Genootschap voor Risicomanagement

Nieuws

Laatste nieuws

De versterking van Europa’s digitale soevereiniteit in relatie tot recente AI- en databeleidwijzigingen in de VS

4 mrt. 2025 21:54:00

De rol van wet- en regelgeving en standaarden bij crisisvoorbereiding in organisaties

18 jan. 2025 15:24:00

Nut en noodzaak van ‘’preppen’’ voor organisaties: voorbereiden op een mogelijke oorlogssituatie tijdens geopolitieke onzekerheid

14 dec. 2024 11:57:00

🌟 Sluit je aan bij het GVRM 🌟

30 nov. 2024 17:12:00

13 okt. 2024 11:50:00

Waarom ISO 27001 organisaties zich geen grote zorgen hoeven te maken over NIS2

De impact van NIS2 op ISO 27001, de internationaal erkende standaard voor informatiebeveiligingsmanagement, is niet zo groot omdat beide kaders in veel opzichten complementair zijn en overlappen in hun doelstellingen en benaderingen van informatiebeveiliging. Waarom is de impact van NIS2 op ISO 27001 beperkt?

1. Overlappende Doelstellingen en Vereisten

ISO 27001 en NIS2 hebben beide als doel om de informatiebeveiliging en cyberweerbaarheid van organisaties te verbeteren. Ze richten zich op vergelijkbare aspecten, zoals risicobeheer, incidentrespons, beveiligingsmaatregelen en continue verbetering van beveiligingspraktijken. ISO 27001 vereist bijvoorbeeld het opzetten van een Information Security Management System (ISMS), dat is gebaseerd op een systematische aanpak van risico’s en beveiligingsmaatregelen. NIS2 stelt vergelijkbare eisen, zoals het uitvoeren van risicoanalyses en het implementeren van technische en organisatorische maatregelen om die risico’s te beheersen.

Organisaties die al gecertificeerd zijn volgens ISO 27001 hebben vaak al veel van de noodzakelijke processen en controles geïmplementeerd om te voldoen aan de eisen van NIS2, zoals gedocumenteerde procedures, beleid voor risicobeheer, en beveiligingsmaatregelen. Hierdoor is de noodzaak voor ingrijpende aanpassingen aan bestaande processen beperkt.

2. Risicogebaseerde Benadering

Beide kaders hanteren een risicogebaseerde aanpak van beveiliging. ISO 27001 vereist dat organisaties hun informatiebeveiligingsrisico's identificeren, evalueren en passende beheersmaatregelen implementeren. NIS2 legt ook sterk de nadruk op een risicogebaseerde aanpak, waarbij bedrijven verplicht zijn om de risico’s voor hun netwerk- en informatiesystemen te beoordelen en adequate beveiligingsmaatregelen te treffen. Omdat ISO 27001 al een gestructureerde aanpak biedt voor het identificeren en beheren van beveiligingsrisico's, sluiten de risicobeheervereisten van NIS2 goed aan op de bestaande ISO 27001-processen.

3. Incidentbeheer en Rapportage

Een ander belangrijk aspect van zowel NIS2 als ISO 27001 is het beheer van beveiligingsincidenten. ISO 27001 vereist dat bedrijven een incidentmanagementproces hebben dat zich richt op het identificeren, melden en afhandelen van beveiligingsincidenten. NIS2 introduceert strengere rapportage-eisen, zoals de verplichting om ernstige incidenten binnen een bepaalde tijd te melden bij de relevante autoriteiten, maar veel van de basisprocessen voor incidentbeheer zijn al gedekt door ISO 27001. Organisaties die werken volgens ISO 27001 hoeven dus alleen hun rapportageprocedures aan te passen om te voldoen aan de specifieke tijdslijnen en meldingsverplichtingen van NIS2.

4. Nadruk op Continue Verbetering

ISO 27001 heeft een sterke focus op continue verbetering van het informatiebeveiligingsmanagementsysteem door middel van regelmatige audits, monitoring en evaluatie van de effectiviteit van beveiligingsmaatregelen. NIS2 bevordert eveneens een cultuur van voortdurende verbetering door bedrijven te verplichten regelmatig risicoanalyses uit te voeren en hun beveiligingspraktijken te herzien en aan te passen op basis van veranderende dreigingen. Aangezien continue verbetering een kernaspect is van ISO 27001, zal NIS2 waarschijnlijk geen ingrijpende wijzigingen vereisen in organisaties die zich al aan deze standaard houden.

5. Compliance en Audits

ISO 27001-certificering vereist regelmatige interne en externe audits om te controleren of het informatiebeveiligingsmanagementsysteem effectief is en in lijn blijft met de standaard. NIS2 introduceert ook meer toezicht en audits door overheidsinstanties om te zorgen dat bedrijven voldoen aan de richtlijn. Echter, organisaties die al gecertificeerd zijn volgens ISO 27001 zullen al gewend zijn aan auditprocessen, en hun bestaande complianceprogramma's kunnen relatief eenvoudig worden aangepast om ook te voldoen aan de specifieke auditvereisten van NIS2.

6. Technische en Organisatorische Maatregelen

ISO 27001 schrijft voor dat bedrijven zowel technische als organisatorische maatregelen moeten treffen om informatiebeveiligingsrisico's te beheersen. Dit sluit nauw aan bij de eisen van NIS2, die ook benadrukt dat bedrijven zowel technische (zoals firewalls, versleuteling) als organisatorische (zoals beleid, training) maatregelen moeten implementeren om hun netwerk- en informatiesystemen te beschermen. Omdat de maatregelen die ISO 27001 vereist in veel gevallen ook voldoen aan de eisen van NIS2, zijn extra maatregelen vaak niet noodzakelijk.

Conclusie

De impact van NIS2 op ISO 27001-gecertificeerde organisaties is niet zo groot omdat beide kaders op dezelfde fundamentele principes van informatiebeveiliging zijn gebaseerd. Bedrijven die ISO 27001 naleven, hebben al veel van de processen en maatregelen geïmplementeerd die nodig zijn om aan de eisen van NIS2 te voldoen. Hoewel sommige aanpassingen nodig zijn, zoals rapportagevereisten en de focus op specifieke kritieke sectoren, zullen deze wijzigingen over het algemeen geen fundamentele hervormingen van bestaande informatiebeveiligingsprocessen vereisen.