Veilig & compliant werken

IEC-normen (o.a. IEC 2700x-serie) vormen samen met ISO de technische en organisatorische basis voor internationale beveiligingsstandaarden, zoalsISO/IEC 27001. Ze bieden richtlijnen voor het ontwerpen en beoordelen van veilige systemen en processen.

Van toepassing voor: organisaties en leveranciers die werken met internationale securitystandaarden of onderdeel zijn van internationale ketens.

NEN 7510 is de Nederlandse norm voor informatiebeveiliging de zorg en richt zich op het beschermen van patiëntgegevens. Het is gebaseerd op ISO 27001, maar aangevuld met specifieke eisen voor de zorgsector. De verplichte, passende maatregelen gaan over logging, toegangsbeheer en risicobeheersing. De norm vereist daarnaast aantoonbare borging van vertrouwelijkheid, integriteiten beschikbaarheid van patiëntdata.

Van toepassing voor: zorggroepen en organisaties die patiënt-of medische gegevens verwerken.

DORA (Digital Operational Resilience Act) is een Europese verordening die financiële instellingen verplicht om hun digitale weerbaarheid structureel te organiseren en te testen. Organisaties moeten een volledig ICT-risicomanagementframework inrichten, inclusief weerbaarheid (zoals penetratietesten) en monitoring van incidenten. Daarnaast moeten strike eisen worden opgesteld aan IT-leveranciers en ernstige incidenten rapporteren aan toezichthouders.

Van toepassing voor: financiële instellingen, zoalsverzekeraars en banken, plus hun kritieke ICT-dienstverlening.

Organisaties moeten vanuit de IBP (Integraal Beveiligingsplan) beleid, risico’s en maatregelen integraal vastleggen en vervolgens vertalen naar concrete acties, verantwoordelijkheden en governance.

Van toepassing voor: organisaties die beveiliging structureel en integraal willen inrichten.

‍

Organisaties moeten vanuit de ISO 27001 een Information Security Management System (ISMS) opzetten met risicobeoordeling, beheersmaatregelen en continu verbetering daarin opgenomen. Daarnaast moeten zij aantoonbaar processen inrichten voor toegangsbeheer, incidentmanagement en leveranciersbeheersing.

Van toepassing voor: alle organisaties dieinformatiebeveiliging structureel willen inrichten en certificering willen ofmoeten aantonen.

BIO2 (Baseline Informatiebeveiliging Overheid) is het normenkader voor informatiebeveiliging binnen de overheid en vertaalt wet- en regelgeving zoals NIS2 naar concrete beheersmaatregelen. Organisaties moeten een set aan samenhangende maatregelen inrichten op basis van risicoanalyse. Inclusief beleid, processen en technische controles.

Van toepassing voor: (semi-)overheidsinstanties als gemeenten en ministeries.

De NIS2 (in Nederland bekend als de Cyberbeveiligingswet) verplicht organisaties in kritieke en belangrijke sectoren om hun cybersecurity aantoonbaar op orde te hebben. Organisaties moeten aantoonbaar risico’s identificeren, beheersen en continu monitoren. Daarbij komen maatregelen voor incidentdetectie, response en ketenbeveiliging. Daarnaast geldt een meldplicht voor ernstige incidenten en is er sprake van bestuurlijke verantwoordelijkheid.

Van toepassing voor: middelgrote en grote organisatie in onder andere transport,zorg, overheid, digitale dienstverlening en energie, inclusief kritieketoeleveranciers.