Waarom ISO27001 niet volstaat voor NIS2 - De rol van evenredigheid en AVG
Security Expert
Nieuwsbrief Security & Privacy Compliance - nr. 8
In deze editie: Waarom een ISO-certificaat niet voldoende is om te voldoen aan NIS2 en de rol van de AVG binnen NIS2.
ISO-certificaat niet genoeg voor NIS2
In andere berichten wordt vaak verwezen naar het behalen van een ISO-certificaat (vaak ISO27001) in relatie tot het voldoen aan NIS2 (zie ook mijn nieuwsbrief nr. 4 - . Hoewel het gebruik van een norm of standaard door NIS2 geaccepteerd wordt (art. 21 lid 1 tweede alinea NIS2) staat het gebruik ervan niet gelijk aan het voldoen aan NIS2. De redenen hiervoor zijn:
Een ISO-norm, zoals ISO27001, geeft invulling aan een managementsysteem. Certificering op basis van ISO27001 geeft aan dat er procesmatig informatiebeveiliging gemanaged wordt. Een certificerende instelling beoordeelt of de organisatie hieraan voldoet. Er wordt dan ook geen conformiteitsbeoordeling uitgevoerd.
In relatie tot NIS2 vangt ISO27001 niet alle facetten uit art. 21 lid 1 NIS2 af. Art. 21 lid 1 NIS2 spreekt over passende en evenredige maatregelen. De annex A van ISO27001 geeft alleen passende maatregelen weer en niet ook de evenredigheid. De organisatie moet zelf bepalen wat de evenredigheid van de maatregel moet zijn.
Ook geeft NIS2 in art. 21 lid 1 aan dat er drie type maatregelen zijn: technische, operationele en organisatorische maatregelen. ISO27001 hanteert in haar annex alleen technische en organisatorische. Operationele maatregelen ontbreken.
Ten slotte is ISO27001 vooral gericht op IT- (kantoor) omgevingen en niet op OT- (proces) omgevingen. Voor entiteiten die naast IT- ook OT-omgevingen hebben die binnen het toepassingsgebied van NIS2 vallen zal ISO27001 niet alles kunnen afdekken.Samengevat is te stellen dat het gebruik van ISO27001 een basis wordt gelegd maar dat aanvullende zaken toegevoegd moeten worden om te kunnen voldoen aan art. 21 lid 1 NIS2.
Rol AVG binnen NIS2
NIS2 gaat over alle verwerkte, verzonden en opgeslagen gegevens. Hieronder kunnen ook persoonsgegevens vallen (ov. 78, 79 en art. 6 lid 2 NIS2). Hierdoor wordt in NIS2 ook de AVG aangehaald (onder andere ov. 14, 51 en art. 35 NIS2). De kern hiervan is dat wanneer een entiteit persoonsgegevens verwerkt de AVG nog steeds daarop van toepassing is. Bij een incident kan het dus zijn dat een entiteit een melding moet doen bij de toezichthouder NIS2 èn de Autoriteit Persoonsgegevens. Art. 35 lid 2 NIS2 geeft dan wel weer aan dat een entiteit niet door beide toezichthouders beboet kan worden voor het zelfde incident (of datalek vanuit de AVG).
Dit betekent dat NIS2 en AVG naast elkaar staan. Dit betekent niet automatisch dat passende beveiligingsmaatregelen uit de AVG ook direct passend (en evenredig) zijn voor NIS2. Dat komt omdat de AVG de maatregelen relateert aan het beschermen van de vrijheden en grondrechten van natuurlijke personen. Dat is een ander uitgangspunt dan NIS2 hanteert (waarbij er wel overlap kan bestaan).
