Voldoen aan kwaliteitseisen

Het voldoen aan kwaliteitseisen is een prioriteit voor Toomba. Jaarlijks beoordeeld worden door een externe, onafhankelijke partij is wellicht niet altijd prettig, maar het is van vitaal belang om te voldoen aan internationale normen. Een dergelijke norm is ISO 27001, een wereldwijde standaard voor informatiebeveiliging.

Deze focus heeft ons aangemoedigd om nog kritischer naar onze werkwijzen te kijken. Zijn onze processen adequaat gedocumenteerd? Hoe kunnen we ze verbeteren? Het streven naar voortdurende verbetering zit in onze bedrijfscultuur verweven. Daarom hebben we de PDCA-cyclus (Plan-Do-Check-Act) enthousiast omarmd, en de verbeteringen volgen elkaar snel op.

Het is opmerkelijk hoe betrokkenheid bij informatiebeveiliging bijna plezierig kan zijn. Vaak wordt het niet zo direct ervaren namelijk. Het dwingt ons om alle processen die we voorheen wellicht over het hoofd zagen, op te nemen in ons Information Security Managment System (ISMS).

Wil je trouwens meer weten over ISO27001 of inzage in ons informatie beveiligingsbeleid neem dan gerust contact op.

 

Kruisbestuiving

Een ISO 27001-certificering brengt bijvoorbeeld ook de BIO-standaarden binnen bereik. De Baseline Informatiebeveiliging Overheid (BIO) vormt een essentieel referentiepunt voor informatiebeveiliging op alle niveaus van de Nederlandse overheid, waaronder het Rijk, gemeenten, provincies en waterschappen. Het biedt een beschrijving van het basisniveau voor informatiebeveiliging.

Het is dan ook niet verrassend dat de BIO is gebaseerd op internationale normen, zoals NEN-EN-ISO/IEC 27001:2017 en NEN-EN-ISO/IEC 27002:2017. Het doel is om de veiligheid van de digitale overheid verder te verbeteren. Dit geldt ook voor NIS2. De dreiging van cyberaanvallen tegen kritieke en vitale infrastructuur in onze samenleving, waaronder de gezondheidszorg, het financiële systeem, de watervoorziening en transportnetwerken, neemt toe met de groei van de digitale transformatie, geopolitieke ontwikkelingen en het gebruik van IoT-technologieën. Daarom heeft Europa de Network and Information Security Directive (NIS2) geïntroduceerd.

BIO

Moderne publieke dienstverlening vereist een sterke IT-infrastructuur en geïntegreerde aandacht voor IT-beveiliging. Informatiebeveiliging binnen de overheid krijgt dan ook steeds meer prioriteit. Het naleven van de Baseline Informatiebeveiliging Overheid (BIO) is cruciaal binnen het IT-domein. De BIO stelt overheids-IT-afdelingen in staat om passende maatregelen te nemen ter bescherming van de beschikbaarheid, integriteit en vertrouwelijkheid van persoonsgegevens. Het naleven van deze norm toont aan dat de bedrijfsvoering op orde is.

De BIO biedt een set van beveiligingsmaatregelen voor Nederlandse overheidsorganisaties en hun partners. Het richtlijnenkader zorgt voor uniformiteit en biedt richtlijnen voor het waarborgen van informatiebeveiliging binnen de overheid, gebaseerd op internationale normen zoals ISO/IEC 27001 en ISO/IEC 27002.

Het hoofddoel van de BIO is het creëren van een eenduidig en samenhangend beveiligingsniveau binnen de hele overheid, met aandacht voor specifieke risico’s en belangen van overheidsorganisaties. Het gebruik van één normenkader voor de gehele overheid brengt diverse voordelen met zich mee, zoals versterking van de informatieveiligheid, verlichting van administratieve lasten en aansluiting bij internationale standaarden.

NIS2 wat is dat?

NIS, de Network and Information Security-richtlijn, is geen nieuw begrip in Europa. Sinds 2016 is er al een NIS-richtlijn van kracht, gericht op het identificeren en aanpakken van risico’s die netwerk- en informatiesystemen bedreigen, zoals cyberbeveiligingsrisico’s. Nu wordt de NIS2 geïntroduceerd als opvolger van deze richtlijn, met als doel het verbeteren van de digitale weerbaarheid van Europese lidstaten.

NIS2 is gericht op het verbeteren van de cybersecurity en harmonisatie binnen Europa. Het legt meer nadruk op het beveiligen van netwerk- en informatiesystemen, en beoogt een hoger niveau van cybersecurity te bereiken bij bedrijven en organisaties. De richtlijn vormt een aanvulling op de nationale wetgeving, zoals de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni) in Nederland.

Garantie voor onze klanten

Het ISO 27001 certificaat geeft onze relaties, klanten en belangstellenden de zekerheid dat wij belang hechten aan privacy en zorgvuldig met persoonlijke gegevens omspringen. Met de ISO 27001 certificering laten we zien dat we voldoen aan alle eisen rondom informatiebeveiliging. Daarmee bieden we onze klanten de garantie dat gegevens en hun bedrijfsinformatie in hoge mate door onze processen worden beschermd.

Bedrijfsprocessen continu verbeteren

Deze certificering zorgt er nog meer voor dat we bestaande risico’s binnen Toomba zo goed mogelijk voorkomen waardoor er minder incidenten zijn. Daarnaast weet iedereen binnen onze organisatie wat te doen als er toch een incident is, zoals een datalek of een cyberaanval. Bij het behalen van de certificering komt heel wat kijken en door dit gehele traject is er bij iedereen nog meer awareness gecreëerd en staan we allemaal op ‘scherp’ wat betreft veilig omgaan met mogelijk gevoelige data. Informatiebeveiliging staat structureel op onze agenda en het blijft qua verbetering niet alleen bij losse initiatieven en (kleine) verbeteracties. We zijn als team gemotiveerd om onze interne bedrijfsprocessen continu te verbeteren en aan te scherpen.

Vragen?

Nieuwsgierig naar de inhoudelijke details van ons certificering? Je kunt onze beleidsdocumenten opvragen bij onze security officer Patrick Berends via patrick@toomba.nl.

Van Europese richtlijn naar nationale wetgeving

Een ISO/IEC 27001:2022-gecertificeerd informatiebeveiligingsmanagementsysteem wordt steeds belangrijker onder de NIS2-richtlijn. Het helpt organisaties bij het identificeren en analyseren van informatiebeveiligingsrisico’s en het implementeren van gerichte maatregelen. Een GAP-Analyse kan helpen om de huidige status van informatiebeveiliging te beoordelen en de nodige stappen te identificeren om aan de criteria te voldoen.

De NIS2-richtlijn streeft ernaar de cybersecurity op diverse manieren te verbeteren en zal door lokale regelgeving worden opgelegd aan alle bedrijven en organisaties die worden geclassificeerd als behorend tot vitale sectoren in Nederland:

  • Energie
  • Digitale aanbieders
  • Transport
  • Post- en koeriersdiensten
  • Infrastructuur financiële markt
  • Afvalstoffenbeheer
  • Gezondheidszorg
  • Levensmiddelen
  • Drinkwater
  • Chemische stoffen
  • Digitale infrastructuur
  • Onderzoek
  • Afvalwater
  • Vervaardiging/manufacturing
  • Overheidsdiensten
  • Ruimtevaart
  • Beheerders van ICT Diensten
  • Bankwezen

In principe vallen micro- en kleine organisaties niet onder de NIS2-richtlijn. Echter, naar verwachting zullen deze organisaties wel geconfronteerd worden met nieuwe of aanvullende eisen op het gebied van cybersecurity

Een belangrijk verschil met de eerste NIS-richtlijn is dat organisaties automatisch onder de NIS2-richtlijn vallen als ze actief zijn in een van de genoemde sectoren en aan de onderstaande criteria voldoen om te worden gekwalificeerd als ‘essentiële’ of ‘belangrijke’ entiteit.

Essentiële entiteiten:

  • Dit zijn grote organisaties in sectoren die onder de NIS2-richtlijn vallen.
  • Een organisatie wordt als groot beschouwd op basis van:
      • Minimaal 250 werknemers, of
      • Een jaaromzet van € 50 miljoen of meer en een balanstotaal van € 43 miljoen of meer.

Belangrijke entiteiten:

  • Dit zijn middelgrote organisaties in relevante sectoren, evenals middelgrote en grote organisaties in andere sectoren.
  • Een organisatie wordt als middelgroot beschouwd als ze:
    • 50 of meer werknemers hebben, of
    • Een jaaromzet en balanstotaal van € 10 miljoen of meer hebben.

Micro- en kleine bedrijven vallen in principe niet onder de NIS2-richtlijn. Echter, een minister kan ervoor kiezen om een micro- of klein bedrijf alsnog aan te wijzen op basis van een risicobeoordeling. Dit kan bijvoorbeeld gebeuren als hun dienstverlening van cruciaal belang is voor de Nederlandse economie of maatschappij. In dat geval worden deze bedrijven geïnformeerd door het desbetreffende ministerie.

Daarnaast zijn er micro- en kleine bedrijven die wel onder de NIS2-richtlijn vallen, zoals aanbieders van vertrouwensdiensten, registers voor topleveldomeinnamen, verleners van domeinnaamregistratiediensten, aanbieders van openbare elektronische-communicatienetwerken en -diensten. Deze bedrijven vallen automatisch onder de NIS2-richtlijn, evenals overheidsinstanties in genoemde sectoren.

De belangrijkste aandachtspunten zijn:

  1. Aanscherping van beveiligingseisen: Strengere eisen worden opgelegd om de beveiliging te verbeteren.
  2. Beveiliging in de supply chain aanpakken: Er wordt aandacht besteed aan het beveiligen van de supply chain.
  3. Verbetering van rapportageverplichtingen: Rapportageverplichtingen worden verbeterd om incidenten nauwkeurig te documenteren.
  4. Strenger toezicht: Er wordt strenger toezicht gehouden om naleving van de richtlijn te waarborgen.
  5. Handhavingsvereisten met sancties: Sancties, waaronder boetes tot 10 miljoen euro of 2% van de totale wereldwijde jaaromzet, worden opgelegd aan organisaties die de NIS2-richtlijn niet naleven.

De verplichtingen van de NIS2-richtlijn kunnen worden onderverdeeld in een zorgplicht en een meldplicht.

  • De zorgplicht vereist een grondige risicobeoordeling, gevolgd door het implementeren van passende maatregelen.
  • De meldplicht vereist dat incidenten die de verlening van essentiële diensten significant kunnen verstoren, binnen 24 uur worden gemeld bij de toezichthouder. In geval van een cyberincident moet dit ook gemeld worden bij het Computer Security Incident Response Team (CSIRT).

Niet-naleving van de NIS2-richtlijn kan leiden tot boetes en mogelijke schorsing, afhankelijk van de ernst van de overtreding.

  1. Zorgplicht: De richtlijn stelt een zorgplicht in voor entiteiten, waarbij ze verplicht zijn om zelf een risicobeoordeling uit te voeren. Op basis daarvan dienen ze passende maatregelen te nemen om de continuïteit van hun diensten te waarborgen en de gebruikte informatie te beschermen.
  2. Registratieplicht: Entiteiten die onder de NIS2-richtlijn vallen, zijn verplicht om zich te registreren. Deze registratie heeft tot doel een Europees overzicht te bieden van het aantal entiteiten dat onder de NIS2-richtlijn valt.
  3. Meldplicht: Volgens de richtlijn dienen entiteiten incidenten binnen 24 uur te melden bij de toezichthouder. Dit betreft incidenten die de verlening van essentiële diensten aanzienlijk kunnen verstoren. In geval van een cyberincident moet het ook worden gemeld bij het Computer Security Incident Response Team (CSIRT), dat vervolgens hulp en bijstand verleent. Factoren die een incident meldingswaardig maken zijn onder andere het aantal getroffen personen, de duur van de verstoring en mogelijke financiële verliezen.
  4. Toezicht: Organisaties die onder de richtlijn vallen, worden ook onder toezicht gesteld. Dit toezicht houdt onder andere in dat wordt gecontroleerd of de verplichtingen uit de richtlijn, zoals de zorg- en meldplicht, worden nageleefd. Momenteel wordt bepaald welke sectoren onder welke toezichthouder vallen.

Dankzij de NIS2-richtlijn groeit het belang van een informatiebeveiligingsmanagementsysteem. Een dergelijk systeem, gecertificeerd volgens de ISO/IEC 27001:2022, ondersteunt bij het identificeren, analyseren en aanpakken van informatiebeveiligingsrisico’s door het implementeren van specifieke maatregelen. Bovendien biedt dit systeem een mechanisme dat helpt bij het voorbereiden op onverwachte incidenten. ISO/IEC 27001:2022 legt niet alleen uit hoe informatiebeveiliging moet worden geïntegreerd in de bedrijfsvoering, maar zal ook steeds beter en effectiever worden