De afgelopen periode is er een enorme golf aan nieuwe wetten gelanceerd vanuit de EU en Nederland zelf die betrekking hebben op de verbetering van informatiebeveiliging in alle sectoren van onze maatschappij. Om duiding te geven aan de verschillende wetten, hun afkortingen en de relaties tussen de wetten en relevante normen hebben we ze in dit blog overzichtelijk voor je op een rijtje gezet.

Naast de wetten en de relevante normen bespreken we ook voor welke branches de wetten en normen van toepassing zijn, wanneer de wetten in werking zijn getreden (of zullen gaan treden) en de recente wijzigingen aan de normen.

In dit blog:

Ontdek hoe Base27 je kan helpen met de implementatie van verschillende normen binnen jouw organisatie.

De meest recente wet- en regelgeving binnen informatiebeveiliging

Hieronder volgt een overzicht van de meest recente wet- en regelgeving op het gebied van informatiebeveiliging in zowel Nederland als de Europese Unie. We hebben hierbij een koppeling gemaakt naar de relevante normenkaders, zoals de ISO 27001.

Let op: In veel gevallen wordt de wet- en regelgeving in fasen geïmplementeerd. Dit gebeurt vooral bij wetten op Europees niveau. De nationale uitwerking in Nederland volgt dan later. 

Disclaimer: voor specifieke sectoren kunnen aanvullende wet- en regelgeving van toepassing zijn (zoals de Havenbeveiligingswet). We beperken ons hier tot de meer algemene, meest van toepassing zijnde wet- en regelgeving.

NIS2-richtlijn (EU)

De NIS2-richtlijn is een uitgebreide update ten opzichte van de oorspronkelijke NIS-richtlijn. De NIS2 bevat een bredere reikwijdte en strengere eisen (zoals meld- en zorgplicht). In Nederland wordt deze richtlijn via de Cyberbeveiligingswet (zie hieronder) geïmplementeerd, maar de inwerkingtreding hiervan is vertraagd.

  • Toepassingsgebied: De NIS2-richtlijn is van toepassing op essentiële en belangrijke entiteiten in sectoren zoals energie, vervoer, gezondheidszorg, digitale diensten en overheidsinstanties.
  • Inwerkingtreding: In de EU is de NIS2-richtlijn officieel sinds oktober 2024. Binnen Nederland is de implementatie vertraagd tot ongeveer het derde kwartaal van 2025.
  • Normenkaders: Als organisatie kun je voldoen aan de NIS2 door een robuust ISMS, zoals Base27, te implementeren volgens de ISO 27001.
  • Aanvullende normenkaders: In de zorg wordt ook de NEN 7510 als aanvullend normenkader gehanteerd. Voor de overheid speelt de BIO een aanvullende rol en voor de industriële sector is de ISO 62443 van groot belang.

Cyberbeveiligingswet (NL)

  • Toepassingsgebied: De nationale implementatie van de NIS2-richtlijn is voor essentiële diensten en overheidsinstanties.
  • Inwerkingtreding: Naar verwachting begin tot midden 2025. Dit is afhankelijk van de definitieve nationale uitwerking.
  • Normenkaders: Naast de normen die voor de NIS2 gelden, kunnen beheersmaatregelen op andere niveaus gerealiseerd worden. Binnen Nederland is er bijvoorbeeld de NIS2 Quality Mark en in België wordt de CyFun (Cyber Fundamentals) gehanteerd.

Critical Entities Resilience Directive (CER) (EU)

  • Toepassingsgebied: De CER richt zich op de veerkracht van kritieke entiteiten die essentiële diensten leveren in sectoren zoals energie, transport, gezondheidszorg, digitale infrastructuur en meer.
  • Inwerkingtreding: De maatregelen zijn van toepassing vanaf 18 oktober 2024, met aanvullende deadlines zoals de identificatie van kritieke entiteiten (uiterlijk juli 2026).
  • Normenkaders: De CER vereist dat kritieke entiteiten uitgebreide risicoanalyses en weerbaarheidsmaatregelen implementeren. Het hanteren van internationale standaarden zoals ISO 27001 helpt bij het structureren van deze technische, organisatorische en fysieke maatregelen. Ook de ISO 62443 kan hierbij van belang zijn.

Wwke (Wet weerbaarheid kritieke entiteiten)

  • Toepassingsgebied: De Wwke richt zich op de weerbaarheid van kritieke entiteiten, met name in sectoren zoals energie, transport, digitale infrastructuur en andere essentiële diensten. De wet beoogt zowel digitale als fysieke bedreigingen te mitigeren om de continuïteit van deze diensten te garanderen.
  • Inwerkingtreding: De inwerkingtreding was in 2024. De Wwke is de nationale implementatie (uitvoering) van de EU CER-richtlijn.
  • Normenkaders: De Wwke legt de nadruk op uitgebreide risicoanalyses en het treffen van passende technische, organisatorische en fysieke maatregelen. Organisaties kunnen bij het opzetten van hun beheersmaatregelen een ISMS zoals Base27 implementeren volgens ISO 27001 en relevante sectorale best practices hanteren. Ook hier kan de ISO 62443 van belang zijn. 

Digitale Operational Resilience Act (DORA) (EU)

Zowel de DORA als de CRA (hieronder) leggen een sterke nadruk op een systematische aanpak van ICT-risico’s en vormen een aanvulling op bestaande normenkaders.

  • Toepassingsgebied: De DORA is voor financiële instellingen zoals banken, verzekeraars, beleggingsondernemingen en aanverwante dienstverleners.
  • Inwerkingtreding: Vanaf januari 2025.
  • Normenkaders: De DORA vereist een sterk ICT-risicomanagement, waarbij een ISMS volgens ISO 27001 een belangrijke bouwsteen kan zijn. Aanvullende financiële compliance-frameworks spelen eveneens een rol.

Cyber Resiliance Act (CRA) (EU)

  • Toepassingsgebied: De CRA richt zich op fabrikanten en leveranciers van ICT-producten waarbij ‘security by design’ en veilige product updates centraal staan. Hierbij is er een bijzondere aandacht voor IoT-apparaten en digitale producten.
  • Inwerkingtreding: De inwerkingtreding van deze wet wordt verwacht in 2025.
  • Normenkaders: Het implementeren van een ISMS volgens ISO 27001, zoals Base27, helpt bij het realiseren van de vereisten van de CRA. Deze zorgt voor een systematische aanpak van cybersecurity in het productontwikkelingsproces.

EU AI act

  • Toepassingsgebied: De EU AI act reguleert het ontwerp, de ontwikkeling en het gebruik van AI-systemen. Het legt een risicogebaseerde aanpak voor AI vast, inclusief eisen op het gebied van veiligheid en transparantie.
  • Inwerkingtreding: Wordt verwacht in 2025 (fase-in). De finalisatie en inwerkingtreding van de EU AI act liggen nog in ontwikkeling.
  • Normenkaders: Organisaties moeten zorgen voor veilige en betrouwbare AI-systemen. Een robuust ISMS volgens ISO 27001 kan helpen bij het waarborgen van de integriteit en veiligheid van de data die AI-systemen gebruiken. Daarnaast kan een specifieke norm voor AI, zoals de ISO 42001, overwogen worden. 

Digital Services Act (DSA) & Digital Markets Act (DMA)

  • Toepassingsgebied: De DSA en DMA regelen de verantwoordelijkheden van online platforms en digitale dienstverleners. Hierbij is er aandacht voor veiligheid, transparantie en consumentenbescherming.
  • Inwerkingtreding: De DSA en DMA zijn in werking sinds 2022/2023. Wel zijn er voortdurend nieuwe updates.
  • Normenkaders: Beide wetten vragen om beveiligingsmaatregelen en risicobeheer welke ondersteund kan worden door normenkaders zoals ISO 27001.

Algemene Verordening Gegevensbescherming (AVG/GDPR) (EU) en de U-AVG (Uitvoeringswet in Nederland)

  • Toepassingsgebied: Alle organisaties binnen de EU die persoonsgegevens verwerken. Dit betreft praktisch vrijwel alle organisaties.
  • Inwerkingtreding: Beide wetten zijn in werking sinds 25 mei 2018.
  • Normenkaders: De AVG en U-AVG zijn primair gericht op privacy. Dit verplicht organisaties om passende technische en organisatorische maatregelen te treffen, bijvoorbeeld een ISMS volgens ISO 27001, voor de beveiliging van persoonsgegevens. Daarnaast kunnen specifieke privacy normenkaders zoals de ISO 27701, 27018 of de BC 5701 overwogen worden.

Wet digitale overheid (Wdo) (NL)

  • Toepassingsgebied: De Wdo geld voor digitale dienstverlening en informatievoorziening van de overheid.
  • Inwerkingtreding: De wet is momenteel nog in ontwikkeling. Een herziene versie wordt begin 2025 verwacht.
  • Normenkaders: Deze wet beoogt de digitale dienstverlening van de overheid verder te structureren en kan gekoppeld worden aan de eisen uit de BIO (en dus ook ISO 27001) en andere relevante normen in overheidscontext.

CSRD (Corporate Sustainability Reporting Directive)

  • Toepassingsgebied: De CSRD is verplicht voor ESG-rapportage voor grote en beursgenoteerde bedrijven in de EU en bedrijven met belangrijke EU-activiteiten, gericht op milieu, maatschappij en governance.
  • Inwerkingtreding: Gefaseerde invoering vanaf 2024 (EU-bedrijven) tot 2029 (niet EU-bedrijven met EU-activiteiten).
  • Normenkaders: Voor een betrouwbare ESG-rapportage is het cruciaal dat de onderliggende data veiliger en integer wordt beheerd. Het implementeren van een ISMS volgens ISO 27001 ondersteunt dit en zorgt voor een sterker basis bij de bescherming van ESG-data, wat de assuranceprocessen ten goede komt.

De relevante normenkaders

Om je een handje te helpen met het geven van invulling aan alle nieuwe en gewijzigde wetten hebben we hieronder de belangrijkste normenkaders op een rijtje gezet.

ISO 27001 / ISO 27002

Deze normen zijn universeel inzetbaar en bieden organisaties de mogelijkheid een systematische en risicogebaseerde aanpak te hanteren voor informatiebeveiliging. De recente updates uit 2022 versterken de aansluiting op hedendaagse bedreigingen en maken deze normen een belangrijk instrument voor compliance met wetgevingen als de NIS2 en DORA.

  • Toepassingsgebied: De ISO 27001 en ISO 27002 zijn breed toepasbaar in alle sectoren (financieel, industrie, overheid etc.). De internationale normen vormen de basis voor een Information Security Management System (ISMS), zoals Base27, en geven richtlijnen voor beveiligingsmaatregelen en -controles.
  • Recente wijzigingen: De ISO/IEC 27001 en ISO/IEC 27002 zijn recent geüpdatet (de nieuwste versies dateren van 2022). Deze updates reflecteren de evoluerende cyberdreigingen en de noodzaak tot een meer flexibele en risicogebaseerde aanpak.
  • Relevante wetgeving: Dragen bij aan de naleving van onder meer de NIS2-richtlijn, DORA, AVG en dient als basis voor de BIO in de overheidssector en de NEN 7510 in de zorgsector. Gezien het algemene karakter van deze norm is deze goed inzetbaar als basis voor alle nieuwe wetgeving, inclusief CRA, AI act etc.

Lees ook: Wat is het verschil tussen ISO 27001 en ISO 27002?

NEN 7510

Specifiek voor de zorg, helpt de NEN 7510 zorginstellingen om gevoelige patiëntgegevens en medische informatie op een adequate wijze te beveiligen. De recente vernieuwing sluit aan bij de veranderende eisen, mede ingegeven door de strengere privacy- en beveiligingseisen onder de AVG.

  • Toepassingsgebied: De NEN 7510 is specifiek ontwikkeld voor de zorgsector in Nederland. Deze norm geeft richtlijnen voor informatiebeveiliging binnen zorginstellingen en organisaties die met zorggerelateerde data werken.
  • Recente wijzigingen: De NEN 7510 is recent vernieuwd (NEN 7510:2024) om in te spelen op de veranderende eisen op het gebied van privacy en informatiebeveiliging in de zorg.
  • Relevante wetgeving: Net als voor de ISO 27001 kan met de NEN 7510 invulling gegeven worden aan de NIS2, DORA en AVG in de zorgsector. Daarnaast sluit de norm aan bij sectorspecifieke eisen binnen de Nederlandse regelgeving.
Meer weten over de NEN 7510? Lees dan:

BIO (Baseline Informatiebeveiliging Overheid)

Voor overheidsinstanties is de BIO onmisbaar als basis voor een uniforme en adequate beveiliging van overheidsinformatie. Door de koppeling met internationale normen (ISO 27001/27002) en de specifieke aanvulling voor de Nederlandse context, ondersteunt de BIO de implementatie van de NIS2 via de cyberbeveiligingswet.

  • Toepassingsgebied: De BIO is specifiek ontwikkeld voor overheidsinstanties (Rijk, gemeenten, waterschappen en provincies). Dit normenkader vertaalt internationale standaarden (zoals ISO 27001/27002) naar de Nederlandse overheidscontext.
  • Recente wijzigingen: De BIO is sinds 2019 verplicht en de meest recente versie (bijvoorbeeld BIO 1.04zv) is in gebruik. In 2025 zal een herziening (BIO 2.0) om de veranderingen in digitale dreigingen en om de implementatie van de NIS2 verder te integreren definitief worden.
  • Relevante wetgeving: Deze norm wordt gebruikt als basis voor de nationale implementatie van de NIS2-richtlijn (Cyberbeveiligingswet) en vormt een aanvulling op andere overheidsregels gericht op digitale weerbaarheid van kritieke entiteiten (zoals de Wet weerbaarheid kritieke entiteiten).

ISO 62443

Deze norm is cruciaal voor het beveiligen van OT-omgevingen in kritieke sectoren. Met voortdurende updates sluit de ISO 62443 aan bij de eisen uit regelgeving zoals de CER en de CRA. Daarnaast helpt de norm bij het beschermen van industriële systemen tegen cyber- en fysieke bedreigingen.

  • Toepassingsgebied: De ISO 62443 is gericht op de beveiliging van industriële automatiserings- en controlesystemen (OT). De norm is toepasbaar in sectoren als productie, energie- procesindustrie en andere kritieke infrastructuren.
  • Recente wijzigingen: Diverse onderdelen van de ISO 62443-serie zijn recent geactualiseerd. Verdere updates worden nog verwacht om de snel evoluerende bedreigingen in OT-omgevingen beter te adresseren.
  • Relevante wetgeving: De ISO 62443 kan worden ingezet om te voldoen aan eisen die voortvloeien uit de NIS2 en CER (en de nationale uitvoering daarvan, zoals de weerbaarheid kritieke entiteiten) en de CRA, zeker voor fabrikanten en leveranciers van ICT-producten in industriële en kritieke omgevingen.

Overige normen

Andere normen zoals de ISO 42001 (voor AI), ISO 27701 (voor privacy) en ISO 27017 (cloud) kunnen relevant zijn afhankelijk van de sector en de mate van risicogevoeligheid die met het betreffende domein binnen de organisatie is gemoeid.

Wat moet je als organisatie nu doen?

De rode draad in alle bovenstaande ontwikkelingen is voor organisaties om informatiebeveiliging conform de ISO 27001 op orde te hebben. Base27 bewaakt en registreert processen rondom informatiebeveiliging. Het ISMS geeft houvast aan de vele en complexe aspecten. Met behulp van Base27 ben je in staat om de informatiebeveiliging conform de ISO 27001 op te zetten. Inclusief ondersteuning voor de AVG en andere normen. 

Meer weten over de normen die Base27 ondersteunt? Of direct een certificering behalen?

Wij helpen bedrijven met hun digitale veiligheid