Nieuwe versie NEN 7510

Op 16 december 2024 heeft de NEN de nieuwste versie van de NEN 7510-norm voor informatiebeveiliging in de zorg gepubliceerd. Dit betreft de NEN 7510-1:2024 (het managementsysteem en de eisen) en de NEN 7510-2:2024 (de beheersmaatregelen). Hiermee zijn beide normen weer in lijn gebracht met de ISO/IEC 27001 en ISO/IEC 27002 uit 2022. Wat betekenen deze wijzigingen voor u?

Verwachte certificering

Met de publicatie van de normwijziging is het nog niet direct mogelijk om daarvoor gecertificeerd te worden. Voorafgaand aan die mogelijkheid stellen de NEN en de Raad voor Accreditatie de voorwaarden op, waaraan certificerende instellingen zoals DNV moeten voldoen, voordat de nieuwe certificaten mogen worden afgegeven. Dit proces is momenteel gaande en naar verwachting zal dit voor alle certificerende instellingen in het tweede kwartaal van 2025 worden afgerond. Waarschijnlijk krijgen organisaties daarna 24 maanden de tijd om de transitie naar de nieuwe versie van de norm te realiseren.

Geen van deze zaken zijn momenteel concreet, daarom zal DNV certificaten af blijven geven tegen de NEN 7510-1:2017+A1:2020.

Verschillen en implementatie

De beheersmaatregelen van de norm hebben dezelfde structuur behouden met de vier bekende ‘domeinen’ (organisatorisch, mensgericht, fysiek en technologisch). Ook zijn er nieuwe beheersmaatregelen bijgekomen. Een deel daarvan sluit aan bij de verplichtingen die voortkomen uit de NIS2-richtlijn/cyberbeveiligingswet. Meer hierover leest u in Bijlage E van de NEN 7510-2. Voor de implementatie is de NEN 7510-2 een zeer uitgebreide bron geworden, met richtlijnen en duiding over de te verwachte invulling van beheersmaatregelen, in relatie tot ISO/IEC 27002:2022.

Bezit u een ISO/IEC 27001 in combinatie met NEN 7510-certificaat?

Er is voor organisaties die zowel het ISO/IEC 27001 en NEN 7510 certificaat bezitten een bijzondere situatie ontstaan. Dit komt doordat de mogelijkheid om gecertificeerd te worden tegen NEN 7510:2024 mogelijk erg dicht bij de laatste datum voor de transitie naar ISO/IEC 27001:2022 ligt.

Certificaten tegen ISO/IEC 27001:2013 vervallen automatisch op 31 oktober 2025. Organisaties die gewacht hebben op de publicatie van de NEN 7510-1 kunnen daarmee vastlopen bij de implementatie en uitvoering van deze transitie(s).

Voor die organisaties bieden zowel ISO/IEC 27001, de oude als de nieuwe NEN 7510-1, met gebruik van clausule 6.1.3 b., de mogelijkheid om voor hun certificering tegen NEN 7510-1 alvast de beheersmaatregelen te selecteren uit NEN 7510-1:2024. Hier zijn wel een aantal voorwaarden aan verbonden:  

  • Er moet een gecombineerde (ISO/IEC 27001/NEN 7510-1) of separate (alleen NEN 7510-1) Verklaring van Toepasselijkheid (VvT) zijn waarin alle relevante zorg specifieke beheersmaatregelen zijn gespecificeerd uit de NEN 7510-1:2024 op dezelfde wijze als voor de oude VvT al verplicht was.
  • Op basis van 6.1.3 d) moet die VvT een rechtvaardiging bevatten voor het uitsluiten van de beheersmaatregelen uit de NEN 7510-1:2017. Die kan worden gevonden in de verwijzing naar Bijlage B van de NEN 7510-2:2024, Tabel B.2, die de overeenstemming tussen de ‘oude’ en de ‘nieuwe’ beheersmaatregelen bevat.

Uiteraard dient dit onderdeel te zijn van de transitie naar ISO/IEC 27001:2022, met onder meer een GAP-analyse, beoordeling van wijzigingen in de risicoanalyse en -behandeling, uitvoering van een interne audit op de nieuwe maatregelen en de beoordeling in de managementreview.

Disclaimer: deze voorgestelde werkwijze is toegestaan binnen de huidige normeisen, maar is geen invulling van de tijdsbesteding die voor een transitie benodigd is. Hiervoor is nog te veel onduidelijkheid met betrekking tot verplichtingen en accreditatie.

Wilt u meer informatie?

Tijdens de normkennis NEN 7510 training wordt de nieuwste versie van de norm behandeld. Hiermee bereidt u zich goed voor op de audits tegen de nieuwe versie van de norm.