wet’, maar heb je binnen je organisatie dan ook bepaald of dat moet leiden tot een Data Protection Impact Assessment (DPIA)? Of gezien de huidige AVG-ontwikkelingen tot een Data Transfer Impact Assessment (DTIA)? Het punt dat we willen maken: je moet als organisatie niet enkel weten dat een wet bestaat en dat die voor jouw bedrijf geldt, maar je moet ook weten wat je organisatie moet doen en inrichten om die wet na te leven.

Mocht je niet al periodiek een aantal bronnen checken voor aankomende wetgeving (tip: doet dat dus wel, bijvoorbeeld via KvK of een brancheorganisatie), dan word je wellicht verrast door wetgeving zodra deze in het nieuws is. Vanaf dat moment heb je misschien nog maar één tot anderhalf jaar de tijd om je organisatie daarop in te richten.

Onderstaande is misschien wat overdreven, maar de volgende vragen komen in dat geval bovendrijven:

Laten we eens kijken of we de hierboven genoemde vragen in kunnen vullen voor een ‘nieuwe’ wet. Als voorbeeld pakken we de aankomende NIS2, ofwel de update voor de Wbni. Deze kwam onlangs in het nieuws voorbij, met enige urgentie.

Wanneer je dat voorbij ziet komen, ga je uiteraard niet op de nieuwsbron af, maar ga je naar de bron van de wet en zoekt dus de wettekst op. Bronnen die je daarvoor in Nederland kunt raadplegen zijn wetten.overheid.nl of stukken in behandeling die terug te vinden zijn op de sites van de Eerste of Tweede Kamer. Voor wetgeving vanuit de Europese Unie ga je naar EUR-Lex waar je tekst van het voorstel vindt – althans dit was het geval bij NIS2 tijdens het schrijven van dit artikel.

Afhankelijk van het soort wet kan er een inwerkingsdatum genoemd worden, ofwel het moment waarop een wet van kracht gaat zijn. Houd er daarbij rekening mee dat een wet, zoals bijvoorbeeld de AVG-wet, vaak jaren eerder formeel van kracht is dan het moment waarop naleving echt noodzakelijk is. De wetgever houdt namelijk rekening met de tijd die ze nodig en wenselijk acht voor organisaties om de wet te volgen.

Wat je als organisatie precies in moet regelen, is niet altijd 100% duidelijk. Wetten als de AVG-wet spreken over ‘passende maatregelen’. Dat betekent in feite zelf een risicoanalyse uitvoeren en kijken naar over te nemen ‘best practices’. Hoe zit dat dan voor de NIS2? We hebben de tekst erop nageslagen. NIS2 komt in ieder geval met een aantal opsommingen. Neem bijvoorbeeld artikel 18 lid 2 waarin staat:

2.  

De in lid 1 bedoelde maatregelen omvatten ten minste het volgende:

Het betreft hier een wet over informatiebeveiliging. Qua stappenplan is het dan logisch om te kijken naar ISO 27001, het managementsysteem voor informatiebeveiliging. Op de website van CAN vind je daar diverse stappenplannen voor. In het specifieke geval van bovenstaande opsomming is het prettig dat deze maatregelen goed overlappen met ISO 27001. Hieronder laten we zien hoe de opsomming gedekt wordt door ISO 27001:

Uiteraard kun je de wet ook (nog) bekijken vanuit andere invalshoeken. Passage c) uit de opsomming spreekt over bedrijfscontinuïteit en crisisbeheer. Je kunt hierbij denken aan Business Continuity Management (BCM) en de ISO 22301 die daarbij hoort. BCM richt zich specifiek op het continueren van je bedrijfsprocessen bij noodsituaties. De vraag die je jezelf daarbij moet stellen: wat moet ik organiseren als ik niet meer kan leveren?

Een hack, een uitval van je toeleverancier of zelfs (hoe relevant) een pandemie, zijn misschien klein, maar de gevolgen zijn gigantisch groot. Als bedrijf dien je daarom vanuit een BCM perspectief je plannen klaar te hebben liggen voor het geval dat er een noodsituatie ontstaat. Denk daarbij aan een back-up van je systemen, noodprotocollen bij een hack, spreiding van je leveranciers etc. Alles kan helpen. Daarbij is het vooral belangrijk om alles regelmatig daadwerkelijk te testen en evalueren: het plan op papier moet immers praktisch ook toepasbaar zijn om waarde te hebben.

Om dan gelijk de vraag te beantwoorden: wie moet dit in gaan regelen? Met het oog op NIS2: in veel organisaties die met dit soort wetgeving te maken krijgen zijn bijvoorbeeld al mensen in dienst in de rol van Security Officer (of CISO), Functionaris Gegevensbescherming ed. In andere organisaties kan het hoofd IT of bijvoorbeeld een KAM-manager hier (zijdelings) een rol inspelen. Ga in elk geval per wet na bij wie zoiets op het bordje hoort te liggen, bekijk of je daarvoor iemand in dienst hebt of dat je bijvoorbeeld een team moet formuleren, iemand externs (adviserend) moet aantrekken of juist iemand moet gaan aannemen.

Om alles in kaart te kunnen brengen hebben we bij CertificeringsAdvies Nederland dus een register van wet- en regelgeving samengesteld. Dit register is aan te schaffen voor de prijs van € 300,- (excl. BTW) en inclusief 2 uur advies/begeleiding voor € 600,- (excl. BTW). Wij monitoren periodiek veranderingen in wet- en regelgeving om van daaruit ons eigen register te actualiseren. Organisaties die bij ons als klant zijn aangesloten en structurele dienstverlening hebben lopen worden vervolgens door ons proactief geïnformeerd over (aangekondigde) wijzigingen en de manier waarop je daar als organisatie mee omgaat en aan voldoet.

Wil je het register aanschaffen? Eens met ons sparren over de voor jouw organisatie geldende wet- en regelgeving? Of kun je ondersteuning gebruiken bij opzet en onderhoud van je ISMS? Neem dan gerust contact met ons op. Wij helpen je graag op weg!