De NIS2-richtlijn en de aankomende Nederlandse Cyberbeveiligingswet leggen stevige verplichtingen op aan organisaties in vitale en belangrijke sectoren, waaronder ook (semi-)overheidsorganisaties. De verantwoordelijkheid ligt bij het bestuur, maar de uitvoering raakt de hele organisatie: van IT en compliance tot privacy en beleid. De vraag is dan ook niet óf je moet voldoen, maar hoe.
NIS2 stelt veel eisen, maar laat in de uitwerking veel open. Er is geen standaardlijst met maatregelen. Organisaties moeten dus zelf aantonen dat hun beveiliging ‘passend’ is.
Een goed ingericht Information Security Management System (ISMS), op basis van ISO/IEC 27001 of NEN 7510, helpt daarbij. Voor overheidsorganisaties geldt bovendien de Baseline Informatiebeveiliging Overheid (BIO) als normatief kader: een ISMS kan en moet hierop aansluiten. Het biedt structuur en aantoonbaarheid: van wet naar werkbaarheid, mét bewijs.
NIS2 en de Cyberbeveiligingswet: wel verplichtingen, geen handleiding
NIS2 en de nationale wetgeving leggen de volgende zorgplichten op:
- structurele risicoanalyses;
- passende beveiligingsmaatregelen;
- meldplicht binnen 24 uur bij incidenten;
- expliciete bestuurlijke verantwoordelijkheid;
- beveiliging van de keten;
- continue evaluatie en verbetering.
Hoe je dit moet invullen, staat nergens precies beschreven. Organisaties moeten dit zelf vertalen naar beleid en praktijk. Een ISMS biedt hiervoor een samenhangende aanpak.
ISO 27001 aanbevolen normen volgens NIS2
In artikel 25 van NIS2 wordt het gebruik van erkende internationale normen uitdrukkelijk aangemoedigd:
“Lidstaten […] moedigen het gebruik aan van Europese en internationale normen en technische specificaties die relevant zijn voor de beveiliging van netwerk- en informatiesystemen.”
ISO/IEC 27001 is wereldwijd dé standaard voor informatiebeveiliging. Voor de zorgsector geldt aanvullend NEN 7510. Voor overheidsorganisaties is de BIO leidend, die op haar beurt gebaseerd is op dezelfde principes als ISO 27001. Een ISMS dat conform de BIO is ingericht, voldoet daarmee aan zowel nationale als internationale verwachtingen.
Wie werkt met een ISMS volgens ISO 27001, NEN 7510 of de BIO (voor de overheid), volgt dus de richting die Europa en Nederland stimuleren, zonder dat een specifieke technologie wordt voorgeschreven.
Beheersmaatregelen als praktisch startpunt
ISO 27001 en NEN 7510 bevatten een uitgebreide set beheersmaatregelen die helpen om risico’s om te zetten in concrete acties:
- Annex A van ISO 27001 bevat 93 maatregelen voor o.a. beleid, toegangsbeheer, fysieke beveiliging en incidentafhandeling.
- NEN 7510-2 biedt vergelijkbare maatregelen voor de zorg, gericht op o.a. patiëntgegevens, gegevensuitwisseling en beschikbaarheid.
- De BIO vertaalt deze maatregelen naar de context van overheidsorganisaties, met specifieke eisen rond logging, auditing en gegevensclassificatie.
Deze sets geven praktische houvast bij het vertalen van je risicoanalyse naar effectieve beveiliging, volledig in lijn met de zorgplicht van NIS2.
Een ISMS is geen eindpunt
Een ISMS is een uitstekende basis om aan NIS2 te voldoen, maar het is niet automatisch voldoende. Bepaalde onderdelen van NIS2 vragen extra aandacht, zoals:
- afspraken en toetsing van leveranciers;
- exit-procedures bij externe partijen;
- sectorspecifieke meldplichten of normenkaders (zoals NEN 7510 of BIO).
Het goede nieuws: het ISMS is dé kapstok om ook deze aanvullende verplichtingen in onder te brengen, zonder dat je losse structuren hoeft op te tuigen.
Wat een ISMS concreet toevoegt
- Contextanalyse: inzicht in je organisatie, systemen, processen en verplichtingen.
- Risicobeoordeling: welke risico’s spelen en welke maatregelen zijn nodig?
- Beleid en verantwoordelijkheden: wie is waarvoor verantwoordelijk?
- Maatregelen en controles: wat doe je, hoe meet je dat?
- Continue verbetering: leren van incidenten, audits en evaluaties.
Zo wordt aantoonbare informatiebeveiliging onderdeel van je dagelijkse organisatievoering.
Vijf manieren waarop een ISMS helpt om aan NIS2 te voldoen
- Van open norm naar onderbouwde maatregel
NIS2 zegt: “neem passende maatregelen”. Een ISMS helpt je die te kiezen én onderbouwen.
- Bestuurlijke betrokkenheid aantonen
Via vastgelegd beleid, besluitvorming en rapportages laat je zien dat bestuurders sturen op beveiliging.
- Wet- en regelgeving koppelen aan de praktijk
ISO 27001 (en BIO/NEN 7510) vragen dat je weet welke regels op je van toepassing zijn. In het ISMS leg je dit vast in een overzicht (bijv. een compliance-register), met daarbij de bijbehorende maatregelen.
- Ketenbeveiliging systematisch regelen
Leveranciersrisico’s beoordelen, afspraken vastleggen en opvolgen, gestructureerd en aantoonbaar.
- Voorbereid zijn op toezicht
Incidenten, risico’s, audits en opvolging zijn traceerbaar en gedocumenteerd, precies wat NIS2 van je vraagt.
Waarom nú handelen?
De Cyberbeveiligingswet is in voorbereiding, maar de kern van de zorgplicht staat al vast. NIS2 vraagt om een gestructureerde, risicogebaseerde aanpak met aantoonbare maatregelen.
Een ISMS, conform ISO 27001, NEN 7510 of BIO, helpt je dat op te bouwen én aan te tonen, en biedt ruimte om aanvullende verplichtingen zoals ketenverantwoordelijkheid eenvoudig mee te nemen.
Conclusie: begin nu, en bouw aantoonbaarheid op
De tijd van losse documenten en ad-hocmaatregelen is voorbij. NIS2 vraagt om samenhang, bestuur en verantwoording. Een ISMS helpt je om dat professioneel én werkbaar te organiseren.
Of je nu start of al een basis hebt: dit is het moment om informatiebeveiliging duurzaam te verankeren.
Hulp nodig?
Meer weten over hoe een ISMS jouw organisatie, óók in de publieke sector, kan helpen voldoen aan de zorgplicht onder NIS2?
Wij helpen je graag met een nulmeting, gap-analyse of implementatieplan, afgestemd op jouw sector en risicoprofiel.
Neem direct contact op
