Het Centre for Cybersecurity Belgium (CCB) heeft Brand Compliance geautoriseerd om essentiële en belangrijke entiteiten te certificeren volgens ISO 27001 in het kader van de NIS2. Met een ISO 27001-certificering kan een organisatie een vermoeden van NIS2-compliance aantonen. Wilt u weten wat dit voor uw organisatie betekent?

NIS2-complianceNIS2-compliance

De NIS2-wet legt eisen op aan de cybersecurity van Europese organisaties, met als doel de weerbaarheid tegen digitale dreigingen te versterken. Belgische organisaties moeten sinds oktober 2024 voldoen aan deze verplichtingen. Een ISO 27001-certificering is een van de manieren om hieraan te voldoen.

 

Wilt u weten of uw organisatie onder de NIS2 valt? Kijk op nis2certification.eu.

Essentiële entiteiten

Voor essentiële entiteiten, zoals ziekenhuizen, energiebedrijven en andere organisaties met kritieke infrastructuur, zijn er drie mogelijke routes om aan deze wet te voldoen:

  1. CyberFundamentals-certificering
    Deze certificering wordt uitgegeven door een Certificerende Instelling.
  2. ISO 27001-certificering
    Deze certificering kan worden verleend door een geaccrediteerde Certificerende Instelling, zoals Brand Compliance.
  3. Inspectie
    De inspectie wordt uitgevoerd door de inspectiedienst van het CCB of door een sectorale inspectiedienst.

Bespreek welke NIS2-route bij uw organisatie past.

Wanneer een essentiële entiteit succesvol aan één van de drie opties voldoet, ontvangt zij het CyberFundamentals-label. Hierbij moet voldaan worden aan onderstaande vereisten volgend uit het CyberFundamentals programma:

De scope moet de volledige organisatie omvatten, tenzij IT‑ en OT‑omgevingen aantoonbaar fysiek of technisch gescheiden zijn. In dat geval moet deze scheiding gedocumenteerd worden en moet door de organisatie zelf worden aangetoond dat uitgesloten omgevingen geen invloed hebben op de risico’s van de omgeving die wel in scope is.

Belangrijke entiteiten

Belangrijke entiteiten die onder toezicht kunnen vallen, kunnen er vrijwillig voor kiezen om dezelfde mechanismen te volgen als de essentiële entiteiten om hun compliance aan te tonen.

ISO 27001-certificering

Organisaties die het CyberFundamentals-label willen behalen via een ISO/IEC 27001-certificering, doorlopen de volgende stappen:

  1. Niveau van zekerheid: het toepasselijke niveau wordt bepaald op basis van de risicobeoordeling van de entiteit, bij voorkeur met behulp van de CyFun® Selection Tool.
  2. Scope: controleer of het ISO 27001-certificaat de volledige scope van de organisatie bevat. Inclusief toetsing of IT‑ en OT‑omgevingen gedocumenteerd gescheiden zijn en geen risico‑impact hebben wanneer ze buiten de scope vallen.
  3. Beheersmaatregelen: de SoA moet aantonen dat de geïmplementeerde beheersmaatregelen aantoonbaar gelijkwaardig zijn aan de maatregelen binnen de CyFun‑niveaus Basic, Important of Essential.
  4. Aanvraag: upload het ISO 27001-certificaat en de Verklaring van Toepasselijkheid via CyberFundamentals Framework | CCB Safeonweb.
  5. Verificatie: het CCB controleert of de Verklaring van Toepasselijkheid voldoet aan de eisen van het gekozen niveau.
  6. Ontvangst van het label: als aan alle eisen is voldaan, ontvangt de organisatie het CyberFundamentals-label.

ISO 27001 in relatie tot NIS2 roept vaak vragen op over scope, beheersmaatregelen en zekerheid­niveaus. Onze experts lichten dit graag toe.

Meer weten?

Wilt u bespreken hoe Brand Compliance u kan ondersteunen bij het behalen van NIS2-compliance? Neem hieronder contact met ons op voor een persoonlijk gesprek.

Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.
Nieuwsbrief