Laatste Ontwikkelingen: ISO27001, NIS2 en DORA
Wat is DORA en hoe kan Global Secure hierbij ondersteunen?
6 december 2024
ISO 27001:2013-certificaten vervallen – stap op tijd over naar ISO 27001:2022
9 juli 2025
De eisen rond informatiebeveiliging, cyberweerbaarheid en risicomanagement worden steeds strenger. Drie kaders staan momenteel volop in de belangstelling: ISO27001:2022, de nieuwe Europese NIS2-richtlijn, en de aankomende DORA-verordening voor de financiële sector. Hieronder lees je de belangrijkste ontwikkelingen en tips per onderwerp.
✅ ISO27001:2022 – Nieuwe versie, nieuwe focus
De wereldwijd erkende norm voor informatiebeveiliging is in 2022 vernieuwd en organisaties moeten binnenkort overstappen.
Belangrijkste ontwikkelingen:
- Herziene Annex A-controls: Het aantal controls is teruggebracht van 114 naar 93, met nieuwe aandacht voor o.a. threat intelligence, cloudbeveiliging en data masking.
- Structuur en koppeling met andere normen: De norm sluit nu beter aan bij andere ISO-managementsystemen zoals ISO9001 en ISO22301, wat integratie vergemakkelijkt.
- Overgangsperiode tot oktober 2025: Certificaten volgens de oude versie (2013) zijn dan niet meer geldig.
Tips:
- Start op tijd met een gap-analyse om te bepalen wat er moet worden aangepast.
- Maak gebruik van de nieuwe control-structuur om de documentatie te vereenvoudigen.
- Betrek IT, compliance en procesverantwoordelijken actief bij de overgang.
⚠️ NIS2 – Europese richtlijn met impact vanaf oktober 2024
De opvolger van de oorspronkelijke NIS-richtlijn verplicht veel meer organisaties om hun cybersecurity serieus te organiseren.
Belangrijkste ontwikkelingen:
- Grotere scope: Sectoren zoals gezondheidszorg, levensmiddelen, maakindustrie, cloudproviders en datacenters vallen nu ook onder de wet.
- Strenge eisen: Organisaties moeten aantoonbare maatregelen nemen op het gebied van risicobeheer, incidentrespons, netwerkbeveiliging en toeleveranciersbeheer.
- Toezicht en sancties: Lidstaten stellen toezichthouders aan en boetes kunnen oplopen tot 10 miljoen euro of 2% van de jaaromzet.
Tips:
- Controleer of jouw organisatie binnen de scope van NIS2 valt (essentiële of belangrijke entiteit).
- Begin met een risicoanalyse en maturity-scan van je huidige cyberweerbaarheid.
- Zorg voor een incident response plan en awareness-trainingen binnen je team.
💼 DORA – Digitale weerbaarheid voor de financiële sector (vanaf jan 2025)
De Digital Operational Resilience Act geldt voor vrijwel alle financiële instellingen én hun IT-dienstverleners in Europa.
Belangrijkste ontwikkelingen:
- Brede doelgroep: Banken, verzekeraars, pensioenfondsen, fintechs, beurzen én hun leveranciers.
- Verplicht testen en rapporteren: Denk aan penetratietesten, jaarlijkse scenario-oefeningen en verplichte melding van ernstige cyberincidenten.
- Ketenverantwoordelijkheid: Financiële instellingen moeten ook de risico’s bij externe ICT-partners beheersen.
Tips:
- Begin met het opzetten van een ICT Risk Management Framework conform DORA.
- Breng alle IT-leveranciers en afhankelijkheden in kaart en beoordeel ze op risico’s.
- Overweeg een pilot voor threat-led penetration testing (TLPT), zoals vereist onder DORA.
