Compliance Services
Moet u voldoen aan ISO 27001, NEN 7510, NIS2 of DORA? Wij begeleiden u door het hele traject: van gap-analyse tot implementatie.
Compliance Services
GDPR · NIS2 · DORA · ISO 27001 · NEN 7510
Moet u voldoen aan ISO 27001, NEN 7510, NIS2 of DORA? Wij begeleiden u door het hele traject: van gap-analyse tot implementatie.
ISO 27001 is de internationale standaard voor informatiebeveiligingsmanagement. De norm specificeert eisen voor het opzetten, implementeren, onderhouden en continu verbeteren van een Information Security Management System (ISMS). Sinds de update in 2022 (ISO 27001:2022) is de bijbehorende controleset (Annex A) geherstructureerd van veertien naar vier thema's: organisatorische, menselijke, fysieke en technologische beheersmaatregelen.
Wat omvat een ISMS?
Een ISMS is geen eenmalig project maar een doorlopend managementsysteem. Het omvat onder meer: een informatiebeveiligingsbeleid vastgesteld door het management, een systematische risicobeoordeling en risicobehandeling, selectie en implementatie van beheersmaatregelen uit Annex A, bewustzijnstraining voor medewerkers, interne audits en managementreviews, en een proces voor continue verbetering (Plan-Do-Check-Act).
Certificering
ISO 27001-certificering wordt afgegeven door een geaccrediteerde certificatie-instelling (CI) na een succesvolle externe audit. De initiële audit bestaat uit twee fasen: een documentatiereview (fase 1) en een implementatie-audit (fase 2). Na certificering volgen jaarlijkse surveillance-audits en om de drie jaar een hercertificeringsaudit.
Onze aanpak
Wij begeleiden organisaties bij de volledige implementatie, van gap-analyse en risicobeoordeling tot het opstellen van beleid, procedures en operationele inbedding. Onze aanpak is pragmatisch: we focussen op wat werkbaar is voor jouw organisatie en zorgen dat het ISMS niet alleen voldoet aan de norm, maar ook daadwerkelijk bijdraagt aan betere informatiebeveiliging. Wij zijn zelf geen certificatie-instelling, maar bereiden organisaties voor zodat de certificeringsaudit zonder verrassingen verloopt.
NEN 7510 is de Nederlandse norm voor informatiebeveiliging in de zorg. De norm is gebaseerd op ISO 27001, maar bevat aanvullende eisen die specifiek gericht zijn op de bescherming van patientgegevens en andere gezondheidsinformatie. NEN 7510 is verplicht voor alle organisaties die patiëntgegevens verwerken, waaronder ziekenhuizen, huisartsenpraktijken, GGZ-instellingen, apothekers, laboratoria en hun ICT-leveranciers.
NEN 7510, 7512 en 7513
NEN 7510 staat niet op zichzelf. NEN 7512 stelt eisen aan de elektronische communicatie in de zorg, bijvoorbeeld bij het uitwisselen van medische gegevens via berichtenverkeer of portalen. NEN 7513 schrijft voor hoe logging van toegang tot patiëntgegevens moet worden ingericht, zodat altijd is na te gaan wie wanneer welke gegevens heeft geraadpleegd. Samen vormen deze drie normen het fundament voor informatiebeveiliging in de Nederlandse zorg.
Toezicht en handhaving
De Inspectie Gezondheidszorg en Jeugd (IGJ) houdt toezicht op de naleving van NEN 7510 bij zorginstellingen. Daarnaast speelt NEN 7510-conformiteit een rol bij de aansluiting op landelijke zorginfrastructuur en bij contractafspraken met zorgverzekeraars. Niet-naleving kan leiden tot handhavingsmaatregelen en reputatieschade.
Onze aanpak
Wij ondersteunen zorginstellingen bij de implementatie van NEN 7510 en de bijbehorende normen NEN 7512 en NEN 7513. Van beleidsontwikkeling en risicoanalyse tot operationele implementatie, interne audits en voorbereiding op externe toetsing. Wij begrijpen de zorgcontext en stemmen de implementatie af op de dagelijkse praktijk, zodat beveiliging niet ten koste gaat van de patiëntenzorg.
De Europese NIS2-richtlijn stelt hogere eisen aan de cybersecurity van essentiele en belangrijke entiteiten. In Nederland is NIS2 omgezet in de Cyberbeveiligingswet (Cbw), die op 15 april 2026 is aangenomen door de Tweede Kamer. De verwachte inwerkingtreding is 1 juli 2026. De wet is van toepassing op organisaties in achttien sectoren, van energie en transport tot digitale infrastructuur en de gezondheidszorg.
Wie valt eronder?
De Cbw maakt onderscheid tussen essentiele en belangrijke entiteiten. Essentiele entiteiten zijn onder meer organisaties in de sectoren energie, vervoer, bankwezen, financiële marktinfrastructuur, gezondheidszorg, drinkwater, digitale infrastructuur en overheidsdiensten. Belangrijke entiteiten omvatten onder meer post- en koeriersdiensten, afvalstoffenbeheer, levensmiddelen, chemische stoffen, vervaardiging van bepaalde producten en digitale aanbieders. De drempel is in principe 50 medewerkers of een jaaromzet van meer dan 10 miljoen euro, maar voor bepaalde sectoren gelden afwijkende criteria.
Verplichtingen
De Cbw legt drie kernverplichtingen op. Ten eerste een registratieplicht: organisaties moeten zich registreren bij het NCSC of de relevante sectorale toezichthouder. Ten tweede een zorgplicht: organisaties moeten passende en evenredige technische, operationele en organisatorische maatregelen treffen om cyberrisico's te beheersen. Denk aan beleid voor risicoanalyse, incidentafhandeling, bedrijfscontinuiteit, ketenbeveiliging, toegangsbeheer en cryptografie. Ten derde een meldplicht: significante incidenten moeten binnen 24 uur worden gemeld bij het CSIRT, gevolgd door een volledige melding binnen 72 uur en een eindverslag binnen een maand.
Toezicht en handhaving
De Rijksinspectie Digitale Infrastructuur (RDI) wordt de primaire toezichthouder voor de meeste sectoren. Bij overtredingen kunnen boetes worden opgelegd tot 10 miljoen euro of 2% van de wereldwijde omzet voor essentiele entiteiten, en tot 7 miljoen euro of 1,4% voor belangrijke entiteiten. Bestuurders kunnen persoonlijk aansprakelijk worden gesteld bij het niet naleven van de zorgplicht.
Onze aanpak
Wij ondersteunen organisaties bij het bepalen of zij onder de Cbw vallen (scopebepaling), het uitvoeren van een gap-analyse ten opzichte van de vereisten, en het implementeren van de benodigde maatregelen. Van risicoanalyse en beleidsvorming tot het inrichten van incidentresponse, het opzetten van ketenbeveiliging en het testen van de weerbaarheid van uw organisatie. Wij helpen ook bij de voorbereiding op de registratieplicht en het inrichten van meldprocessen.
De Digital Operational Resilience Act (DORA) is de Europese verordening die specifiek gericht is op de digitale weerbaarheid van de financiële sector. DORA is op 17 januari 2025 in werking getreden en is als verordening direct van toepassing in alle EU-lidstaten, zonder nationale omzetting. De verordening geldt voor een breed scala aan financiële entiteiten: banken, verzekeraars, beleggingsondernemingen, betalingsinstellingen, pensioenfondsen, crypto-asset dienstverleners en hun ICT-dienstverleners.
Vijf pijlers
DORA is opgebouwd rond vijf pijlers. De eerste pijler, ICT-risicomanagement, vereist een gedocumenteerd kader voor het identificeren, beschermen tegen, detecteren van, reageren op en herstellen van ICT-risico's. De tweede pijler betreft ICT-gerelateerd incidentmanagement: classificatie, melding en communicatie van significante ICT-incidenten aan de bevoegde autoriteiten. De derde pijler schrijft digitale operationele weerbaarheidstesten voor, waaronder jaarlijkse basistesten en voor systeemrelevante instellingen driejaarlijkse threat-led penetration testing (TLPT). De vierde pijler regelt het beheer van ICT-derdepartijrisico's via contractuele vereisten en een register van uitbestede ICT-diensten. De vijfde pijler stimuleert het vrijwillig delen van informatie over cyberdreigingen tussen financiële entiteiten.
ICT-dienstverleners
Een belangrijk aspect van DORA is het toezicht op kritieke ICT-dienstverleners. Cloudproviders, datacenteroperators en andere technologieleveranciers die door de Europese toezichthouders (ESA's) als kritiek worden aangemerkt, vallen direct onder hun toezicht. Financiële instellingen moeten hun afhankelijkheid van derde partijen in kaart brengen via een informatieregister, concentratierisico's beoordelen en contractueel borgen dat deze partijen voldoen aan de DORA-vereisten, inclusief audit- en toegangsrechten.
Toezicht in Nederland
In Nederland houden DNB en de AFM toezicht op de naleving van DORA. DNB is bevoegd voor banken, verzekeraars, pensioenfondsen en betalingsinstellingen; de AFM voor beleggingsondernemingen en beheerders van beleggingsinstellingen. Bij niet-naleving kunnen bestuursrechtelijke maatregelen worden opgelegd, waaronder aanwijzingen, boetes en last onder dwangsom.
Onze aanpak
Wij helpen financiële instellingen en hun ICT-dienstverleners bij het voldoen aan DORA. Dit omvat het uitvoeren van gap-analyses, het opzetten van ICT-risicomanagementkaders, het inrichten van incidentmeldprocessen, het opbouwen van het informatieregister voor ICT-derdepartijrisico's, het uitvoeren van weerbaarheidstesten en het beoordelen van contracten met ICT-dienstverleners. Onze ervaring met zowel IT-audit als financieel toezicht (DNB, AFM) maakt ons een logische partner voor DORA-compliance.
Op zoek naar een IT-auditor?
Elke organisatie is uniek. Neem vrijblijvend contact op voor een gesprek over IT-audit, informatiebeveiliging of risicomanagement.