NEN 7510 voor informatiebeveiliging zorg vernieuwd

De norm NEN 7510 voor informatiebeveiliging in de zorg is herzien. De nieuwe NEN 7510-1:2024 is gepubliceerd op 16 december 2024 en vervangt de vorige versie, NEN 7510:2017+A1:2020. Gebruik van de oude versie van de norm blijft voor certificatiedoeleinden onder accreditatie mogelijk, tot 20-02-2027.

De nieuwe versie van de NEN 7510 bevat belangrijke updates en is afgestemd op de nieuwste versies van ISO/IEC 27001, ISO/IEC 27002 en het internationale normontwerp ISO/IEC DIS 27799, met aanvullende eisen voor de zorgsector. Daarnaast is er aandacht voor (nieuwe) wetgeving. NEN 7510 helpt organisaties bijvoorbeeld op weg in het voldoen aan de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz), Wet elektronische gegevensuitwisseling in de zorg (Wegiz) en de Europese NIS2-richtlijn die vanaf 2025 van kracht wordt. 

Wat zijn de belangrijkste wijzigingen?

Een van de belangrijkste veranderingen is de integratie van de nieuwste ISO/IEC 27001 en ISO/IEC 27002 normen, wat zorgt voor een betere aansluiting op internationale standaarden. Zo zijn 14 algemene ISO-beheersmaatregelen aangepast voor toepassing binnen een zorgorganisatie en zijn er 8 extra maatregelen die specifiek gericht zijn op de zorgsector. Deze aanpassingen dragen bij aan het mitigeren van de continu veranderende cyberrisico’s en zijn de opmaat voor de eisen van de NIS2-richtlijn.

Hoe kan de NEN 7510 als basis fungeren voor de NIS2?

De richtlijn Network and Information Security 2 (NIS2) gaat over het vergroten van de digitale weerbaarheid van organisaties en instellingen in onder meer de zorgsector. In Nederland wordt de NIS2 vertaald in de Cyberbeveiligingswet (Cbw). Door te voldoen aan de NEN 7510, voldoet u al voor een deel aan de eisen uit de Cbw, bijvoorbeeld door de volgende beheersmaatregelen: noodcommunicatie, externe incidentrapportage, managementtraining en Zero Trust Principles. Ook als uw organisatie niet onder de reikwijdte van de Cbw valt, is het werken volgens NEN 7510 een verplichting voor zorgaanbieders.

Wacht niet met implementatie

Als zorgorganisatie doet u er goed aan om niet te lang te wachten met de implementatie van NEN 7510:2024. Deze bevat namelijk tal van updates die de norm beter laten aansluiten bij actuele cybersecurity-uitdagingen in de zorgsector. Is uw organisatie al NEN 7510-gecertificeerd? Dan raden wij u aan om nu al aan de slag te gaan met de nieuwe norm, die gratis beschikbaar is op de website van de NEN. De audittijd wordt verhoogd (bij enkelvoudige NEN-transitieaudits komt er een halve dag audittijd bij). Voor de Initiële audit wordt dit direct conform de nieuwe norm berekend en toegepast.

Transitieperiode

Voor NEN 7510 geldt een transitieperiode van twee jaar. Dat betekent dat gecertificeerde organisaties vóór 20 februari 2027 de transitie moeten hebben gemaakt naar de NEN 7510:2024. Kiwa is gestart met het accreditatieproces, implementatie van NCS 7510:2025 is onderhanden. We informeren u de komende tijd over de voortgang en de door u te nemen stappen.