Lid worden
Nationaal Onderzoek QHSE
NIS2 en ISO 27001: De lat gaat omhoog, ben jij klaar voor de nieuwe realiteit?
onderzoek_dekra
Dekra

Met de invoering van de nieuwe Cyberbeveiligingswet (Cbw), op basis van de Europese NIS2-richtlijn, ­moeten organisaties hun cybersecurity- en risicobeheerprocessen ingrijpend professionaliseren. ­Hoewel NIS2 geen specifieke norm voorschrijft, vormt ISO 27001 voor veel organisaties de meest logische en ­effectieve basis om aan de nieuwe verplichtingen te voldoen. ISO 27001 is namelijk al jaren dé internationale standaard voor informatiebeveiliging, met een compleet managementsysteem, risicogestuurde aanpak en gedocumenteerde maatregelen. Toch is het belangrijk om te begrijpen dat ISO 27001 enkel het fundament vormt. Voor volledige NIS2-naleving is aanvullende inspanning noodzakelijk.

Mr.drs. Jelmer Garretsen, Business Development Manager DEKRA

De aankomende cyberbeveiligingswet — op basis van NIS2 — dwingt organisaties hun digitale weerbaarheid aanzienlijk te versterken. ISO 27001 biedt hierbij een logische basis. Deze internationale norm helpt organisaties risico’s gestructureerd te beheren en beveiliging aantoonbaar op orde te brengen.

ISO 27001 sluit goed aan op veel elementen van NIS2 omdat beide kaders dezelfde benadering hanteren. Veel van de ­verplichte maatregelen binnen NIS2, zoals ­incidentmanagement en toegangs- of identiteitsbeheer, zijn al onderdeel van een ­volwassen Information Security Management System (ISMS). Organisaties die ISO 27001 hebben ingevoerd, ­hebben daardoor een aanzienlijk fundament, maar dat betekent niet dat ze automatisch volledig compliant zijn met NIS2. NIS2 gaat ­verder, stelt zwaardere eisen en introduceert verplichtingen waaraan organisaties aanvullend moeten voldoen.

Verschillen tussen ISO 27001 en NIS2

Een belangrijk verschil zit in governance en bestuurlijke verantwoordelijkheid. NIS2 legt nadruk op actieve betrokkenheid van het bestuur en kan persoonlijke aansprakelijkheid opleggen bij nalatigheid. Organisaties moeten expliciet vastleggen wie verantwoordelijk is. Daarnaast moeten zij het bestuur trainen in cyberrisico’s en cybersecurity structureel opnemen in de strategische besluitvorming. Dit gaat verder dan de vereisten binnen ISO 27001.

Daarnaast introduceert NIS2 een striktere meldplicht bij ­incidenten. Organisaties moeten binnen 24 uur een early ­warning uitbrengen, binnen 72 uur een gedetailleerd incident­rapport en binnen een maand een eindrapport opleveren. ISO 27001 schrijft wel een incidentmanagementproces voor, maar specificeert dergelijke deadlines niet.

Dit betekent dat organisaties hun meldprocedures, detectie­capaciteit en escalatieprocessen moeten aanscherpen. Ook op het gebied van leveranciers- en ketenbeheer gaat NIS2 verder dan ISO 27001. Waar ISO 27001 een basis legt voor leveranciersbeveiliging, verplicht NIS2 diepgaande due ­diligence, contractuele eisen en periodieke toetsing van kritieke partners.

Organisaties moeten dus een continue focus houden op ketenrisico’s en deze actief mitigeren. Tot slot introduceert NIS2 toezicht en sancties. Organisaties kunnen worden gecontroleerd door toezichthouders en geconfronteerd met hoge boetes bij nalatigheid. ISO 27001 kent audits en certificeringen, maar deze zijn niet gekoppeld aan wetgevende handhaving. NIS2 legt een verplichting op om aantoonbaar te voldoen, wat een andere ­manier van verantwoorden en documenteren vereist.

Lees verder…

Ben jij verantwoordelijk voor QHSE binnen jouw organisatie? Dan is Kwaliteit in Bedrijf voor jou dé bron om geïnformeerd te blijven over jouw vakgebied.

Word lid van Kwaliteit in Bedrijf en krijg toegang tot dit artikel én honderden andere verdiepende artikelen, praktijkverhalen en inzichten voor jouw vakgebied.

Bekijk onze lidmaatschappen

Ben je jouw wachtwoord vergeten? Klik dan hier.

Reflectie op het onderzoek

Menselijke waarde: de ontbrekende olie

Menselijke waarde: de ontbrekende olie

De blinde vlek in veel ­directiekamers

De blinde vlek in veel ­directiekamers

TWI Job ­Instruction als fundament voor ­betrouwbare kwaliteit

TWI Job ­Instruction als fundament voor ­betrouwbare kwaliteit

De strategische rol van de kwaliteitsmanager vraagt ook om soft skills

De strategische rol van de kwaliteitsmanager vraagt ook om soft skills

Wat als kwaliteit een profitcenter is?

Wat als kwaliteit een profitcenter is?

De rol van de kwaliteitsprofessional(s) verandert; de praktijk minder

De rol van de kwaliteitsprofessional(s) verandert; de praktijk minder

De AI-paradox in QHSE: Tussen koudwatervrees en toekomstmuziek

De AI-paradox in QHSE: Tussen koudwatervrees en toekomstmuziek

Mobile-first QHSE: Cultuurverandering in de praktijk

Mobile-first QHSE: Cultuurverandering in de praktijk

QHSE-manager: van solist naar regisseur binnen het control framework

QHSE-manager: van solist naar regisseur binnen het control framework

Wat beweegt de QHSE-professional?

Wat beweegt de QHSE-professional?

Partner(s)

DEKRA
On the safe side

(Advertentie)

Nieuwste artikelen

Partnerbijdrage
NIS2 raakt iedereen: van boardroom tot werkvloer
rick-strijbos-nis2-raakt-iedereen-918-374px.png
Artikel
Scenariodenken: hoe breng je de toekomst in kaart?
collage270
Artikel
Monkey See, Monkey Do
Monkey See, Monkey Do
Artikel
Zijn we veerkrachtig, ­weerbaar en wendbaar?
Zijn we veerkrachtig, ­weerbaar en wendbaar?
Column
In de greep van regels
Tesla_deur