Kennis van wet- en regelgeving

Wettelijke normenkaders.

Het ontwikkelen van een informatiebeveiligingsbeleid doet u op de eerste plaats om de kans op een aanval of een datalek te verminderen. Het beschermen van de waarde van uw onderneming is een eerste vereiste. De behoefte aan informatiebeveiliging komt evenwel niet alleen voort uit uw eigen verantwoordelijkheidsgevoel. Ook wettelijke kaders en andere vormen van regelgeving eisen van uw organisatie dat uw beleid op orde is.

De veelheid aan normenkader is te uitgebreid om op één pagina samen te vatten, maar de belangrijkste en voor onze klanten meest relevante normenkaders vatten we op deze pagina voor u samen in drie groepen:

  • Wettelijke bepalingen
  • Aanvullende regelgeving
  • Algemeen aanvaarde standaarden

Deze lijst is uitdrukkelijk niet volledig, maar is een overzicht van relevante bepalingen die we zouden adviseren om op te nemen in het normenkader van onze klanten. Naast deze bepalingen zijn er een groot aantal besluiten, regelingen en algemene maatregelen van bestuur die relevant kunnen zijn voor de CISO, afhankelijk van de sector en de situatie.

WETTELIJKE BEPALINGEN / Digital Operational Resilience Act (DORA)

Vanaf 2025 zal de Digital Operational Resilience Act (kortweg: 'DORA') van kracht zijn. DORA is een uitbreiding van andere regelgeving en richt zich op een brede groep organisaties in de financiële sector. De doelstelling van DORA is om de digitale operationele weerbaarheid van financiële instellingen te verbeteren. Dit wordt gerealiseerd door regelgeving die in de vorm van vijf pijlers wordt weergegeven:

1.    Risicobeheer op het gebied van ICT
2.    Melding van ICT-incidenten en cyberdreigingen
3.    Beheer van ICT-risico van derde aanbieders
4.    Testen van de operationele weerbaarheid
5.    Uitwisseling van informatie inzake cyberdreigingen en kwetsbaarheden

InAudit heeft een team samengesteld waarin specialisten de kennis omtrent DORA bundelen en vertalen naar een praktische aanpak voor haar klanten.

Meer informatie over DORA

Bron: DORA-Verordening (EU) 2022/2554

Regulatory Technical Standards bij de DORA

Een heel concrete uitwerking van de DORA is dat financiële organisaties veel meer zullen moeten gaan rapporteren aan hun toezichthouder, zoals bijvoorbeeld overzichten van externe serviceproviders, verslag omtrent het raamwerk van risicobeheersing, uitkomsten van de dreigingsgestuurde penetratietesten (ook genoemd: threat led penetration testing, kortweg: 'TLPT'), enzovoorts. 

Deze uitwerking wordt in afzonderlijke uitvoeringsverordeningen vastgelegd, ofwel de regulatory technical standards. Hieronder vindt de verwijzing naar de thans bekende, in consultatie zijnde, RTS-standaarden:

Bron: Committee Technical Standards (EBA-website)

Nederlandse toezichthouders en DORA

DNB houdt al langer toezicht op de beheersing van operationele en ICT risico’s bij de onder haar toezicht vallende instellingen. Hiervoor wordt onder meer het ‘good practice’ document gebruikt met daarin de bekende 58 controls, waarop de toezichthouder een zekere mate van volwassenheid verwacht. De link naar dit document hebben we hierna separaat opgenomen.

Ook de AFM zal toezicht houden op de naleving van de DORA verordening en heeft hiertoe de volgende informatiepagina op haar website:

Bron: AFM inzake naleving DORA

WETTELIJKE BEPALINGEN / Algemene Verordening Gegevensbescherming (AVG)

Van alle wettelijke vereisten op het gebied van informatiebeveiliging is de General Data Protection Regulation (“GDPR”) of in het Nederlands: AVG, de meest relevante. Met deze verordening worden in alle Europese landen de wettelijke bepalingen ten aanzien van de vereiste governance en de privacyrechten van betrokkenen gelijk getrokken. Belangrijke onderdelen van de AVG zijn onder meer:

  • Aanstelling van een Functionaris Gegevensbescherming
  • Meldingsplicht bij datalekken
  • Privacyrechten van betrokkenen, zoals recht op inzage, vergetelheid, rectificatie, beperking en bezwaar
  • Sanctiebepalingen bij niet-naleving

In elk informatiebeveiligingsbeleid moeten de (meest relevante) bepalingen van de AVG worden meegenomen.

Bron: AVG Verordening - (EU) 2016/679

WETTELIJKE BEPALINGEN / Europese Netwerk- en informatiebeveiligingsrichtlijn (NIS2)

In 2016 werd de eerste Europese Netwerk- en Informatiebeveiligingsrichtlijn (EU) 2016/1148 vertaald naar de Nederlandse wetgeving in de vorm van de “Wet beveiliging netwerk en informatiesystemen (“Wbni”)”. Met ingang van (eind) 2024 wordt de werkingssfeer van deze richtlijn fors uitgebreid en worden de voorschriften uitgebreid om gelijke tred te houden met toenemende cyberdreigingen. De nieuwe richtlijn wordt daarom aangeduid als de NIS2-richtlijn.

Belangrijke elementen van de NIS2 richtlijn zijn de zorgplicht (tot het nemen van beheersmaatregelen) en de meldplicht (van incidenten).

De nieuwe regels voeren voor het eerst expliciete governance-vereisten in, op grond waarvan het bestuur van entiteiten die vallen binnen het toepassingsbereik van de NIS2-richtlijn maatregelen voor het managen van cyberbeveiligingsrisico's moet goedkeuren en daarop toezicht moet houden. Ook moet het bestuur cyberbeveiligingstrainingen volgen.

In de loop van 2024 zal de Nederlandse wetgeving (inclusief lagere regelgeving en AMvB) worden aangepast in lijn met de Richtlijn/

Bron: NIS2 Richtlijn – (EU) 2022/2555

WETTELIJKE BEPALINGEN / Europese Cybersecurity Act

De Europese ’Cybersecurity Act’ betreft een verordening waarmee de EU grensoverschrijdende cyberaanvallen wil tegengaan. De nieuwe regels geven Europa een kader voor de certificering van producten, processen en diensten op het gebied van cyberveiligheid en versterken het mandaat van het EU-agentschap voor cyberveiligheid, ENISA. Het mandaat van ENISA (het Agentschap voor cyberveiligheid) wordt door middel van de Verordening vergroot. ENISA krijgt meer middelen, nieuwe taken en wordt een permanent Agentschap. Een van de voornaamste veranderingen is dat het Agentschap een sleutelpositie krijgt in het opzetten en onderhouden van het Europese certificatiesysteem voor cyberveiligheid. Het zal de technische basis leggen voor dit certificatiesysteem en zorgen voor informatieverstrekking.

Bron: Cybersecurity Verordening (EU) 2019/881

AANVULLENDE REGELGEVING / FINANCIELE INSTELLINGEN / DNB GOOD PRACTICE INFORMATIEBEVEILIGING

De Good Practice van DNB inzake informatiebeveiliging is in 2023 na consultatie vernieuwd en bijgewerkt naar de actuele regelgeving. Het document geeft de onder toezicht van DNB staande instellingen handvatten, te weten beheersingsmaatregelen, waarmee zij kunnen voldoen aan de wettelijke bepalingen om de integriteit, voortdurende beschikbaarheid en beveiliging van de geautomatiseerde gegevensverwerking te waarborgen. 

Dit Good Practice document is een prettig toegankelijk document met een goede striuctuur. Het vraagt om een periodieke self assessment, waarbij de financiële instelling tot op zekere hoogte de vrijheid heeft om het gewenste volwassenheidsniveau te bepalen. Bij financiële instellingen wordt deze good practice vaak als gezaghebbend toegepast. Het is echter geen alternatief voor de invoering van bijvoorbeeld DORA. 

Bron: DNB Good Practice Informatiebeveiliging 2023

AANVULLENDE REGELGEVING / VERZEKERAARS / EIOPA – Guidelines betreffende de beveiliging en governance van ICT

Deze richtsnoeren zijn van toepassing sinds 1 juli 2021 en voorzien in (Europees geharmoniseerde) bepalingen voor verzekeraars op het gebied van beveiliging en governance van informatie- en communicatietechnologie. Richtsnoer 7 van deze guidelines bepaalt dat verzekeraars binnen hun governancesysteem een informatie-beveiligingsfunctie moeten opzetten die wordt toegewezen aan één specifieke persoon. Doorgaans noemen we deze persoon de CISO. Taken van de CISO zijn het opstellen en bijhouden van het informatiebeviligingsbeleid, alsmede de controle van de implementatie. Ook moet de CISO periodiek verslag uitbrengen aan het bestuur, de ICT controls monitoren, waarborgen dat ook externe partijen voldoen aan het beleid en waarborgen dat medewerkers voldoende bewust en geïnformeerd zijn. Uiteraard heeft de CISO ook een rol in het coördineren van operationele en veiligheidsincidenten. De Guidelines bevatten voorts ook voorschriften voor logische en fysieke beveiliging, incidentmanagement, business continuity en uitbesteding

Bron: EIOPA - Richtsnoeren ICT governance en beveiliging

AANVULLENDE REGELGEVING / VERZEKERAARS / EIOPA – Guidelines betreffende de uitbesteding aan de cloud

Deze richtsnoeren zijn van toepassing sinds 1 januari 2021 en voorzien in (Europees geharmoniseerde) bepalingen voor verzekeraars op het gebied van uitbesteding van dataprocessen en dataopslag aan aanbieders van clouddiensten. Hoewel de guidelines in de definities onderscheid maken tussen de public, private en hybride cloud infrastructuur, zijn de meeste bepalingen voor alle vormen van belang. Enkele cruciale guidelines betreffen algemene uitgangspunten bij uitbesteding, zoals het recht op audit en toegang, het vastleggen van een exit-strategie, due diligence, risicomanagement en een analyse vooraf. Als het gaat om beveiliging worden specifieke onderwerpen genoemd zoals: toepassing van encryptie, toegangsbeveiliging, beschikbaarheid en continuïteit en incidentenbeheer. Van de CISO wordt monitoring verwacht.

Bron: EIOPA – Richtsnoeren voor uitbesteding aan de cloud

AANVULLENDE REGELGEVING / VERZEKERAARS / CIS Protocollen

Binnen de Stichting Centraal Informatie Systeem (“CIS”) werken verzekeraars en volmachtbedrijven samen primair om verzekeringsfraude te voorkomen. Deze scope is in de loop der jaren verbreed richting risico inschatting bij acceptatie en claims. Daartoe worden veel gegevens uitgewisseld tussen de CIS databank (“FISH”) en de aangesloten organisaties. Vanwege de vertrouwelijkheid van deze gegevens heeft de Stichting CIS een aantal protocollen ontwikkeld over waar de aangesloten organisatie aan moet voldoen.

Bron: CIS Protocollen

AANVULLENDE REGELGEVING / PENSIOENFONDSEN / Identificatie via DigID

Via DigiD kan een gebruiker zich online identificeren als de persoon die deze beweert te zijn. Vooral overheidsorganisaties, zoals de belastingdienst, provincies en gemeenten gebruiken de DigiD als identificatiemiddel, maar ook zorgverzekeraars en pensioenfondsen. Het beheer van DigiD wordt uitgevoerd door Logius. Logius is onderdeel van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties en beheert overheidsbrede ICT-voorzieningen. Er wordt toezicht gehouden op de koppeling van DigiD met de webapplicatie van een aangesloten organisatie. Alle organisaties die DigiD gebruiken moeten voldoen aan het DigiD Normenkader v2.0. Toetsing hiervan gebeurt op basis van een IT-audit.

Een organisatie met een DigiD aansluiting:

  • laat jaarlijks een assessment uitvoeren
  • zorgt voor het oplossen van eventuele tekortkomingen
  • levert een door een RE-auditor opgestelde en ondertekende rapportage aan bij Logius

Bron: Besluit verwerking persoonsgegevens generieke digitale infrastructuur NOREA – Handreiking DigiD assessments

ALGEMEEN AANVAARDE STANDAARDEN / ISO 27001

ISO 27001 is een wereldwijd erkende norm op het gebied van informatiebeveiliging. De norm beschrijft hoe u procesmatig met het beveiligen van informatie kunt omgaan, met als doel om de vertrouwelijkheid, beschikbaarheid en integriteit van informatie binnen uw organisatie zeker te stellen. De ISO 27001 standaard is een algemeen aanvaarde standaard die door veel organisaties wordt gebruikt als normenkader. Daarbij geldt overigens nog steeds een zekere mate van vrijheid om de eigen ambitie qua beveiligingsniveau te definiëren.

Bron: NEN over de ISO27001 standaard

information security

Deze website maakt gebruik van cookies

InAudit maakt gebruik van cookies om de website te verbeteren en je voorkeuren te onthouden. De noodzakelijke en statistiek-cookies verzamelen geen persoonsgegevens en helpen ons de website te verbeteren. Ga je voor een optimaal werkende website inclusief embedded content druk dan op Accepteren.

Noodzakelijk
Voorkeuren
Statistieken

Lees meer over onze cookies in onze Privacy Policy.