a person holding a remote control in their hand

De Overeenkomst tussen ISO 27001 en NIS2 en het belang van Toegangscontrole en Veiligheidsaudits hierbij.

Inhoud

    Korte omschrijving van ISO 27001 en NIS2

    ISO 27001 is een internationaal erkende standaard die organisaties richtlijnen biedt voor het implementeren van een effectief informatiebeveiligingsmanagementsysteem (ISMS). Het belangrijkste doel van deze norm is om de vertrouwelijkheid, integriteit en beschikbaarheid van informatie te waarborgen. Dit wordt bereikt door risicobeheer, waarbij organisaties specifieke risico’s identificeren en beheersmaatregelen toepassen om deze te mitigeren. Bovendien legt ISO 27001 de nadruk op een continue verbetering van het managementsysteem, wat cruciaal is in een tijdperk waarin cyberbedreigingen voortdurend evolueren.

    NIS2 ofwel De wet tot vaststelling van een kader voor de cyberbeveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare beveiliging van 24 April 2024 zet de EU-richtlijn(EU) 2022/2555 van 14 December 2022 om naar Belgische wetgeving. De NIS2-wet is de opvolger van de eerste NIS-richtlijn uit 2016 (Belgische wet van 7 April 2019).

    NIS2 beoogt een hogere mate van beveiliging door het vaststellen van normen voor risicobeheer en het rapporteren van beveiligingsincidenten. Dit sluit aan bij de doelstellingen van ISO 27001, hoewel NIS2 bredere verplichtingen bevat voor de publieke sector en specifieke sectoren zoals energie, transport en gezondheidszorg.

    Beide normen zijn essentieel in het hedendaagse digitale landschap. De integratie van de principes van ISO 27001 en de richtlijnen van NIS2 helpt organisaties niet alleen bij het voldoen aan wet- en regelgeving, maar versterkt ook hun algehele informatiebeveiliging en cyberveiligheid. In een tijd waar cyberaanvallen steeds frequenter voorkomen, is de implementatie van een robuust informatiebeveiligingssysteem essentieel voor het beschermen van zowel gevoelige gegevens als bedrijfscontinuïteit. De synergie tussen ISO 27001 en NIS2 biedt organisaties een solide fundament om hun beveiligingsstrategieën verder te ontwikkelen en aan te scherpen.

    Op SafeOnWeb.be van de Belgische Overheid treft U een gedetailleerde beschrijving van NIS2 en kan U de impact hiervan op uw bedrijf bepalen.

    Link naar safeonweb - NIS2 tijdslijn

    Verband tussen ISO 27001 en NIS2

    De ISO 27001-norm en de NIS2-richtlijn zijn beide cruciale instrumenten voor het bevorderen van informatiebeveiliging in organisaties. Hoewel ze verschillende doelen en reikwijdtes hebben, vertonen ze ook aanzienlijke overlappingen, vooral op het gebied van toegangscontrole en veiligheidsaudits. ISO 27001 concentreert zich vooral op het management van informatiebeveiliging binnen een organisatie, terwijl NIS2 zich richt op het waarborgen van de cyberbeveiliging van netwerken en informatiesystemen van aanbieders van cruciale diensten en digitale diensten in de EU.

    Waar ISO 27001 focust op een systematische aanpak voor het opzetten, implementeren, monitoren en verbeteren van het informatiebeveiligingsmanagementsysteem en NIS2 de verantwoordelijkheid legt bij organisaties om een sterke beveiligingscultuur te ontwikkelen, inclusief het meten van risico’s en het implementeren van geschikte maatregelen bevorderen beide frameworks de noodzaak voor strikte toegangscontrole om gevoelige gegevens te beschermen tegen ongeautoriseerde toegang.

    Beide kaders vereisen veiligheidsaudits, maar de manier waarop verschilt. ISO 27001 vereist regelmatige interne en externe audits om te controleren of het effectief is en zich aan de normen houdt. NIS2 daarentegen richt zich op incidentrespons en meldingsvereisten, waarbij organisaties verplicht zijn om cyberincidenten te rapporteren en te analyseren.

    Samengevat vullen ISO 27001 en NIS2 elkaar aan door hun verschillende focus op informatiebeveiliging en netwerkbeschikbaarheid. Gezamenlijk bieden ze een robuust kader voor organisaties om hun informatiebeveiliging praktijken te versterken en de risico’s van cyberaanvallen beter te beheersen.

    ISO 27001 en risico-analyse?

    ISO 27001

    ISO 27001, een deel uit de ISO 27000-serie, richt zich op informatiebeveiliging. Het doel van ISO 27001 is om de noodzakelijke vertrouwelijkheid, integriteit en beschikbaarheid van informatie binnen een organisatie te waarborgen. Dit wordt bereikt door het identificeren van risico’s en het vaststellen van passende controlemiddelen om te helpen bij het beheren van deze risico’s.

    Elementen zoals Risicoanalyse, Beleid en Procedures, Opleiding en Bewustzijn, en Continue Verbetering worden hierbij gebruikt en kan men proactief handelen tegen potentiële beveiligingsbedreigingen en -incidenten.

    ISO 27001 helpt niet alleen bij het voldoen aan wettelijke en regelgevende vereisten, maar versterkt ook het vertrouwen van klanten en belanghebbenden door een toewijding aan informatiebeveiliging uit te spreiden.

    Intern helpt ISO 27001 bij het optimaliseren van processen en efficiënt beheren van hun middelen.

    Men kan ISO 27001 beschouwen als een fundament voor een effectieve informatiebeveiligingsstrategie die erop gericht is om veilig om te gaan met de steeds veranderende risico’s in de digitale wereld.

    NIS2 en risico-analyse?

    NIS2 bevat een breder scala aan sectoren en activiteiten dan de oorspronkelijke wet. Organisaties moeten nu voldoen aan een reeks verplichtingen op het gebied van risicobeheer, inclusief het implementeren van toegangscontrole en het uitvoeren van regelmatige veiligheidsaudits.

    Met het implementeren van de richtlijnen van NIS2, streven organisaties ernaar niet alleen wettelijke naleving te waarborgen, maar ook het vertrouwen van klanten en partners te versterken door een hoog niveau van beveiliging te garanderen.

    Het Belang van virtuele en fysieke Toegangscontrole

    Toegangscontrole van informatiebeveiliging komt voor uit de noodzaak om gevoelige gegevens en middelen te beschermen tegen ongeoorloofde toegang en het waarborgen van de integriteit, vertrouwelijkheid en beschikbaarheid van informatie.

    Naast de virtuele toegangscontrole gebaseerd op rollen (rol van de gebruiker binnen de organisatie) en attributen (toegang op basis van een combinatie van verschillende attributen van gebruiker, data en omgeving) vormt de fysieke toegangscontrole, al of niet geoorloofd, en de bijbehorende detectie voor het toegang verkrijgen tot terreinen, gebouwen, kasten, netwerkinfrastructuur,… een essentieel onderdeel voor het mitigeren van risico’s met betrekking tot het voorkomen van datalekken en cyberaanvallen.

    Fysieke toegangscontrole fungeert dan ook als een van de vroegste verdedigingslinies in het waarborgen en registreren van informatie-, terrein- en gebouwbeveiliging.

    De verbinding tussen de virtuele en fysieke wereld

    Veiligheidsaudits vormen een cruciaal onderdeel van zowel ISO 27001 als NIS2, omdat ze organisaties in staat stellen hun informatiebeveiligingssystemen te evalueren en te verbeteren.

    NIS2 eist specifiek om ook de fysieke maatregelen en toegangen in kaart te brengen. In de wereld van de veiligheid en beveiliging vormt hier ook een risicoanalyse de basis om een (fysieke) beveiligings- en toegangscontrolestrategie uit te werken.

    Als onderdeel van het algemele beveiligingsplan, worden bij de risicoanalyse de fysieke assets en hun waarde in kaart gebracht zoals gebouwen, infrastructuur, machines, voorraden, grondstoffen, …

    Naast de identificatie en inventarisatie worden ook de bedreigingen geanalyseerd zoals inbraak, brand, overstroming, sabotage, … en gekoppeld met hun waarschijnlijkheid.

    Aansluitend worden ook de kwetsbaarheden opgenomen zoals slechte verlichting, onbeveiligde toegangen, zwakke perimeter, eenvoudig te overbruggen, zwakke sloten,…

    Indien dit wordt gekoppeld met een impactanalyse om de gevolgen te bepalen zoals financiële verliezen, reputatieschade, verstoring productiviteit, …

    Vormt dit een solide basis om een gepersonaliseerde beveiligingsstrategie uit te werken die een gedetailleerde situatie weergeeft via een combinatie van preventieve maatregelen en technische hulpmiddelen.

    Preventieve maatregelenType
    Natuurlijkwater, struiken, bomen, hagen, …
    Organisatorischwetgeving, procedures, beleid, vergunningen, aankoop, opleidingen, vluchtroutes, loketten, …
    Bouwkundig, omgevingomheiningen, muren, glaswerk, hekken, poorten, verlichting, in- en uitgangen, …
    Personenmanbewaking, concièrge, sociaal, PBM’s, …
    Mechanische en elektronische technische hulpmiddelenType
    InbraaksensorenBewegingsmelders, Magneetcontacten, Glas- en Trildetectoren, Buitendetectoren, Laserdetectoren, Infrarood-barrières, Beeld- en Thermische camera’s, …
    perimeterdetectieHekwerkdetectie, Grond-, Veld- en Dakdetectie, Dronedetectie, …
    BrandConventionele en Adresseerbare detectoren, Beams, Vlam- en Rookdetectie, Kanaaldetectie, Gasdetectie, …
    PerimeterVisuele en Thermische Camera’s, Doorgeefsystemen, Deuren, Rampalen, Kluizen, Sluitsystemen, Raambeveiliging, Intercom, …
    ToegangscontroleFysieke en Virtuele Badges, Sluitsystemen, Deurvergrendeling, Intercom, …
    VideoBeeld, Video-analyse, Artificial Intelligence(AI), Beweging, IR- en Witlicht verlichting, …
    AanwezigheidWifi-, Warmte-, Vochtigheid-, Gas-, Rook-, Vuur-, Vlam-, CO-, Temperatuur-, Belasting-, Gewicht, Kleur, Geur-, Bluetooth, Beweging-, Water-, Stralingsdetectoren, …
    Artificial Intelligence1001 mogelijkheden

    Eilanden, isolatie en samenwerken

    Wat is het nut van een gedegen IT-beveiliging als de “achterdeur” openstaat ?

    Wat is het nut van een goede fysieke beveiliging als men eenvoudig virtueel voorbij de perimeter kan geraken?

    Naast de samenwerking met IT voor mogelijke valkuilen te detecteren, biedt de combinatie van IT en fysieke beveiliging extra sensoren voor aanwezigheid en detectie om ongewenste gebeurtenissen te identificieren en zo vroeg mogelijk te detecteren. Creatieve mogelijkheden bespreken we liever discreet.

    Welke reacties kunnen er genomen worden na het detecteren ?

    De voorgaande stappen van de risicoanalyse zijn de voorbereiding om in een stresvolle situatie bij calamiteiten en abnormaliteiten gepast te rageren.

    Naast het detecteren van een mogelijks beveiligingsrisico, zowel fysiek als IT-gerelateerd, is het even belangrijk om gepast te reageren op een detectie.

    Noodprocedures, Uitschakelplannen, Back-upprocedures, Crisismanagement, Samenwerking met alarmcentrales, Interventie- en Hulpdiensten, Evacuaties, Bewijsverzameling, Verzekeringen, Aanvaarding zijn een paar voorbeelden van mogelijke reacties om risico’s te kunnen beheersen.

    Waarom een erkende beveiligingsadviseur?

    Een veiligheidsadviseur erkend door de “Algemene Directie Veiligheid en Preventie” ofwel BeSafe uit de FOD Binnenlandse zaken is verplicht door de wet van 2 Oktober 2017 tot regeling van de private en bijzondere veiligheid om onafhankelijk te zijn.

    De objectiviteit en kennis die een beveiligsadviseur meebengt biedt een enorme meerwaarde. Vaak zijn interne teams te nauw betrokken bij de dagelijkse operaties, waardoor zij mogelijk blinde vlekken hebben wat betreft beveiligingsrisico’s. Externe professionals hebben de afstand en ervaring om een frisse blik te werpen op de huidige processen en potentiële zwakheden te identificeren. Deze objectieve en onafhankelijke evaluaties zijn cruciaal voor het opstellen van een solide beveiligingsplan door de vele mogelijkheden.

    Tot slot kan de samenwerking met een erkend veiligheidsadviseur de nodige ondersteuning bieden bij het cultiveren van een beveiligingsbewuste cultuur binnen de organisatie. Dit helpt niet alleen bij het verminderen van menselijke fouten, maar bevordert ook een breed begrip van informatie- en fysiekebeveiliging en de impact ervan op de bedrijfsvoering.

    Deze beveiligingsstrategie vormt de basis om in overleg en combinatie voor Security5, een door IBZ vergunde onderneming voor veiligheidsadvies, onder andere met de IT-afdeling de bovenstaande preventieve en technische middelen om aan de NIS2 en ISO27001 beveiligingsprincipes te conformeren.

    Nieuwe mogelijkheden?

    We registreren de toestellen die onze Wifi-access points op de perimeter detecteren. Hebben we dan de beschikking over de MAC-adressen, en bij uitbreiding de eigenaars van deze toestellen, die in de buurt van onze perimeter de afgelopen tijd zijn geweest ?

    Conclusie en Aanbevelingen

    ISO 27001, NIS2 en de rol van toegangscontrole en veiligheidsaudits binnen deze normen. We hebben uitgebreid toegelicht dat de grenzen van verschillende afdelingen en functies binnen entiteiten steeds verder vervagen.

    Toegangscontrole is cruciaal in zowel ISO 27001 als NIS2. Het gaat niet alleen om het beperken van toegang tot informatie, maar ook om het garanderen dat alleen bevoegde personen toegang hebben tot kritieke systemen. Dit vereist nauwkeurige identificatie- en authenticatiemethoden, evenals het regelmatig bijwerken van toegangsrechten. Organisaties dienen een zorgvuldig beleid te ontwikkelen dat overeenkomt met de eisen van beide standaarden, om zo risico’s te minimaliseren en de beveiliging te versterken, dat op fysiek vlak onderdeel is van een beveiligingsstrategie.

    Het is sterk aanbevolen dat organisaties een veiligheidsadviseur inschakelen, welke bij voorkeur onafhankelijk opereert, om de implementatie van deze normen te begeleiden, ervoor zorgen dat alle noodzakelijke maatregelen getroffen worden, en organisaties helpen om veiligheidsaudits effectief uit te voeren. Door proactief op te treden, kunnen organisaties niet alleen voldoen aan de verplichtingen, maar ook hun algehele beveiligingspositie verbeteren.