• Wat zijn NEN normen voor informatiebeveiliging?

Informatiebeveiliging is voor veel organisaties een complex onderwerp, zeker als het gaat om normen en certificeringen. NEN-normen bieden houvast: ze beschrijven wat goede informatiebeveiliging inhoudt en hoe je dit als organisatie kunt aantonen. In dit artikel beantwoorden we de meest gestelde vragen over NEN-normen voor informatiebeveiliging, zodat je precies weet waar je aan toe bent.

Welke NEN normen zijn er voor informatiebeveiliging?

De belangrijkste NEN-normen voor informatiebeveiliging zijn NEN-ISO/IEC 27001, NEN-ISO/IEC 27002 en NEN 7510. NEN-ISO/IEC 27001 is de internationale norm voor informatiebeveiligingsmanagementsystemen (ISMS) en geldt voor alle sectoren. NEN-ISO/IEC 27002 biedt aanvullende richtlijnen voor beveiligingsmaatregelen. NEN 7510 is specifiek ontwikkeld voor de Nederlandse zorgsector.

Naast deze drie normen bestaat er ook een reeks aanvullende normen binnen de ISO/IEC 27000-familie, zoals NEN-ISO/IEC 27005 voor risicobeheer en NEN-ISO/IEC 27017 voor cloudbeveiliging. Elke norm richt zich op een specifiek aspect van informatiebeveiliging, maar ze zijn allemaal opgebouwd rond hetzelfde uitgangspunt: het systematisch beschermen van informatie tegen ongeautoriseerde toegang, verlies en misbruik.

Voor de meeste organisaties buiten de zorg vormt NEN-ISO/IEC 27001 het vertrekpunt. Deze norm beschrijft de eisen voor het opzetten, implementeren, onderhouden en continu verbeteren van een ISMS. NEN-ISO/IEC 27002 wordt daarbij vaak als praktische gids gebruikt voor het kiezen en implementeren van concrete beveiligingsmaatregelen.

Hoe verschilt NEN-ISO/IEC 27001 van NEN 7510?

Het belangrijkste verschil is de doelgroep: NEN-ISO/IEC 27001 is een universele norm die van toepassing is op alle organisaties wereldwijd, terwijl NEN 7510 specifiek is ontwikkeld voor organisaties die werken met patiëntgegevens in de Nederlandse zorgsector. NEN 7510 bouwt voort op de principes van ISO/IEC 27001, maar voegt sectorspecifieke eisen toe die aansluiten op de Nederlandse zorgwetgeving.

In de praktijk betekent dit het volgende:

  • NEN-ISO/IEC 27001 is breed toepasbaar en internationaal erkend. Elke organisatie, van productiebedrijf tot technologiebedrijf, kan zich hierop laten certificeren.
  • NEN 7510 richt zich uitsluitend op de zorgsector en stelt aanvullende eisen rondom de bescherming van medische en persoonlijke gezondheidsgegevens.
  • Zorgorganisaties die NEN 7510 implementeren, voldoen daarmee ook grotendeels aan de eisen van NEN-ISO/IEC 27001, omdat de normen inhoudelijk sterk overlappen.

Voor organisaties buiten de zorg is NEN 7510 niet relevant. Wie actief is in de industrie, logistiek of productie, richt zich op NEN-ISO/IEC 27001 als leidende norm voor informatiebeveiliging.

Waarom zijn NEN normen voor informatiebeveiliging belangrijk?

NEN-normen voor informatiebeveiliging zijn belangrijk omdat ze organisaties een bewezen kader bieden om informatie systematisch te beschermen, risico’s te beheersen en aantoonbaar te voldoen aan wet- en regelgeving zoals de AVG. Ze verhogen het vertrouwen van klanten en partners en helpen kostbare datalekken en verstoringen te voorkomen.

Concreet bieden NEN-normen de volgende voordelen:

  • Risicoreductie: Door een gestructureerde aanpak worden kwetsbaarheden tijdig geïdentificeerd en aangepakt.
  • Wettelijke compliance: Veel wet- en regelgeving, waaronder de AVG en de NIS2-richtlijn, sluit nauw aan bij de eisen uit NEN-ISO/IEC 27001.
  • Concurrentievoordeel: Een certificering toont aan dat een organisatie serieus omgaat met informatiebeveiliging, wat steeds vaker een vereiste is bij aanbestedingen en partnerships.
  • Interne structuur: Normen dwingen organisaties om verantwoordelijkheden, processen en procedures helder te documenteren.

In 2026 neemt de druk op organisaties om informatiebeveiliging aantoonbaar op orde te hebben verder toe. Zowel opdrachtgevers als toezichthouders verwachten dat bedrijven kunnen aantonen hoe zij omgaan met de bescherming van gevoelige informatie. NEN-normen bieden daarvoor een breed erkend en geloofwaardig referentiekader.

Hoe behaal je een NEN certificering voor informatiebeveiliging?

Een NEN-certificering voor informatiebeveiliging behaal je door een informatiebeveiligingsmanagementsysteem (ISMS) op te zetten dat voldoet aan de eisen van de betreffende norm, dit systeem te implementeren en te laten beoordelen door een geaccrediteerde certificerende instelling. Het proces bestaat uit meerdere fasen en vraagt om een structurele aanpak.

De stappen om een NEN-ISO/IEC 27001 certificering te behalen zijn als volgt:

  1. Scope bepalen: Stel vast welke onderdelen van de organisatie onder het ISMS vallen.
  2. Risicobeoordeling uitvoeren: Identificeer informatiebeveiligingsrisico’s en bepaal welke maatregelen nodig zijn om deze te beheersen.
  3. Beveiligingsmaatregelen implementeren: Voer de geselecteerde maatregelen door op technisch, organisatorisch en procedureel vlak.
  4. Documentatie opstellen: Leg beleid, procedures en verantwoordelijkheden vast in ISMS-documentatie.
  5. Interne audit uitvoeren: Controleer intern of het ISMS functioneert zoals bedoeld.
  6. Externe audit aanvragen: Een geaccrediteerde certificerende instelling voert een Stage 1 en Stage 2 audit uit.
  7. Certificaat ontvangen en onderhouden: Na succesvolle afronding ontvang je het certificaat, dat jaarlijks via surveillance-audits wordt gehandhaafd en elke drie jaar wordt hernieuwd.

Het behalen van een certificering kost tijd en inzet, maar de opbouw van een goed functionerend ISMS levert ook intern veel op: meer bewustwording, duidelijkere processen en een betere beheersing van beveiligingsrisico’s.

Wie is verantwoordelijk voor informatiebeveiliging binnen een organisatie?

Informatiebeveiliging is een gedeelde verantwoordelijkheid, maar de eindverantwoordelijkheid ligt bij de directie of het bestuur van een organisatie. Zij stellen het beleid vast, kennen middelen toe en zorgen ervoor dat informatiebeveiliging structureel is ingebed in de bedrijfsvoering. De operationele uitvoering wordt doorgaans belegd bij een Information Security Officer (ISO) of Chief Information Security Officer (CISO).

In de praktijk zijn meerdere rollen betrokken bij informatiebeveiliging:

  • Directie: Draagt eindverantwoordelijkheid, stelt beleid vast en toont leiderschap op het gebied van informatiebeveiliging.
  • ISO of CISO: Coördineert de dagelijkse uitvoering van het informatiebeveiligingsbeleid en bewaakt de naleving van de NEN-normen.
  • IT-afdeling: Implementeert en beheert technische beveiligingsmaatregelen.
  • Medewerkers: Iedereen binnen de organisatie heeft een rol in het naleven van beveiligingsbeleid en het melden van incidenten.
  • Procesverantwoordelijken: Eigenaren van bedrijfsprocessen zijn verantwoordelijk voor de informatiebeveiliging binnen hun eigen domein.

NEN-ISO/IEC 27001 maakt expliciet dat de directie betrokken moet zijn bij het ISMS en dat verantwoordelijkheden duidelijk zijn belegd. Een norm als NEN-ISO/IEC 27001 werkt dan ook het beste wanneer informatiebeveiliging niet alleen als een IT-vraagstuk wordt gezien, maar als een organisatiebrede prioriteit die van hoog tot laag wordt gedragen.

Hoe BKRS helpt met NEN-certificering voor informatiebeveiliging

Het traject naar een NEN-certificering vraagt om de juiste kennis, structuur en begeleiding. BKRS ondersteunt organisaties bij elke stap van dit proces: van de eerste nulmeting tot en met de succesvolle afronding van de externe audit.

Wat BKRS voor jouw organisatie kan betekenen:

  • Nulmeting en gap-analyse: Inzicht in de huidige staat van informatiebeveiliging en wat er nog nodig is om aan de NEN-norm te voldoen.
  • Implementatiebegeleiding: Praktische ondersteuning bij het opzetten en inrichten van een ISMS dat aansluit op jouw organisatie.
  • Documentatie en beleid: Opstellen van de benodigde beleidsdocumenten, procedures en verantwoordingsstructuren.
  • Voorbereiding op de externe audit: Interne audits en begeleiding zodat je goed voorbereid de certificeringsaudit ingaat.
  • Doorlopende ondersteuning: Ook na certificering helpt BKRS bij het onderhouden en verbeteren van je ISMS.

Wil je weten hoe BKRS jouw organisatie kan begeleiden naar een NEN-certificering? Neem contact op en bespreek vrijblijvend de mogelijkheden.

Veelgestelde vragen

Hoe lang duurt het gemiddeld om NEN-ISO/IEC 27001 gecertificeerd te worden?

De doorlooptijd varieert sterk per organisatie, maar reken gemiddeld op 6 tot 18 maanden. Dit hangt af van de omvang van de organisatie, de huidige volwassenheid van de informatiebeveiliging en de beschikbare capaciteit. Een goede voorbereiding en eventuele begeleiding door een externe adviseur kunnen het proces aanzienlijk versnellen.

Wat kost een NEN-ISO/IEC 27001 certificering?

De kosten bestaan uit twee onderdelen: de interne kosten voor implementatie (tijd, personeel, eventueel externe begeleiding) en de externe auditkosten van de certificerende instelling. Voor een middelgrote organisatie liggen de totale kosten doorgaans tussen de €15.000 en €50.000, afhankelijk van de scope en complexiteit. Houd ook rekening met jaarlijkse surveillance-auditkosten voor het behouden van het certificaat.

Moet elke organisatie verplicht NEN-gecertificeerd zijn?

Een wettelijke verplichting tot certificering bestaat voor de meeste organisaties niet, maar de druk vanuit opdrachtgevers, aanbestedingen en toezichthouders neemt snel toe. Organisaties die vallen onder de NIS2-richtlijn of werken met gevoelige (zorg)gegevens hebben in de praktijk weinig keuze. Voor andere organisaties is certificering sterk aan te raden als bewijs van aantoonbare informatiebeveiliging.

Wat is het verschil tussen NEN-ISO/IEC 27001 en de AVG?

De AVG is wetgeving die organisaties verplicht om persoonsgegevens te beschermen, terwijl NEN-ISO/IEC 27001 een norm is die een managementsysteem beschrijft voor bredere informatiebeveiliging. De twee vullen elkaar goed aan: een goed ingericht ISMS op basis van ISO/IEC 27001 helpt organisaties aantoonbaar te voldoen aan veel AVG-vereisten, maar vervangt de AVG-verplichtingen niet volledig.

Gerelateerde artikelen

This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.