Hoe zorgen ISO 27001, NEN 7510 en NIS2 samen voor betere informatiebeveiliging?

Cyberdreigingen nemen toe en organisaties in vitale sectoren moeten zich beter wapenen tegen digitale risico’s. In dit artikel wordt uitgelegd hoe ISO 27001, NEN 7510 en de nieuwe Europese NIS2-richtlijn samenwerken om informatiebeveiliging te versterken. Het beschrijft de overeenkomsten tussen de normen en de richtlijn, bevat een praktisch stappenplan om te voldoen aan NIS2 en laat zien hoe Kiwa organisaties daarbij kan ondersteunen.

De herziene NEN 7510:2024 sluit naadloos aan op de eisen van ISO 27001:2022 en ondersteunt organisaties bij het voldoen aan de Europese NIS2-verordening. Vanaf het tweede kwartaal van 2026 wordt NIS2 een verplicht kader voor cyberweerbaarheid in tal van vitale en belangrijke sectoren, zoals gezondheidszorg, energie, transport, digitale infrastructuur, overheid, financiële dienstverlening en ICT. De slimme opzet van ISO 27001:2022 en NEN 7510:2024 biedt praktische richtlijnen die organisaties stap voor stap helpen te voldoen aan de NIS2-eisen.

Overeenkomsten tussen ISO 27001/NEN 7510 en NIS2

De NIS2-richtlijn stelt duidelijke eisen aan organisaties op het gebied van cyberveiligheid. Veel van deze eisen sluiten nauw aan op de bestaande standaarden ISO 27001:2022 en NEN 7510:2024. Onderstaande tabel geeft een overzicht van de belangrijkste NIS2-onderwerpen en laat zien welke hoofdstukken en beheersmaatregelen uit ISO 27001 en NEN 7510 hier direct op aansluiten.

NIS2-onderwerpen	ISO 27001:2022/NEN 7510:2024
Beleid inzake risicoanalyse en beveiliging van informatiesystemen	Hoofdstukken 6, 7 en 8
Beleid en procedures rondom incidentenbehandeling	Beheersmaatregel A5.24 t/m A5.27 en A6.8
Maatregelen op het gebied van bedrijfscontinuïteit, zoals back-upbeheer en noodvoorzieningenplannen	Beheersmaatregel A5.29 en A6.8
Beveiliging van de toeleveranciersketen	Beheersmaatregel A5.19 t/m A5.23
Beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, inclusief de respons op en bekendmaking van kwetsbaarheden	Beheersmaatregel A8.1, A8.8, A8.19 en A8.25 t/m A8.32
Beleid en procedures om de effectiviteit van beheersmaatregelen van cyberbeveiligingsrisico’s te beoordelen	Hoofdstukken 6, 9 en 10
Basis cyberhygiëne en trainingen op het gebied van cyberbeveiliging	Beheersmaatregelen uit A5, A6, A7 en A8
Beleid en procedures over het gebruik van cryptografie en encryptie	Beheersmaatregel A8.24
Beveiligingsaspecten op het gebied van personeel, toegangsbeleid en beheer van activa	Beheersmaatregelen uit A5, A6 en A8
Het gebruik van multifactor-authenticatie, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen	Hoofdstuk 8 en beheersmaatregelen A5.14, A5. 42 en A8.3

Risicoanalyse actualiseren

Controleer of de volgende risico’s goed in de risicoanalyse zijn opgenomen: ransomwareaanvallen, stroomuitval, internetuitval, telefonie-uitval en andere calamiteiten.

Bedrijfscontinuïteitsplan opstellen

Zorg dat u een bedrijfscontinuïteitsplan heeft waarin er rekening mee wordt gehouden dat de dienstverlening naar kritieke sectoren door blijft gaan, ook bij grotere calamiteiten.

Kritieke leveranciers identificeren

Controleer welke leveranciers écht belangrijk zijn voor de eigen diensten aan kritieke sectoren en zorg voor voldoende back-ups, redundantie of voorraad.

Logging en monitoring optimaliseren

Zorg voor goede logging en monitoring op technische infrastructuur, zodat de kwetsbaarheden en aanvallen snel opgemerkt kunnen worden.

Security-testbeleid versterken

Zorg voor een goed security-testbeleid (voorheen PEN-testbeleid). Een eenvoudige PEN-test is niet meer voldoende. Er moet een gedetailleerde test worden uitgevoerd op kwetsbaarheden van buiten én van binnenuit.

Crisisplan en crisisteam voorbereiden

Denk na over een crisisplan en een crisisteam met daarin IT-specialisten én bestuurders en communicatiespecialisten. Verifieer of dit plan werkt bij eventuele crises.

Training voor bestuurders en senior management

NIS2 vraagt een proactieve, strategische benadering van bestuurders, directie en topmanagement. Door een training NIS2 compliance te volgen, weten bestuurders welke verantwoordelijkheden zij hebben en welke stappen nodig zijn om cyberdreigingen te beheersen en de bedrijfscontinuïteit te waarborgen.

Ga naar de training

NIS2 als relevante wetgeving opnemen

NIS2 moet geïdentificeerd worden als relevante wetgeving en in de contextanalyse worden opgenomen.

Zo helpt Kiwa NIS2-compliance

Om aan de NIS2-richtlijn te voldoen, is vaak meer nodig dan alleen technische maatregelen. Kiwa helpt organisaties bij het beoordelen, verbeteren en aantoonbaar maken van hun cyberweerbaarheid. Onderstaande diensten vormen daarbij de kern van onze aanpak.

Nulmeting: De nulmeting kan op elk gewenst moment worden uitgevoerd. Hiermee krijgt u een helder beeld van waar uw organisatie staat ten opzichte van de NIS2-vereisten.
Certificering: Als u besluit om voor certificering te gaan, kan dit worden gecombineerd met uw bestaande ISO 27001- en/of NEN 7510-certificering. Let op: er wordt een aparte rapportage opgesteld met betrekking tot de NIS2-bevindingen.
NIS2 Quality Mark QM20/QM30: Kiwa biedt een onafhankelijke beoordeling conform het NIS2 Quality Mark. Met het NIS2 Quality Mark-certificaat laat u klanten, partners en toezichthouders zien dat uw organisatie voldoet aan de eisen uit de Cyberbeveiligingswet (Cbw).
Training: Kiwa verzorgt verschillende NIS2-trainingen, zowel voor operational managers als voor bestuurders en senior managers.