Welke normen zijn een hulpmiddel om te voldoen aan de NIS2?
Het gebruik van cybersecurity normen zoals bijvoorbeeld ISO 27001, het NIS2 Quality Mark, CYRA, NEN7510 en andere normen (bekijk de pdf ‘Cybersecurity standards landscape’) zijn belangrijk voor organisaties die aan de NIS2 wetgeving willen voldoen om verschillende redenen:
1. Internationaal erkend kader
Normen zoals ISO 27001 bieden een gestructureerd en internationaal erkend kader voor het beheren en beveiligen van informatie. Dit kader ondersteunt organisaties bij het implementeren van de benodigde beveiligingsmaatregelen om aan de vereisten van NIS2 te voldoen.
2. Samenwerking met directe leveranciers verplicht
Conform artikel 21.2d van de NIS2 richtlijn moeten NIS2 bedrijven de veiligheid in de keten garanderen door maatregelen op te leggen aan hun directe leveranciers indien er sprake is van een risico.
Om dit contractueel vast te leggen zijn normen essentieel. Waarom is dat zo?
Juridisch kun je een overeenkomst anders heel moeilijk handhaven. Theoretisch zou een NIS2 organisatie specifieke individuele cybersecuritymaatregelen zelf kunnen formuleren. Daarna zou men de definities daarvan moeten opschrijven, dat is lastig. En bij een uiteindelijke audit zou ook het auditbureau zich moeten verdiepen in het contract en de specifieke maatregelen. Dit is praktisch gezien niet realistisch tenzij NIS2 bedrijven een eigen interne compliance afdeling zouden hebben. Organisatorisch is dat niet echt haalbare zaak voor veel NIS2 bedrijven want ketencompliance is voor veel bedrijven niet gebruikelijk. Omdat die optie heel lastig en duur is, heb je normen nodig.
Naar normen kun je verwijzen, die zijn bekend, die zijn al geformuleerd, die zijn auditbaar door de bekende normen auditbureaus en dus eigenlijk noodzakelijk voor de samenwerking met directe leveranciers. Door een norm te gebruiken die aansluit op de lokale NIS2 wetgeving en het risico van de keten afdekt ben je juridisch gezien goed bezig. Het zijn dus juist normen die een belangrijke rol gaan spelen in het bevorderen van een veilige en aan wetgeving conforme toeleveringsketen. Het NIS2 Quality Mark is speciaal ontwikkeld voor de NIS2 toeleveringsketen en is daarvoor een handig hulpmiddel.
3. Certificering en vertrouwen
Door het behalen van relevante certificeringen tonen organisaties aan dat zij een betrouwbaar niveau van cybersecurity handhaven. Dit verhoogt het vertrouwen bij klanten, partners en regelgevende instanties.
4. Demonstratie van compliance
De NIS2 richtlijn vereist dat essentiële en belangrijke entiteiten passende technische en organisatorische maatregelen nemen om hun netwerken en informatiesystemen te beschermen. Het volgen van erkende normen helpt bij het aantonen van deze compliance. Tegelijk moet je wel zorgen dat je de norm kiest die past bij het risico. Bijvoorbeeld: Je legt een zware norm op als je werkt met leveranciers die in het kernproces zitten en waardoor je organisatie stilvalt bij een incident. En een minder zware norm als de impact van een hack beperkt is en/of als er uitwijkmogelijkheden zijn.
5. Risicobeoordeling en -beheer
Normen leggen sterke nadruk op risicobeoordeling en risicobeheer. Door deze normen te volgen, kunnen organisaties effectief de risico’s identificeren, beoordelen en behandelen die hun informatie en systemen kunnen bedreigen.
6. Internationale en regionale voordelen
Algemene normen zoals ISO 27001 zijn internationaal erkend en bevorderen wereldwijde handel, terwijl specifieke normen zoals het NIS2 Quality Mark, gericht op naleving binnen de EU, de positie van organisaties binnen de Europese markt versterken.
Samengevat, het naleven van cybersecurity normen is een essentieel hulpmiddel voor organisaties die moeten voldoen aan de NIS2 richtlijn, omdat het helpt bij het structureren van hun cybersecurity inspanningen, het aantonen van hun commitment aan veiligheid, en het verzekeren van compliance met de wet.
Bekijk de pdf ‘Cybersecurity standards landscape’ met daarin een overzicht van veelgebruikte cybersecurity normen.
Welke normen kun je gebruiken?
Een overzicht van gangbare cybersecurity normen