De NEN 7510 is dé norm voor informatiebeveiliging in de zorg. Dat was al het geval voordat er over een NIS2 gesproken werd, en dat zal zo blijven nadat de Cyberbeveiligingswet in werking is getreden. Veel zorginstellingen werken al volgens deze norm. De toezichthouder in de gezondheidszorg, de Inspectie Gezondheidszorg en Jeugd (IGJ), hanteert de NEN 7510 als toetsingskader. Voor zorginstellingen zal dat het geval blijven wanneer de Cyberbeveiligingswet in werking treedt.
De NEN 7510, hoe zat dat ook alweer?
De norm is gebaseerd op de ISO 27001, de ISO 27002 en ISO 27799 standaarden. De opzet is tweeledig: er is sprake van een managementsysteem voor informatiebeveiliging (ISMS) en een verzameling van maatregelen die je kunt toepassen om risico’s te behandelen.
Waar de ISO 27001 zich niet specifiek op een sector richt, is de NEN 7510 zorg specifiek door toevoeging van de ISO 27799 richtlijnen. Een auditor kan toetsen of je aantoonbaar voldoet aan de NEN 7510 om je vervolgens te certificeren. Voor een groot deel van de zorg is het verplicht om aantoonbaar te voldoen aan de NEN 7510. Dat kan door certificering, maar mag ook op een andere manier.
NEN 7510 in relatie tot de Cyberbeveiligingswet
In hoeverre de NEN 7510 straks helpt voldoen aan de Cyberbeveiligingswet weten we nog niet. De Cyberbeveiligingswet is nog in de conceptfase, dus we kunnen ons alleen baseren op wat de NIS2 momenteel voorschrijft. Wat er specifiek dus aanvullend gedaan zal moeten worden, naast aantoonbaar werken volgens de NEN 7510, is nog niet duidelijk.
De IGJ geeft aan dat ze de NEN 7510 blijft gebruiken in haar toetsingskaders rondom informatiebeveiliging in de zorg. Waar je verder rekening mee kunt houden, is dat de nieuwe plichten in de Cyberbeveiligingswet (registratieplicht, meldingsplicht, informatieplicht, en de bestuurderstraining) een plekje zullen moeten krijgen. In eerdere Cbweetjes schreven we al iets over een aantal van deze nieuwe plichten.
Werd de NEN 7510 niet herzien?
Net als de ISO 27001 in 2022 een nieuwe versie heeft gekregen, is de NEN 7510 ook onlangs vernieuwd. Dit is met name relevant voor organisaties die al volgens NEN 7510 werken of bezig zijn om aan de NEN 7510 te voldoen. De set van maatregelen is namelijk aangepast en sommige maatregelen zijn samengevoegd of juist vervallen. Daarnaast is het zo dat er een expliciete link met de zorgplicht uit de Cyberbeveiligingswet in opgenomen is.
Op 21 januari was er een evenement van de NEN over de publicatie van de herziene norm. Z-CERT zal hier hier nog verdere informatie over delen.
Hoe kan ik me verder nog verdiepen?
Het ministerie van VWS heeft een zogenaamde ‘mapping’ gemaakt tussen de NEN 7510 en de NIS2. De mapping laat zien waar de overlap zit tussen bepalingen uit de zorgplicht van de NIS2 en de maatregelen in de NEN 7510-2. Let op, deze lijst is nog niet definitief. Enerzijds verwijst het nog naar de maatregelen in de ‘oude’ NEN 7510. Daarnaast kan er nog verandering in komen zodra de Cyberbeveiligingswet wordt aangekondigd.
Binnen onze Z-CERT community kunnen onze deelnemers elkaar ook raadplegen als het gaat om kennis en ervaring ten aanzien van de NEN 7510. Veel deelnemers zijn al gecertificeerd en nog meer deelnemers zijn momenteel bezig om volgens de NEN 7510 te gaan werken (al dan niet in aanloop naar de Cyberbeveiligingswet). Er gaat dus een schat aan mogelijke tips en materiaal schuil achter het stellen van een simpele vraag op ons chatplatform.
Uiteraard kan je ook altijd een commerciële partij inschakelen om te helpen met certificering of een eerste assessment van jouw organisatie. De NEN heeft een lijst met partners op haar website staan. Daarnaast kan je er ook een heleboel informatie vinden in de vorm van trainingen, een praktijkgids, veelgestelde vragen en zelfs een webtool. Het is sowieso een goed idee om alvast bezig te gaan met de NEN 7510, ook al volgen de plichten uit de Cyberbeveiligingswet pas later volgend jaar.
De tips op een rij:
- Er is een nieuwe mapping NEN 7510 – Z-CERT!
- De norm is gratis te downloaden (in tegenstelling tot de ISO 27001)
- Gebruik onze community om kennis op te doen en gebruik te maken van de collectieve ervaring van onze deelnemers
- Op de site van de NEN is een heleboel informatie te vinden over de norm, waaronder een praktijkgids en een handige webtool