Volg Software Zaken

Het verschil tussen NIS2 en ISO 27001

| Sieuwert van Otterloo | Security

Bedrijven die voldoen aan alle eisen van de standaard ISO 27001, voldoen bijna aan de nieuwe NIS2 cyberbeveiligingswet. Om geheel te voldoen zijn een paar extra stappen nodig, die hier zijn uitgelegd. Om geheel te voldoen zal er in ieder geval jaarlijks training geregeld moeten worden voor bestuurders.

Achtergrond NIS2 en ISO 27001

De network and information security directive (NIS) is een Europese richtlijn die als doel heeft om de samenleving meer weerbaar te maken tegen cyberaanvallen. NIS1 is in 2016 ingevoerd en gold alleen voor een heel klein aantal sectoren. De opvolger NIS2, geldt voor heel bedrijven en organisaties, bijvoorbeeld IT-leveranciers of bedrijven die betrokken zijn bij gezondheidszorg, transport en levensmiddelen. De Nederlandse uitwerking van NIS2 waar Nederlandse bedrijven zich aan moeten houden heet de Cyberbeveiligingswet (CBW). Sinds oktober 2024 moeten bedrijven aan deze wet voldoen.

Hieronder zijn deze sectoren weergegeven waarvoor de NIS2 geldt.

ISO 27001 is een standaard voor informatiebeveiliging. Deze standaard is niet verplicht, maar is een goede manier voor bedrijven om aan te tonen dat ze de informatiebeveiliging op orde hebben. De standaard is erg populair omdat organisaties zich  kunnen certificeren voor ISO 27001.  Veel organisaties gebruiken ISO 27001 certificatie om aantoonbaar aan de AVG te voldoen.

Wat zijn de eisen van NIS2 / CBW?

De makers van NIS2 hebben goed gekeken naar ISO 27001 en er is gelukkig veel overlap in de eisen, maar er zijn ook verschillen. De belangrijkste nieuwe eis uit NIS2 / CBW is dat bestuurders ook persoonlijk verantwoordelijk gehouden worden, en moeten voldoen aan een trainingseis. Voor bestuurders/management van bedrijven geldt het volgende:
Bestuurders moeten voldoende kennis en vaardigheden verwerven om risico’s te kunnen identificeren enrisicobeheerspraktijken op het gebied van cyberbeveiliging en de gevolgen ervan voor de diensten die door de entiteit worden verleend, te kunnen beoordelen.

Om aan deze eis van training te voldoen zal er in ieder geval jaarlijks training geregeld moeten worden voor bestuurders. ICT Institute heeft een NIS2 training voor bestuurders ontwikkeld die regelmatig gegeven wordt in 2025. Een andere training met certificaat kan ook gedaan worden. De training mag extern gedaan worden of intern. Het is wel belangrijk dat alle bestuurders aantoonbaar getraind zijn. Let op dat de training een certificaat heeft en echt voor de NIS2 ontworpen is. Er is geen minimale lengte voor de training.

Daarnaast worden er eisen gesteld aan een bedrijf zelf. De overheid heeft het zelf in een informatiesheet samengevat in de volgende tien eisen:

  1. Een risicoanalyse en beveiliging van informatiesystemen
  2. (Beleid en procedures over) incidentenbehandeling
  3. Maatregelen op het gebied van bedrijfscontinuïteit, zoals back-upbeheer en noodvoorzieningenplannen
  4. Beveiliging van de toeleveranciersketen
  5. Beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, inclusief de respons op en bekendmaking van kwetsbaarheden
  6. Beleid en procedures om de effectiviteit van beheersmaatregelen van cyberbeveiligingsrisico’s te beoordelen
  7. Basis cyberhygiëne en trainingen op het gebied van cyberbeveiliging
  8. Beleid en procedures over het gebruik van cryptografie en encryptie
  9. Beveiligingsaspecten op het gebied van personeel, toegangsbeleid en beheer van activa
  10. Het gebruik van multifactor-authenticatie, beveiligde spraak-, video- en tekstcommunicatie en beveiligde nood- communicatiesystemen binnen de entiteit

Overeenkomsten ISO 27001 en NIS2

ISO 27001 bestaat uit een hoofdstructuur om risico’s te managen, en een lijst van aanbevolen maatregelen. Organisaties die alle maatregelen van ISO 27001 heel uitgebreid hebben geïmplementeerd, voldoen waarschijnlijk ook aan alle ISO 27001 eisen. Er is namelijk de volgende overlap:

  1. Een risicoanalyse en beveiliging van informatiesystemen : opgenomen in ISO 27001 hoofdstructuur, hoofdstuk 6,7,8.
  2. (Beleid en procedures over) incidentenbehandeling: opgenomen in beheersmaatregelen, hoofdstuk A5
  3. Maatregelen op het gebied van bedrijfscontinuïteit, zoals back-upbeheer en noodvoorzieningenplannen: opgenomen in beheersmaatregelen, hoofdstuk A5
  4. Beveiliging van de toeleveranciersketen: opgenomen in beheersmaatregelen, hoofdstuk A5
  5. Beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, inclusief de respons op en bekendmaking van kwetsbaarheden: opgenomen in beheersmaatregelen, hoofdstuk A8
  6. Beleid en procedures om de effectiviteit van beheersmaatregelen van cyberbeveiligingsrisico’s te beoordelen: opgenomen in ISO 27001 hoofdstructuur, hoofdstuk 9.
  7. Basis cyberhygiëne en trainingen op het gebied van cyberbeveiliging: opgenomen in beheersmaatregelen, hoofdstuk A6
  8. Beleid en procedures over het gebruik van cryptografie en encryptie : opgenomen in beheersmaatregelen, hoofdstuk A8
  9. Beveiligingsaspecten op het gebied van personeel, toegangsbeleid en beheer van activa: opgenomen in beheersmaatregelen, hoofdstuk A5 en A8
  10. Het gebruik van multifactor-authenticatie, beveiligde spraak-, video- en tekstcommunicatie en beveiligde nood- communicatiesystemen: opgenomen in beheersmaatregelen, hoofdstuk A8

Hoe voldoe je aan NIS2 / CBW als je al ISO 27001 geïmplementeerd hebt

Als je al een information security management systeem hebt, dan is het relevatief weinig werk om het aan te passen aan NIS2 /CBW. Je moet het volgende doen:

  • Check dat de volgende risico’s goed in het risico-register zijn opgenomen: ransomware-aanvallen, stroomuitval, internetuitval, telefonie-uitval, andere calamiteiten. ICT Institute heeft een template risico-register.
  • Zorg dat je een bedrijfscontinuiteitsplan hebt waarin je er rekening mee houdt dat de dienstverlening naar kritieke sectoren door blijft gaan, ook bij grotere calamiteiten
  • Controleer welke leveranciers echt belangrijk zijn voor je eigen diensten aan kritieke sectoren, en zorg voor voldoende backups, redundantie of voorraad.
  • Zorg voor goede logging en onitoring op technische infrastructuur, zodat je kwetsbaarheden en aanvallen snel op kan merken. Houd ook berichten vanuit het NCSC over kwetsbaarheden in de gaten
  • Zorg voor een goed security-testbeleid (voorheen PEN-testbeleid). Een eenvoudige PEN-test is niet meer voldoende, je moet gedetailleerd testen op kwetsbaarheden van buiten maar ook van binnen.
  • Denk na over een crisisplan en een crisisteam waarin IT-specialisten zitten, maar ook bestuurders en communicatie-specialisten. Oefen met dit team hoe je gaat communiceren bij een crisis

Verder zijn er wat kleinere zaken die je moet bijwerken: NIS 2 moet genoemd worden als relevante wetgeving, en in de context-analyse zul je “voldoen aan NIS2” moeten opnemen als eis van belanghebbenden.

Hoe voldoe je aan NIS2 / CBW als je al ISO 27001 nog niet hebt

Om aan de NIS2 / CBW to voldoen zul je in ieder geval een informatie-beveiligingsbeleid moeten opstellen, waarin je iets opneemt over risico-management, toegangsbeveiliging, continuïteit, leveranciers en cryptografie. De bekendste standaard hiervoor is ISO 27001. Je kunt deze standaard ook gebruiken zonder direct voor certificering te gaan. Een eenvoudiger alternatief is Security Verified. Dit is een open standaard van ICT Institute zelf, die iedereen gratis mag gebruiken.
Vervolgens zul je ook een trainingsprogramma moeten opstellen, zowel voor bestuurders als de rest van de organisatie.

Meer informatie over NIS2

De NIS2 / CBW zelf bevat geen technische eisen, zodat de wet niet achterhaald wordt door technologische ontwikkelingen. In plaats daarvan publiceert het NCSC regelmatig adviezen gebaseerd op nieuwe ontwikkelingen. In de NIS-2 training gebruiken wij deze bronnen, zodat de training precies aansluit bij de verwachtingen van toezichthouders. Voor de training van 2024 zijn de volgende openbare bronnen gebruikt, en deze raden we aan:

Voor de liefhebbers van de ISO 27001 beheersmaatregelen, er is ook ene mapping gemaakt door een aantal kenners van de artikelen van de CBW naar de ISO 27001 beheersmaatregelen. Het is vrij gedetailleerd gedaan en hierin is goed te zien dat er veel overlap is. In de afbeelding hieronder is de mapping voor 1 artikel. De gehele mapping is hier: bijlage 20231110-mapping-nis2-iso-27002-bio-v1-0-def

Wie twijfelt of zijn organisatie moet voldoen aan NIS2, kan de volgende zelfevaluatie-tool voor NIS2 van de overheid gebruiken: https://regelhulpenvoorbedrijven.nl/NIS-2-NL/

Bron afbeelding: camilo jimenez via Unsplash

Author: Sieuwert van Otterloo
Dr. Sieuwert van Otterloo (CISA, CIPP/E) is IT-deskundige met kennis van ISO 27001, NEN 7510, software-kwaliteit, projectmanagement, privacy, en verantwoord gebruik van AI. Hij geeft les aan de VU, doet onderzoek aan de HU en geeft advies en doet reviews bij organisaties door heel Nederland. Hij oprichter en directeur van ICT Institute.