De nieuwe NEN7510:2024 en de waarde voor NIS2
21 februari, 2025
Waarom een nieuwe NEN 7510?
Na een periode van ruim 2 jaar afstemming, heeft NEN op 16 december 2024 een nieuwe versie van de NEN7510 uitgebracht. De eerste versie van de NEN7510 werd gepubliceerd in 2004. Sindsdien zijn in 2011 en in 2017 herzieningen uitgebracht van deze norm.
De NEN7510:2024 bestaat uit twee delen, net als de vorige versie:
- NEN7510-1 bevat de normatieve voorschriften voor het managementsysteem volgens NEN-EN-ISO/IEC 27001:2023, de internationale norm voor informatiebeveiliging, cybersecurity en bescherming van de privacy. Hierin worden de eisen beschreven voor het vaststellen, invoeren, bijhouden én continu verbeteren van een managementsysteem voor informatiebeveiliging.
- NEN7510-2 is samengesteld uit de NEN-EN-ISO/IEC 27002:2022 en NEN-EN-ISO 27799 en voorziet in richtlijnen voor zorginstellingen en andere beheerders van persoonlijke gezondheidsinformatie. Dit deel bevat richtlijnen over hoe men het beste de beschikbaarheid, integriteit en vertrouwelijkheid van dergelijke informatie kan beschermen. De NEN-EN-ISO 27799 betreft een conceptversie, waarvan verwacht wordt dat deze in de tweede helft van 2025 wordt geformaliseerd.
De reden voor actualisatie van bovenstaande NEN- en ISO-documenten, ligt in (inter-)nationale afspraken rondom normalisatie. Deze afspraken houden onder andere in dat iedere norm minimaal één keer per 5 jaar wordt geëvalueerd. Dit om na te gaan of deze nog passend is bij de voortschrijdende inzichten en voldoet aan de vigerende wetgeving en internationale normen. Uit de evaluatie van de NEN7510 in 2022 bleeken vooral dat ontwikkelingen op het gebied van cloudservices, privacywetgeving en cybersecurity onvoldoende aandacht kregen in de norm. Daarnaast moest de onderliggende high level-structuur van het managementsysteem voor informatiebeveiliging aangepast te worden aan de nieuwe ISO-visie hierop.
Belangrijk voor IT-auditor
In dit artikel brengen wij de waarde van de nieuwe norm NEN7510:2024 onder de aandacht voor onze beroepsgroep door twee belangrijke zaken op een rij te zetten:
- De wijzigingen ten opzichte van de vorige versie, zowel voor het managementsysteem voor informatiebeveiliging als voor de inhoudelijke beheersmaatregelen.
- De basis die de nieuwe beheersmaatregelen bieden in relatie tot de ISO/IEC 27799 (opgenomen vanuit de conceptversie van ISO/IEC 27799) voor de invulling van bepaalde NIS2-vereisten.
NEN7510-1 - wijzigingen aan het managementsysteem
De International Organization for Standardization (ISO) definieert een managementsysteem als ‘een geheel van samenhangende of elkaar beïnvloedende elementen van een organisatie om een beleid en doelstellingen vast te stellen, en ook de processen om die doelstellingen te bereiken’. Centraal staat binnen een managementsysteem het continu verbeteren, de zogenaamde PDCA-cyclus. Een managementsysteem is daarmee een middel voor organisaties om doelstellingen te bereiken en risico’s te beheersen.
Voor de structuur van een managementsysteem hanteerde ISO in het verleden de High Level Structure (HLS) als uitgangspunt. De HLS is door ISO toegepast op bijvoorbeeld het kwaliteitsmanagementsysteem ISO 9001:2015 en milieumanagementsysteem ISO 14001:2015, waardoor gelijke eisen aan een managementsysteem worden gesteld en integratie mogelijk is. Deze HLS-structuur wordt door ISO in alle nieuwe normen voor managementsystemen aangepast naar de Harmonized Structure (HS). Zo ook in ISO/IEC 27001:2022.
Ook de NEN7510-1 is van de High Level Structure (HLS) naar de Harmonized Structure (HS) gegaan.
Dit houdt onder meer in dat:
- Het ISO-amendement met betrekking tot klimaatverandering is opgenomen in hoofdstuk 4. Organisaties moeten vaststellen of klimaatverandering een relevante kwestie is en of relevante stakeholders eisen stellen met betrekking tot klimaatverandering;
- Paragraaf 6.3 van de HS is opgenomen. Deze paragraaf stelt dat wijzigingen aan het managementsysteem volgens een geplande werkwijze moeten worden uitgevoerd.
Verder is de NEN7510-1 bijlage A vernieuwd op basis van de nieuwe versie van NEN7510-2 (zie volgende paragraaf) en omvat deze een concrete referentie van de beheersmaatregelen voor informatiebeveiliging voor het opstellen van de verklaring van toepasselijkheid. Een bijlage B is toegevoegd om inzicht te geven in de wijzigingen vergeleken met de vorige NEN7510-1. Bijlage C is nieuw en geeft inzicht in Nederlandse en Europese wet- en regelgeving die een relatie heeft met de NEN 7510.
NEN7510-2 – wijzigingen aan beheersmaatregelen
In de NEN7510-2:2024 is het aantal hoofdstukken met beheersmaatregelen teruggebracht van veertien naar vier door het indelen van de beheersmaatregelen in de categorieën: organisatorisch, mensgericht, fysiek en technologisch. Dit in lijn met de ISO/IEC 27002:2022. Dit brengt voor een zorgorganisatie een begrijpelijkere indeling met zich mee en maakt de aansluiting op de bedrijfsvoering logischer.
De lijst van beheersmaatregelen heeft in de NEN7510-2 de volgende veranderingen ondergaan:
- De 114 algemene beheersmaatregelen uit de NEN7510-2:2017 zijn teruggebracht naar 82 beheersmaatregelen.
- De 82 algemene beheersmaatregelen zijn aangevuld met 11 algemene beheersmaatregelen uit de ISO/IEC 27002:2022. Deze maatregelen gaan vooral over cloudservices, privacy en cybersecurity. Een evaluatiepunt van de oude NEN7510 die in de NEN-EN-ISO/IEC 27002:2022 al opgepakt was.
- De 33 algemene beheersmaatregelen met een zorgspecifieke aanvulling in de oude NEN7510 zijn op basis van de nieuwe concept norm NEN-EN-ISO 27799:202X teruggebracht naar 14 algemene beheersmaatregelen met een zorgspecifieke aanvulling.
- De drie zorgspecifieke beheersmaatregelen (aangemerkt met HLT van HeaLTh) zijn uitgebreid op basis van de concept norm NEN-EN-ISO 27799:202X van drie naar acht.
- Dit resulteert in een nieuw totaal aantal beheersmaatregelen van 101.
- Elke beheersmaatregel is voorzien van attributen/kenmerken die kunnen worden gebruikt om beheersmaatregelen in verschillende overzichten te filteren, sorteren of presenteren voor verschillende doelgroepen.
Omdat de zorgspecifieke aanvullingen komen uit de conceptnorm NEN-EN-ISO 27799:202X, bestaat de kans dat deze aantallen in 2025 nog kunnen wijzigen. Als dit het geval is, dan wordt de NEN7510:2024 aangepast.
Belangrijke toevoeging voor de IT-auditor: meer dwingende implementatierichtlijnen
In de NEN7510-2 zijn ook 66 zorgspecifieke implementatierichtlijnen opgenomen die minder vrijblijvend kunnen worden gevolgd. Waar van toepassing, moet bij afwijking van de implementatierichtlijn worden uitgelegd waarom wordt afgeweken en hoe de doelstelling van de beheersmaatregel dan wel is gerealiseerd (‘comply or explain’). De zorgspecifieke richtlijnen zijn een antwoord op de “hoe te implementeren”- vraag, gericht op de gerelateerde beheersmaatregel in relatie tot medische informatie en bijbehorende informatieverwerkende faciliteiten.
NEN7510 en de directe link met NIS2
De NEN7510-2024 kan goed gebruikt worden om te voldoen aan de vereisten uit de NIS2-richtlijn:
- Doordat het de beoogde werking van het managementsysteem voor informatiebeveiliging, ook wel afgekort tot ISMS, voorschrijft volgens de vereisen uit de NIS2-richtlijn.
- Doordat het concrete maatregelen bevat voor cybersecurity, die ook in NIS2 zijn vereist.
Om met punt 1 het managementsysteem voor informatiebeveiliging te beginnen. In onderstaand schema is het managementsysteem weergegeven als een PDCA-cyclus dat wordt gevoed met eisen van belanghebbenden en risico’s die het behalen van doelstellingen van een organisatie kunnen belemmeren. Het product van dit proces van ‘plan, do, check, act’ bestaat uit een passend stelsel van beheersmaatregelen voor de scope van het ISMS zoals vereist in artikel 21 lid 1 van de NIS2-richtlijn.
Figuur 1 Schematische weergave ISMS
Voor wat betreft punt 2. De minimale vereiste beheersmaatregelen, opgenomen in artikel 21 lid 2 van de NIS2-richtlijn zijn uitgewerkt in beheersmaatregelen en implementatierichtlijnen in deel NEN7510-2. In bijlage E in NEN7510-2 staat hiervoor een totaaloverzicht van de NIS2-beheersmaatregelen gerelateerd aan de onderdelen van het managementsysteem en de beheersmaatregelen uit de NEN7510:2024.
De NIS2-beheersmaatregelen in NEN7510:2024
In NIS2 artikel 21 lid 2 is gesteld dat de organisatie minimaal aandacht heeft voor:
- Beleid over risicoanalyse en beveiliging van informatiesystemen.
- Incidentenbehandeling.
- Bedrijfscontinuïteit, zoals back-upbeheer en noodvoorzieningenplannen, en crisisbeheer.
- De beveiliging van de toeleveringsketen, met inbegrip van beveiligingsgerelateerde aspecten met betrekking tot de relaties tussen elke entiteit en haar rechtstreekse leveranciers of dienstverleners.
- Beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, met inbegrip van de respons op en bekendmaking van kwetsbaarheden.
- Beleid en procedures om de effectiviteit van maatregelen voor het beheer van cyberbeveiligingsrisico’s te beoordelen.
- Basispraktijken op het gebied van cyberhygiëne en opleiding op het gebied van cyberbeveiliging (NIS2, Overweging 89).
- Beleid en procedures over het gebruik van cryptografie en, in voorkomend geval, encryptie.
- Beveiligingsaspecten ten aanzien van personeel, toegangsbeleid en beheer van activa.
- Wanneer gepast, het gebruik van multifactor-authenticatie- of continue-authenticatieoplossingen, beveiligde spraak-, video- en tekst-communicatie en beveiligde noodcommunicatiesystemen binnen de entiteit.
Daaraan kunnen bovendien de volgende aspecten worden toegevoegd:
11. Het bestuur van een zorgaanbieder keurt de maatregelen voortvloeiend uit de nummers 1 t/m 10 goed (NIS2, artikel 20, lid 1).
12. Bestuursleden volgen een opleiding, zodat zij risico's kunnen identificeren en beheersmaatregelen kunnen beoordelen (NIS2, artikel 20, lid 2).
13. Significante incidenten (NIS2, artikel 23) worden gemeld aan een sectoraal CERT.
Verder zijn in de NEN7510-2 de volgende vier extra zorgspecifieke beheersmaatregelen opgenomen die gericht zijn op het invullen van vereisten uit de NIS2-richtlijn:
| NIS2 | Beschrijving beheersmaatregel | NEN7510-2 |
| 7 | HLT - Zero trust-beginselen | 8.35 |
| 10 | HLT - Communicatie in noodsituaties | 5.42 |
| 12 | HLT - Managementtraining | 6.9 |
| 13 | HLT - Incidenten externen melden | 5.43 |
Voldoen aan de NEN7510:2024 wil niet zeggen dat een organisatie NIS2-compliant is! Deze organisatie is dan al wel goed op weg om dat stadium te bereiken. Houd bij het verder aanscherpen van beheersmaatregelen vanuit de zorgplicht en meldplicht vooral in het oog dat de eigen dienstverlening kan worden voortgezet wanneer de cyberdreigingen zich daadwerkelijk manifesteren.
Tot slot
Met het bovenstaande hopen wij inzicht te hebben verstrekt in de wijzigingen die zijn doorgevoerd in de NEN7510:2024 vergeleken met de voorgaande norm en hoe de norm is te gebruiken om te voldoen aan de NIS2-richtlijn. Met de aanwezigheid van een goed werkend managementsysteem voor informatiebeveiliging is het vanzelfsprekend dat de impact van nieuwe ontwikkelingen de benodigde aandacht krijgen van het topmanagement en leiden tot passende beheersmaatregelen. Wij adviseren de beroepsgroep van IT-auditors en zorgorganisaties om de nieuwe norm te adopteren en altijd als eerste basis voor alle wet- en regelgeving te hanteren.
Vanuit de Kennisgroep ICT & Zorg zullen wij in de komende periode werken aan meer praktische adviezen en hulpmiddelen voor onze collega’s.
Wij willen de lezer er verder op wijzen dat de NEN7510-1:2024 en NEN7510-2:2024 gratis kunnen worden gedownload via de webshop van de NEN.
