Het verschil

Veel organisaties beweren dat ze zo goed als klaar zijn voor de Cyberbeveiligingswet, oftewel de nieuwe wet die gebaseerd is op de NIS2-richtlijn. Dat is helaas een verkeerde gedachte, wat ook risico’s met zich mee kan brengen. We leggen hier het verschil uit.

ISO 27001: richt zich op je managementsysteem, en dan uiteraard op informatiebeveiliging. Daarbij heb je als organisatie de keuze om processen en/of afdelingen uit te sluiten.

Cyberbeveiligingswet (NIS2): eist dat organisaties ALLE netwerk- en informatiesystemen, die belangrijk zijn voor diens primaire processen, worden beschermd. Het is een wettelijke eis, dus je kunt niets uitsluiten.

Verantwoordelijkheid

Goed, met deze verschillen nu duidelijk uitgelegd is, laten we eens kijken naar de rollen & verantwoordelijkheden. De Cyberbeveiligingswet eist dat er rollen en verantwoordelijkheden ten aanzien van de bescherming van de netwerk- en informatiesystemen worden toegewezen. Vaak denkt men al gauw aan een (Chief) Information Security Officer, maar in het kader van deze wet zijn dat veel meer dan alleen deze rollen. Ook personen die invloed hebben op de bescherming van de systemen (denk aan netwerk- en systeembeheerders) moet deze verantwoordelijkheid toegewezen krijgen.

Echter kunnen de personen die deze rollen vervullen nooit eindverantwoordelijk zijn voor de bescherming van de netwerk- en informatiesystemen van de organisatie. Volgens de Cyberbeveiligingswet is dat het management. Grappig genoeg is dit hetzelfde als bij een ISO 27001 managementsysteem, maar ook daar wordt vaak (Chief) Information Security Officer eindverantwoordelijk gehouden.

Tot slot

Nu deze kaders duidelijk zijn is het belangrijk om de eerste stappen te zetten om ‘compliant’ te worden voor deze nieuwe wet. Begin daarom met een risicoanalyse en stel een risicobehandelplan op om de zwaktes te mitigeren.

De Security Consultants van AuditConnect staan klaar om uw organisatie te ondersteunen bij dit soort activiteiten. Meer weten? Neem dan contact met ons op.