NEN 7510: Uw weg naar NIS2 Compliance?

Herziening NEN 7510

Na een periode van ruim 2 jaar afstemming, heeft NEN op 16 december 2024 een nieuwe versie van de NEN 7510 uitgebracht. De eerste versie van de NEN 7510 werd gepubliceerd in 2004. Sindsdien zijn in 2011 en in 2017 herzieningen uitgebracht van deze norm voor informatiebeveiliging in de zorg.

Op 21 januari 2025 bezochten Mark van den Bogaard en Geoffrey Langen namens MySecurityOffice het congres van NEN over de herziening van de NEN 7510. Hier zijn zij geïnformeerd over de wijzigingen in de nieuwe norm en de laatste ontwikkelingen rondom informatiebeveiliging in de zorg. Tijdens dit congres waren diverse belangrijke stakeholders aanwezig, waaronder de Inspectie Gezondheidszorg en Jeugd.

De reden voor actualisatie van de NEN 7510, ligt in nationale en internationale afspraken rondom normalisatie. Deze afspraken houden onder andere in dat iedere norm minimaal één keer per 5 jaar wordt geëvalueerd. Dit om na te gaan of nomen nog passend zijn (denk aan ontwikkelingen op o.a. maatschappelijk en technologisch vlak) en voldoet aan de actuele en relevante wet- en regelgeving.

"Maakt NEN 7510 uw organisatie NIS2 compliant?"

De NEN 7510-2024 kan goed gebruikt worden om te voldoen aan de vereisten uit de

NIS2-richtlijn. Door de implementatie van een werkend managementsysteem voor informatiebeveiliging (ISMS), geeft u ook invulling aan de eisen die de NIS2-richtlijn hieraan stelt. Tevens bevat de NEN 7510 concrete beheersmaatregelen voor cybersecurity, die ook vanuit de NIS2 vereist zijn.

De volgende beheersmaatregelen uit de NIS2 zijn ook opgenomen in de NEN 7510:

  • Beleid over risicoanalyse en beveiliging van informatiesystemen.
  • Incidentenbehandeling.
  • Bedrijfscontinuïteit, zoals back-upbeheer en noodvoorzieningenplannen, en crisisbeheer.
  • De beveiliging van de toeleveringsketen, met inbegrip van beveiligingsgerelateerde aspecten met betrekking tot de relaties tussen elke entiteit en haar rechtstreekse leveranciers of dienstverleners.
  • Beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, met inbegrip van de respons op en bekendmaking van kwetsbaarheden.
  • Beleid en procedures om de effectiviteit van maatregelen voor het beheer van cyberbeveiligingsrisico’s te beoordelen.
  • Basispraktijken op het gebied van cyberhygiëne en opleiding op het gebied van cyberbeveiliging.
  • Beleid en procedures over het gebruik van cryptografie en, in voorkomend geval, encryptie.
  • Beveiligingsaspecten ten aanzien van personeel, toegangsbeleid en beheer van activa.
  • Wanneer gepast, het gebruik van multifactor-authenticatie- of continue-authenticatieoplossingen, beveiligde spraak-, video- en tekst-communicatie en beveiligde noodcommunicatiesystemen binnen de entiteit.

Voldoen aan de NEN 7510 wil niet zeggen dat uw organisatie NIS2-compliant is!

Maar… uw organisatie is dan al wel goed op weg om dit te bereiken.

De beheersmaatregelen: “Wat zijn de belangrijkste veranderingen?”

In de NEN 7510-2:2024 is het aantal hoofdstukken met beheersmaatregelen teruggebracht van veertien naar vier door het indelen van de beheersmaatregelen in de categorieën: organisatorisch, mensgericht, fysiek en technologisch. Dit in lijn met de ISO/IEC 27002:2022.

De lijst van beheersmaatregelen heeft in de NEN 7510-2 de volgende veranderingen ondergaan:

  • De 114 algemene beheersmaatregelen uit de NEN7510-2:2017 zijn teruggebracht naar 82 beheersmaatregelen.
  • De 82 algemene beheersmaatregelen zijn aangevuld met 11 algemene beheersmaatregelen uit de ISO/IEC 27002:2022. Deze maatregelen gaan vooral over cloudservices, privacy en cybersecurity.
  • De 33 algemene beheersmaatregelen met een zorgspecifieke aanvulling in de oude NEN 7510 zijn teruggebracht naar 14.
  • De drie zorgspecifieke beheersmaatregelen (aangemerkt met HLT van HeaLTh) zijn uitgebreid op basis van de concept norm NEN-EN-ISO 27799:202X van drie naar acht.
  • Dit resulteert in een nieuw totaal aantal beheersmaatregelen van 101.
  • Elke beheersmaatregel is voorzien van attributen/kenmerken die kunnen worden gebruikt om beheersmaatregelen in verschillende overzichten te filteren, sorteren of presenteren voor verschillende doelgroepen.

Omdat de zorgspecifieke aanvullingen komen uit de conceptnorm NEN-EN-ISO 27799:202X, bestaat de kans dat deze aantallen in 2025 nog kunnen wijzigen. Als dit het geval is, dan wordt de NEN 7510:2024 aangepast.

Bent u compliant?

Wilt u weten of uw organisatie voldoet aan de herziene NEN 7510 en/ of NIS2 compliant is? Wij helpen u graag om meer inzicht hierin te verkrijgen. Dit kunnen we bijvoorbeeld doen door het uitvoeren van een NEN 7510 en/of NIS2 scan.