Neem contact op
Neem contact op
Ga aan de slag met de NIS2 zorgplicht

Hoe een ISMS helpt aantoonbaar te voldoen aan de NIS2-zorgplicht

De NIS2-richtlijn (Network and Information Security Directive 2) is de vernieuwde Europese wetgeving die organisaties verplicht om hun digitale weerbaarheid te versterken. In Nederland wordt deze richtlijn geïmplementeerd via de Cyberbeveiligingswet (CBW), die de bestaande Wet beveiliging netwerk- en informatiesystemen (Wbni) vervangt.

Waar de oorspronkelijke NIS-richtlijn zich vooral richtte op vitale infrastructuren, breidt NIS2 dit uit naar een veel grotere groep organisaties, waaronder ook middelgrote bedrijven in sectoren als energie, transport, gezondheidszorg en digitale infrastructuur.

NIS2 stelt stevige eisen aan de cyberbeveiliging van deze essentiële en belangrijke entiteiten. Een van de belangrijkste verplichtingen is de zorgplicht. In dit blog legt Information Security Consultant Hanan uit hoe een Information Security Management System (ISMS) je helpt om invulling te geven aan die zorgplicht.

Met ISMS voldoen aan NIS2 zorgplicht

Wat houdt NIS2 in?

De NIS2-richtlijn verplicht organisaties passende maatregelen te nemen om hun digitale infrastructuur te beschermen en cyberrisico’s effectief te beheren. Daarbij zijn drie kernverplichtingen geformuleerd:

  • Zorgplicht: Neem passende technische en organisatorische maatregelen om risico’s voor netwerk- en informatiesystemen te beheersen.
  • Meldplicht: Meld ernstige incidenten binnen 24 uur bij de toezichthouder.
  • Registratieplicht: Registreer je organisatie bij de bevoegde autoriteit als je onder NIS2 valt.

Het zwaartepunt ligt duidelijk bij de zorgplicht: aantonen dat je als organisatie grip hebt op je informatie- en cyberbeveiliging.

De zorgplicht en de 10 thema’s
De zorgplicht is breed geformuleerd en kent tien onderliggende thema’s die richting geven aan informatiebeveiliging.

  1. Risicobeheer
  2. Beveiliging van de toeleveringsketen
  3. Incidentenbehandeling
  4. Bedrijfscontinuïteit
  5. Encryptie en netwerkbeveiliging
  6. Beheer activa en identiteits- en toegangsbeheer, inclusief logging en monitoring
  7. Beveiliging van netwerk- en informatiesystemen, inclusief beheer van kwetsbaarheden
  8. Veilige communicatie en authenticatie
  9. Cyberhygiëne en bewustwording
  10. Beleid en procedures voor het beoordelen van de effectiviteit van cyberbeveiligingsmaatregelen

Hoewel NIS2 deze onderwerpen benoemt, schrijft het niet exact voor hoe je ze moet invullen. Dat biedt ruimte, maar vraagt ook om structuur. En daar komt een ISMS om de hoek kijken.

Wat is een ISMS en waarom helpt het?

Een Information Security Management System (ISMS) is een raamwerk waarmee je informatiebeveiliging systematisch inricht, risico’s identificeert, beheersmaatregelen implementeert en continu verbetert. Het is gebaseerd op de principes van ISO 27001 en biedt een solide basis om aan de NIS2 zorgplicht te voldoen.

Een ISMS raakt direct aan veel thema’s uit de zorgplicht, zoals risicobeheer, incidentmanagement, bedrijfscontinuïteit en toeleveranciersbeveiliging. Het helpt je om deze onderwerpen gestructureerd in te vullen en je goed voor te bereiden op toezicht. Doordat een ISMS ook het vastleggen van procedures, verantwoordelijkheden en maatregelen omvat, kun je eenvoudig aantonen dat je voldoet aan de NIS2 eisen.

Belangrijke onderdelen van een ISMS zijn:

  • Risicoanalyse: identificeer en beoordeel risico’s op basis van impact en waarschijnlijkheid.
  • Beheersmaatregelen: implementeer passende maatregelen uit ISO 27001 Annex A, zoals toegangscontrole, back-ups, logging en incidentrespons.
  • PDCA-cyclus: Plan – Do – Check – Act, ofwel continue verbetering is ingebouwd in het systeem.

Met een ISMS toon je aan dat je risico’s structureel beheerst én dat je dit proces voortdurend blijft verbeteren. Het is niet voor niets dat de NIS2 in artikel 25 het gebruik van internationale normen expliciet aanmoedigt. In dit blog focussen we op ISO 27001, maar ook een ISMS volgens nationale of sectorspecifieke normen zoals NEN 7510 en BIO voldoet.

ISO 27001 Annex A als praktisch vertrekpunt

De zorgplicht verwacht dat organisaties organisatorische en technische maatregelen treffen om risico’s te beheersen. Annex A van ISO 27001 bevat een lijst van beheersmaatregelen die direct aansluiten op een aantal NIS2-thema’s. Zie voorbeelden hiernaast.

Door deze maatregelen te koppelen aan je ISMS, leg je een directe koppeling tussen je beleid en de NIS2-verplichtingen. Zo ontstaat een solide basis voor compliance.

Let op! een ISO 27001 certificering betekent niet automatisch volledige NIS2-compliance. Het legt wel een stevig fundament. Extra aandachtspunten zijn bijvoorbeeld de meldplicht en registratieplicht. Deze zijn expliciet opgenomen in de NIS2 maar geen vast onderdeel van ISO 27001.

Beheersmaatregelen NIS2 zorgplicht

Stappenplan: zo begin je zelf

Wil je een ISMS opzetten als sterke basis voor NIS2 compliance? Volg dan deze praktische stappen.

Check of jouw organisatie binnen de scope van de NIS2-richtlijn valt. Gebruik hiervoor onze handige NIS2 Check.

Breng in kaart waar je nu staat qua informatiebeveiliging en welke actie je nog moet ondernemen om volledig compliant te zijn.

Kijk of er nieuwe risico’s of kwetsbaarheden zijn bijgekomen die relevant zijn in het licht van NIS2. Pas je risicoanalyse hierop aan.

Gebruik Annex A van ISO 27001 als basis en toets of je maatregelen aansluiten bij de specifieke eisen uit NIS2.

Zorg dat medewerkers op de hoogte zijn van de NIS2 eisen. Denk aan gerichte awareness-sessie en de NIS2 bestuurderstraining om betrokkenheid en compliance te versterken.

Heb je nog geen ISMS? Lees dan ook ons blog Informatiebeveiliging aantoonbaar borgen? Start met een ISMS” en ontdek welke eerste stappen je kunt zetten. 

Conclusie

De NIS2-richtlijn vraagt om aantoonbare, veilige en verantwoorde omgang met data. Een ISMS biedt precies dat: structuur, transparantie en een continue verbetercyclus. Door ISO 27001 als fundament te gebruiken, leg je niet alleen een sterke basis voor compliance, maar maak je je organisatie ook digitaal weerbaarder.

Bij Cuccibu hebben we niet alleen ruime ervaring met het opzetten van een ISMS conform ISO 27001 of sectorspecifieke normen (zoals NEN 7510 en BIO), maar weten we ook de NIS2-zorgplicht praktisch te vertalen naar de dagelijkse praktijk. Benieuwd hoe we jouw organisatie daarbij kunnen ondersteunen? Neem gerust vrijblijvend contact met ons op.

Reduce Risk, Create Value!

Contact

Naar overzicht