De introductie van de nieuwe Cyberbeveiligingswet (gebaseerd op de NIS2-richtlijn) door de Europese Unie heeft veel organisaties in Europa op scherp gezet. Deze wetgeving, die gericht is op het verhogen van de Cyber Security van essentiële en belangrijke sectoren, roept vragen op over de noodzaak voor compliance, vooral bij organisaties die al gecertificeerd zijn volgens ISO 27001, de internationale standaard voor informatiebeveiliging. Moeten zij zich extra inspannen om aan NIS2 te voldoen? Het antwoord hangt af van verschillende factoren.
Wat is de NIS2-richtlijn?
De NIS2-richtlijn is de opvolger van de oorspronkelijke NIS-richtlijn (Netwerk- en Informatiesystemen) en is eind 2024 in werking getreden. De Cyberbeveiligingswet die hierop volgt, zal in de loop van dit jaar actief worden. Deze wetgeving verplicht specifieke sectoren, zoals energie, gezondheidszorg, financiën en digitale infrastructuur, tot strengere beveiligingsmaatregelen en een meer uniforme aanpak binnen de EU. Een belangrijk verschil met ISO 27001 is dat NIS2 niet vrijwillig is en juridische gevolgen heeft bij niet-naleving.
De Cyberbeveiligingswet vereist:
- Toepassing van minimale beveiligingsmaatregelen, zoals risicobeheer, incidentbeheer, continuïteit en versleuteling.
- Rapportageverplichtingen voor ernstige incidenten.
- Aansprakelijkheid van het management voor naleving.
ISO 27001 versus NIS2
ISO 27001 richt zich op het opzetten van een managementsysteem voor informatiebeveiliging (ISMS) en biedt organisaties een raamwerk voor het beheersen van risico’s en het waarborgen van vertrouwelijkheid, integriteit en beschikbaarheid van informatie. Hoewel er overlap is tussen ISO 27001 en NIS2, zijn ze niet identiek. ISO 27001-certificering biedt een sterke basis voor informatiebeveiliging, maar NIS2 voegt specifieke eisen toe, zoals:
- Nadruk op rapportage binnen strikte tijdlijnen.
- Sectorgerichte eisen.
- Verhoging van de Security Awareness van alle medewerkers.
- Verantwoording van directieleden en mogelijk boetes bij non-compliance.
Waarom organisaties met ISO 27001 alsnog rekening moeten houden met NIS2
Zelfs met een ISO 27001-certificering is aanvullende actie nodig als uw organisatie onder de scope van NIS2 valt. Hier ligt een drietal redenen onder:
- Scope en reikwijdte verschillen: ISO 27001 is niet sectorspecifiek en richt zich op informatiebeveiliging in brede zin, terwijl NIS2 gericht is op essentiële diensten en digitale infrastructuur.
- Wettelijke vereisten: NIS2 is een verplichting met juridische consequenties, ISO 27001 is vrijwillig.
- Managementaansprakelijkheid: De richtlijn stelt expliciete eisen aan het management en de directie van organisaties.
Een ISO 27001-certificering is een uitstekende basis, maar geen garantie dat je volledig voldoet aan de NIS2-richtlijn. Elke organisatie moet bepalen of ze onder de scope van NIS2 vallen en daarop een strategie ontwikkelen om te voldoen aan de extra eisen. Door ISO 27001 te combineren met NIS2-compliance kun je niet alleen voldoen aan de wet, maar ook de weerbaarheid van de organisatie (én medewerkers) tegen cyberdreigingen verder versterken.