Herziening NEN 7510

Na een periode van ruim 2 jaar afstemming, heeft NEN op 16 december 2024 een nieuwe versie van de NEN 7510 uitgebracht. De eerste versie van de NEN 7510 werd gepubliceerd in 2004. Sindsdien zijn in 2011 en in 2017 herzieningen uitgebracht van deze norm voor informatiebeveiliging in de zorg.

Op 21 januari 2025 bezochten Mark van den Bogaard en Geoffrey Langen namens MySecurityOffice het congres van NEN over de herziening van de NEN 7510. Hier zijn zij geïnformeerd over de wijzigingen in de nieuwe norm en de laatste ontwikkelingen rondom informatiebeveiliging in de zorg. Tijdens dit congres waren diverse belangrijke stakeholders aanwezig, waaronder de Inspectie Gezondheidszorg en Jeugd.

De reden voor actualisatie van de NEN 7510, ligt in nationale en internationale afspraken rondom normalisatie. Deze afspraken houden onder andere in dat iedere norm minimaal één keer per 5 jaar wordt geëvalueerd. Dit om na te gaan of nomen nog passend zijn (denk aan ontwikkelingen op o.a. maatschappelijk en technologisch vlak) en voldoet aan de actuele en relevante wet- en regelgeving.

"Maakt NEN 7510 uw organisatie NIS2 compliant?"

De NEN 7510-2024 kan goed gebruikt worden om te voldoen aan de vereisten uit de

NIS2-richtlijn. Door de implementatie van een werkend managementsysteem voor informatiebeveiliging (ISMS), geeft u ook invulling aan de eisen die de NIS2-richtlijn hieraan stelt. Tevens bevat de NEN 7510 concrete beheersmaatregelen voor cybersecurity, die ook vanuit de NIS2 vereist zijn.

De volgende beheersmaatregelen uit de NIS2 zijn ook opgenomen in de NEN 7510:

Voldoen aan de NEN 7510 wil niet zeggen dat uw organisatie NIS2-compliant is!

Maar… uw organisatie is dan al wel goed op weg om dit te bereiken.

De beheersmaatregelen: “Wat zijn de belangrijkste veranderingen?”

In de NEN 7510-2:2024 is het aantal hoofdstukken met beheersmaatregelen teruggebracht van veertien naar vier door het indelen van de beheersmaatregelen in de categorieën: organisatorisch, mensgericht, fysiek en technologisch. Dit in lijn met de ISO/IEC 27002:2022.

De lijst van beheersmaatregelen heeft in de NEN 7510-2 de volgende veranderingen ondergaan:

Omdat de zorgspecifieke aanvullingen komen uit de conceptnorm NEN-EN-ISO 27799:202X, bestaat de kans dat deze aantallen in 2025 nog kunnen wijzigen. Als dit het geval is, dan wordt de NEN 7510:2024 aangepast.

Bent u compliant?

Wilt u weten of uw organisatie voldoet aan de herziene NEN 7510 en/ of NIS2 compliant is? Wij helpen u graag om meer inzicht hierin te verkrijgen. Dit kunnen we bijvoorbeeld doen door het uitvoeren van een NEN 7510 en/of NIS2 scan.

Lumma stealer en Vidar zijn recent op de voorgrond getreden als grote nieuwe dreiging in de wereld van cyberdreigingen. Waar Lumma stealer een jaar geleden voornamelijk werd ingezet om cryptowallets te plunderen, heeft de malware zich inmiddels ontwikkeld tot een geavanceerde tool voor het stelen van wachtwoorden. De impact is dan ook veel breder geworden: de malware richt zich nu niet alleen op digitale portemonnees, maar steelt ook inloggegevens, wachtwoordbestanden en andere vertrouwelijke informatie. Dit werd onlangs pijnlijk duidelijk toen de Technische Universiteit Eindhoven tijdelijk lessen moest stopzetten na een security-incident waarbij Lumma stealer vermoedelijk betrokken was. Ook een grote Europese dienstverlener ondervond recent aanzienlijke schade door een variant van deze malware, wat aangeeft dat de dreiging niet slechts een theoretisch risico is, maar een feitelijke bedreiging.

De toename van digitale platformen en diensten binnen organisaties vergroot hun kwetsbaarheid voor snel veranderende aanvallen. Lumma stealer wordt bijvoorbeeld vaak verspreid via ogenschijnlijk onschuldige links, zoals "verify you’re human" tijdens het spelen van online games of via TikTok-video's die extra knoppen aanbieden voor "meer vergelijkbare content". In werkelijkheid installeren gebruikers daarmee schadelijke code, die zich vaak pas verraadt na het uitvoeren van een PowerShell-commando. De combinatie van alledaagse online activiteiten en onzichtbare malware maakt het moeilijk voor veel organisaties om de dreiging op tijd te onderkennen.

De impact van deze aanvallen is aanzienlijk, aangezien de focus van nieuwe varianten is verschoven van financiële schade naar het verzamelen van zoveel mogelijk inloggegevens. De gestolen data opent de deur naar verdere compromittering, zoals het overnemen van accounts en het binnendringen van bedrijfsnetwerken. Criminelen kunnen zich voordoen als legitieme gebruikers of systeembeheerders, wat leidt tot ransomware-aanvallen, datalekken en andere vormen van cybercriminaliteit die de werking van een organisatie ernstig verstoren.

Een andere zorgwekkende ontwikkeling is de toepassing van de zogenaamde Living off the Land (LoTL)-technieken door Lumma stealer en Vidar. Hierbij wordt malware niet als een zichtbaar programma op de computer geïnstalleerd, maar draait deze direct in het werkgeheugen (RAM). Dit maakt het extreem moeilijk voor traditionele antivirusoplossingen om de dreiging te detecteren, aangezien deze vaak gericht zijn op lokaal geïnstalleerde bestanden of processen. In plaats daarvan maakt de malware gebruik van legitieme Windows-tools, zoals PowerShell, om zichzelf te verbergen. Hierdoor wordt het vaak pas zichtbaar wanneer verdachte PowerShell-commando’s worden uitgevoerd, en zelfs dan kan de malware al actief zijn.

Dit verhoogt de kans dat aanvallen ongemerkt blijven, terwijl de malware ondertussen wachtwoorden, cookies en sessietokens steelt. Beveiligingsprofessionals raden aan om getroffen systemen onmiddellijk uit het netwerk te verwijderen of zelfs uit te schakelen, maar het is vaak te laat, omdat de malware zich snel in het RAM-geheugen verspreidt. Bovendien kunnen de aanvallen in hoog tempo veranderen. Wat vandaag wordt ontdekt, kan morgen alweer achterhaald zijn, omdat voortdurend nieuwe varianten worden uitgebracht met methoden die beveiligingsmaatregelen ontwijken.

De verscheidenheid en snelheid van deze aanvallen toont aan dat de traditionele benadering van IT-beveiliging niet meer toereikend is. Antivirussoftware of het gebruik van sterke wachtwoorden biedt geen garantie tegen de geavanceerde technieken van cybercriminelen. Malware zoals Lumma stealer kan eenvoudig toegang krijgen tot systematische gegevens door gebruik te maken van ingebouwde systeemtools en snel andere systemen binnen een netwerk te compromitteren.

Met de opkomst van deze dreigingen is de beveiliging van wachtwoorden belangrijker dan ooit. Hoewel veel gebruikers nog steeds inloggegevens lokaal in de browser bewaren, zijn deze een makkelijk doelwit voor malware zoals Lumma en Vidar. Een alternatief concept, zoals MindYourPass, genereert wachtwoorden dynamisch, wat de kans op hergebruik verkleint en geen centrale database biedt die hackers kunnen aanvallen. Toch kunnen infostealers ook inloggegevens direct verzamelen via keyloggers, waardoor traditionele wachtwoordbeveiligingsmethoden niet voldoende zijn.

Naast betere wachtwoordpraktijken moeten organisaties ook nadenken over netwerkbeveiliging en extra lagen van bescherming, zoals Zero Trust. Zero Trust houdt in dat geen enkele verbinding of gebruiker, zelfs binnen het eigen netwerk, automatisch wordt vertrouwd. Alle toegang wordt strikt gecontroleerd op basis van rollen en rechten, en afwijkend gedrag wordt onmiddellijk onderzocht. Dit vereist niet alleen technologische maatregelen, zoals het gebruik van Endpoint Detection and Response (EDR) of Extended Detection and Response (XDR), maar ook bewustzijn en training van medewerkers om verdachte activiteiten tijdig te melden.

Wachtwoordbeheer blijft belangrijk, maar met de geavanceerde dreigingen van vandaag is het van cruciaal belang om verder te kijken dan alleen sterk wachtwoordbeheer. Het beperken van netwerktoegang, het toepassen van strikte toegangsregels, en het gebruik van browserisolatie en geavanceerde detectiesystemen dragen bij aan een bredere verdedigingsstrategie tegen moderne cyberdreigingen zoals Lumma stealer en Vidar.

Voor de toekomst moet de rol van NIS2, de Europese richtlijn voor netwerk- en informatiebeveiliging, beter worden afgestemd op deze opkomende bedreigingen. Organisaties die onder NIS2 vallen, moeten proactief blijven en niet afwachten tot de richtlijn volledig is geïmplementeerd, aangezien de dreigingen al actueel zijn en zich snel ontwikkelen.

In de strijd tegen deze cyberdreigingen is een holistische aanpak noodzakelijk. Dit betekent dat naast technologische maatregelen ook cultuurverandering, training en samenwerking met externe beveiligingsspecialisten essentieel zijn. Organisaties moeten zich bewust zijn van de constante evolutie van cyberdreigingen en altijd alert blijven op nieuwe aanvalsmethoden en technieken.

Goed nieuws! De registratie voor Zorg & ICT 2025 is geopend.

Van 8 t/m 10 april 2025 zijn wij aanwezig op Zorg & ICT, hét grootste health tech event van Nederland.

Kom langs bij onze stand 07.D040 en ontdek hoe wij uw organisatie kunnen ondersteunen op informatiebeveiligingsgebied en uw cyberweerbaarheid kunnen verhogen.

Zorg & ICT publiceerde onlangs een artikel van ons over de impact van de NIS2-richtlijn en de Cyberbeveiligingswet (Cbw) op de zorgsector. Lees het hier: NIS2 & Cbw - MySecurityOffice.

Registreren is gratis via deze link: Klik hier om je gratis te registeren voor zorg & ict 2025.

We kijken ernaar uit je daar te zien!

Voor bijna alles heb je tegenwoordig een login nodig. Of het is voor het online kopen van kleding, het boeken van een reis of je bankgegevens te checken. Wachtwoorden houd je geheim en je wilt zeker niet dat deze in de verkeerde handen terecht komen. Maar hoe goed beveiligd ben jij? Op 2 mei is het World Password Day. Deze dag staat wereldwijd in het teken van de bewustwording in het omgaan met wachtwoorden.

w@cHtW0OrD!
Ruim een derde van de Nederlanders gebruikt dezelfde wachtwoorden voor verschillende logins. Handig voor jezelf om te onthouden natuurlijk. Maar niet zo slim wanneer men bij jouw gegevens komt. Denk aan een datalek bij een organisatie waar jouw gegevens bekend zijn. De hackers kunnen met deze gegevens ook verder induiken op jouw persoonlijke gegevens. Met deze gegevens kunnen ze zo ook bij andere bedrijven inbreken onder jouw naam. En dit wil je natuurlijk voorkomen! Stel je voor, ze komen achter het wachtwoord die je ook gebruikt voor de bank of andere betaalgegevens.

Strong, Stronger, Strongest
Tijd om een veilig en sterk wachtwoord te kiezen. Veelal geven websites al vereisten waar jouw wachtwoord aan moet voldoen om uberhaupt een login te kunnen maken. Maar hebben zij dit niet, dan is het goed om hier zelf mee aan de slag te gaan. Wanneer je een nieuw wachtwoord aanmaakt, gebruik dan:

Daarbij is nog een tip: gebruik niet de naam van jouw lievelingshuisdier en geboortejaar. Dit kan alsnog iets te makkelijk geraden worden.

Door het bos de bomen niet meer zien
Natuurlijk, door de vele verschillende logins zul je ook meer moeten onthouden. Het opschrijven op een papiertje is echter niet het meest handige om te doen. De browser wilt je helpen met het opslaan in de browser, maar weiger deze te allen tijde. Mocht iemand toegang hebben tot jouw device, denk bijvoorbeeld aan jouw laptop, dan hebben ze meteen ook toegang tot alle logingegevens. Allemaal omdat je dit hebt opgeslagen in je browser. De oplossing voor de vele wachtwoorden is een wachtwoord manager. Door dit systeem zijn al jouw wachtwoorden beveiligd en dankzij een ander wachtwoord heb je toegang tot dit systeem. Dat betekent inderdaad dat je minstens 1 wachtwoord toch moet onthouden. Het scheelt je een aantal keer resetten, wachtwoorden vergeten of onveilig opslaan. En een wachtwoord manager gebruikt altijd een sterk wachtwoord.

Beveiliging tot de MAX!
Naast sterke wachtwoorden heb je nog een extra middel die je kunt invoeren voor extra beveiliging: Multi Factor Authentication. Ook wel MFA of 2FA genoemd. Wanneer je wilt inloggen, zul je nog een extra actie moeten uitvoeren. Denk hierbij aan toestemming te geven via een MFA app of een verificatie code invoeren die je hebt ontvangen via de mail of telefoon. Mochten jouw inlogggevens of devices in de verkeerde handen terecht komen, dan hebben ze dankzij MFA niet direct toegang tot jouw gegevens. Daarmee kun je toch gerust adem halen wanneer je hoort over een datalek of wanneer jouw laptop gestolen is.

Het begint allemaal bij bewustwording en eigen stappen ondernemen. Dus, hoe staat het bij jou ervoor? Alles in orde of toch tijd om hier en daar een wachtwoord te veranderen?

Cyberweerbaarheid, awareness, informatiebeveilingsbewustzijn, cyberhygiene, resilience…. Zo maar een paar kreten die we tegenwoordig dagelijks meermaals in alle media tegenkomen, zowel in vak- als dagbladen, als het gaat om veiligheid & beveiliging van bedrijfsinformatie.

Ongeacht waar je als organisatie mee aan de slag gaat of bent, of je al gecertificeerd bent, of hard aan het werk om gecertificeerd te worden. Naar NIS2, ISO27001, NEN7510, BIO, CIS2 of een van de vele andere normen en frameworks.

Of als je simpelweg bezig bent om je business, klanten en medewerkers beter te beschermen….niet voor een papiertje, maar omdat je je risico’s wilt beheersen!

In alle deze situaties is herhaaldelijk aandacht vragen en houden voor veilig werken een must.

Dat kan op vele manieren, middels trainingen, hei-sessies, awareness sessies, training portals, cursussen maar ook door het aanstellen of inhuren van een Security Office(r), die al deze zaken en nog veel meer voor je organisatie regelt.

Wat je plan ook is, je kunt nu al heel snel een (eerste) actie ondernemen. Stuur ondervermelde CyberFit flyer rond in je organisatie. Een mooi voorbeeld van een goed overzicht aan eenvoudig te nemen maatregelen en gedragsvoorschriften. Het bevat een aantal elementaire tips die helpen om je medewerkers alert te houden op wat we vaak çyberhygiene noemen. Wil je daarna verder aan de slag en zoek je hulp? Neem contact met ons op. Maar verstuur eerst die flyer. Dat is sneller dan je eigen flyer maken.
Dus stel die mail met PDF op, klik op Send en stap 1 richting cyberfitheid is gezet.
Niet alle begin is moeilijk 😉  

Met dank aan Z-cert, de makers van deze PDF.

PS: Vergeet niet over een aantal weken deze PDF nogmaals te sturen. En/of print ‘m uit of druk ‘m af op posterformaat uit en hang ‘m in de pantry, kantine, receptie, bij de flipperkast en TVT (tafelvoetbaltafel..) of waar dan ook. Herhaling is key…

Vragen over CyberFit, schroom niet om contact met ons op te nemen!

URl naar de CyberFit Brochure op de Z-cert site:

https://z-cert.nl/wp-content/uploads/2021/01/Z-CERT_CyberFitWeb-1.pdf

Het Belang van een Security Meldpunt: Uw Bedrijf Beschermen

In een wereld waarin cyberdreigingen en beveiligingsincidenten aan de orde van de dag zijn, is het van cruciaal belang voor bedrijven om proactieve maatregelen te nemen om hun digitale activa te beschermen. Een van de waardevolle diensten die hierbij kunnen helpen, is een security meldpunt. In deze blogpost gaan we dieper in op wat een security meldpunt is en waarom het essentieel is voor uw bedrijf.

Wat is een Security Meldpunt?

Een commercieel security meldpunt is een dienst die bedrijven helpt bij het monitoren, detecteren en reageren op beveiligingsincidenten. Het fungeert als een centraal aanspreekpunt voor het melden van verdachte activiteiten en het coördineren van reacties op cyberdreigingen. Deze meldpunten zijn meestal bemand door experts op het gebied van cybersecurity en beschikken over geavanceerde tools en technologieën om bedreigingen te identificeren en te beperken.

Voordelen van een Security Meldpunt

  1. Snelle respons: Een security meldpunt kan onmiddellijk reageren op beveiligingsincidenten, waardoor schade wordt beperkt en herstelprocedures snel in werking worden gesteld.
  2. Continue Monitoring: Deze dienst biedt 24/7 monitoring, zodat zelfs de meest subtiele bedreigingen worden opgemerkt, ongeacht het tijdstip.
  3. Expertise: Meldpunten hebben toegang tot hoogopgeleide cybersecurity-experts die bedrijven kunnen helpen bij het begrijpen en aanpakken van complexe dreigingen.
  4. Kostenbesparing: Het inhuren van een security meldpunt kan kostenbesparend zijn in vergelijking met het opzetten van een intern beveiligingsteam.
  5. Compliance: Voor bedrijven die aan specifieke regelgeving moeten voldoen, kan een meldpunt helpen om aan de vereisten te voldoen en audits succesvol te doorstaan.

Het Juiste Meldpunt Kiezen

Bij het kiezen van een security meldpunt is het belangrijk om te kijken naar de specifieke behoeften en grootte van uw bedrijf. Niet elk meldpunt is hetzelfde, dus zorg ervoor dat u er een selecteert die past bij uw branche, budget en beveiligingsdoelstellingen.

In conclusie, in een tijdperk waarin digitale beveiliging een topprioriteit is voor bedrijven, is een security meldpunt een waardevolle partner om uw activa te beschermen. Het biedt niet alleen gemoedsrust, maar helpt ook om potentiële beveiligingsrisico's effectief te beheren. Overweeg vandaag nog de voordelen van een security meldpunt voor uw bedrijf en investeer in de bescherming van uw digitale toekomst.

Voor meer informatie over het inhuren van ons security meldpunt voor uw bedrijf, neem gerust contact met ons op. Uw beveiliging is onze prioriteit.

Ofwel, gaat NIS2 ook voor mijn organisatie gelden? 

“NIS wat..?” Goed, eerst even wat achtergrond dan 😉

NIS1

NIS1 is een Europese richtlijn voor cybersecurity die in 2016 is aangenomen en in 2018 in Nederlandse wet- en regelgeving is omgezet. Doel van NIS1 was o.a. om de cyberweerbaarheid van de EU naar een hoger niveau te brengen. De reikwijdte van NIS1 beperkte zich tot 6 aangewezen categorieën van zogenaamde essentiële en vitale aanbieders. Denk hierbij aan aanbieders van nutsvoorzieningen, het bankwezen, lucht- en zeehavens, maar ook internetknooppunten en aanbieders van domeinregisters. Overigens heeft Nederland opvallend genoeg de sector gezondheidszorg niet opgenomen, terwijl deze wel in de Europese richtlijn stond. Vanwege de beperkte reikwijdte is de NIS1 richtlijn relatief onbekend gebleven bij het grote publiek.

NIS2

De opvolger van NIS1 - de nu al bekendere NIS2, u heeft vast al enkele berichten zien langskomen over dit onderwerp - is in januari dit jaar in werking getreden en moet door de EU-lidstaten uiterlijk op 17 oktober 2024 in nationale wet- en regelgeving zijn omgezet.

De meest in het oog springende verandering van versie 1 naar 2 is de sterk uitgebreide reikwijdte van de nieuwe richtlijn. Veel meer sectoren en daarmee veel meer organisaties zullen toekomstig aan deze richtlijn moeten voldoen. Daarnaast zullen partijen die zich in de toeleveringsketen van deze organisaties bevinden, waarschijnlijk ook (deels) aan deze richtlijn moeten voldoen. Vooral dat laatste zorgt ervoor dat veel organisaties met deze richtlijn te maken zullen krijgen en dus stappen moet gaan zetten op het gebied van cybersecurity. Actueel is het nog niet exact duidelijk welke organisaties wel en welke niet NIS2-plichtig zullen zijn. Consultatie voor de Nederlandse implementatie gaat in het 1e kwartaal van 2024 van start.

Wel zijn de 18 sectoren bekend die als essentieel of belangrijk aangemerkt zullen worden. Tevens is duidelijk dat daarna de omvang van de organisatie bepalend zal zijn voor het wel of niet plichtig zijn, op basis van criteria zoals hoogte van de omzet resp. balanstotaal en/of aantal FTE.

To NIS or not to NIS

Een eerste inschatting of uw organisatie NIS2-plichtig zal zijn - “to NIS or not to NIS” - is te verkrijgen door het invullen van de zogenoemde Zelfevaluatie NIS2 op de site van de Rijksdienst Digitale Infrastructuur (RDI), zie tevens de link onderaan deze blog.

De NIS2 richtlijn gaat naast reikwijdte ook inhoudelijk veel verder dan NIS1 en omvat onder andere een strengere en gedetailleerdere beveiligingsplicht, een meldplicht en strenger toezicht en handhaving. In een volgende blog zullen wij aandacht besteden aan de inhoud van NIS2, vooral aan de beveiligingsplicht, wat organisaties moeten en kunnen doen en tevens hoe deze zich verhouden tot normen als ISO27001 en de BIO.

Hoewel NIS2 dus flink stringenter is dan NIS1 biedt het meer concrete handvaten en maatregelen dan NIS1, wat organisaties meer houvast geeft over wat te doen. En wat uiteindelijk zal leiden tot een betere cyberweerbaarheid! Wij staan klaar om u te ondersteunen, neem contact met ons op!

Links en bronnen:
Informatie over de Zelfevaluatie NIS2
Rijksoverheid informatie over NIS2
In deze blog is informatie opgenomen uit het artikel Cybersecurity in Europa

In december 2022 is de Nederlandse versie van de nieuwste ISO27001 norm gepubliceerd; versie 2022. Heeft uw organisatie reeds een ISO27001 certificaat, lees dan zeker verder!

ISO27001

De nieuwe versie, voluit “ISO/IEC 27001:2022_nl” geheten, vervangt versie 2013 (en de praktisch identieke versie uit 2017).
Het werd hoog tijd voor een nieuwe versie van de norm. ISO normen worden gemiddeld elke 5 jaar geactualiseerd middels een nieuwe versie. Voor 27001 heeft dit echter dus bijna 10 jaar geduurd, een eeuwigheid in het huidige digitale tijdperk. Sprekend voorbeeld is het gebruik van de term “Telewerken” in de 2013 versie, een term die nu associaties oproept met het geluid van krakende modems die een trage verbinding naar een terminal server opzetten, iets uit vorige decennia….

De belangrijkste wijzigingen in de nieuwe versie:

Hiermee wordt consistenter gebruik gemaakt van duidelijkere definities en termen, krijgen de belangen van stakeholders een grotere rol, is het verandermanagement gelijk gemaakt aan die in andere ISO normen en is de format eis voor gedocumenteerde informatie komen te vervallen.

Verder is er meer aandacht voor procesmatig werken en het procesmatig beheersen van ‘extern geleverde producten en diensten’ wordt belangrijker.

Annex A van 27001 verwijst naar de beheersmaatregelen in ISO27002. Hiervan is eerder in 2022 een nieuwe versie uitgekomen, met een nieuwe indeling naar organisatorische, mensgerichte, fysiek en technologische maatregelen. Dit zal voor de meeste organisaties betekenen dat zij de verwijzingen - die op diverse plekken in hun ISMS kunnen staan - moeten wijzigen. Denk bijvoorbeeld aan de risicoanalyse, eventueel het risicobehandelplan en de VvT.

Deze optioneel te gebruiken attributen kunnen groepering en selectie van maatregelen vergemakkelijken. Zo kunnen maatregelen o.a. getypeerd worden middels het label correctief of preventief en kunnen de IB-elementen B-I-V als label gebruikt worden om aan te geven op welke aspecten een maatregel invloed heeft.

Bij de tijd

Al met al is de ISO27001 norm met deze nieuwe versie weer ‘bij de tijd’. De nieuwe indeling maakt de norm leesbaarder en begrijpelijker. Tegelijkertijd zorgt deze nieuwe versie voor noodzakelijke wijzingen in uw ISMS. Zo zult u onder andere uw risicoanalyse en VvT moeten herzien en aanpassen, 11 nieuwe maatregelen dienen te beoordelen en zo nodig implementeren en – last but not least – gecertificeerd dienen te worden voor deze nieuwe norm. Een zogenaamde transitie-audit kan separaat uitgevoerd worden indien gewenst, logischer en efficiënter is het echter om dit te combineren met de eerstvolgende hercertificeringsaudit. Uiterlijk op 1 november 2025 dienen organisaties overgestapt te zijn op de nieuwe norm, dus plan deze overgang tijdig!

Pas in 2024 zullen er naar verwachting nieuwe versies verschijnen van op ISO27001 gebaseerde normen, zoals NEN7510 en de BIO. Er zal dus een periode ontstaan waarin de beheersmaatregelen niet meer 1 op 1 met elkaar overeenkomen en waardoor er gewerkt moet worden met verschillende Verklaringen van Toepassing en eventueel met tabellen kruisverwijzingen of mappings tussen de twee dan verschillende managementsystemen.

Wilt u meer weten over de nieuwe norm? En hoe hiermee om te gaan in combinatie met NEN7510 en/of de BIO?

MySecurityOffice informeert en adviseert u graag. Middels een GAP-analyse brengen wij in kaart wat de te nemen stappen zijn en maken wij samen met u een implementatieplan. Neem nu vrijblijvend contact met ons op.