Cyberbeveiligingswet

Reactie

Naam ENGIE Flexible Generation (drs. ing. A Sibma)
Plaats Zwolle
Datum 21 juni 2024

Vraag1

Wilt u reageren op het wetsvoorstel? Dan kunt u hier uw reactie geven. U kunt dat doen door een bericht achter te laten of door een document te uploaden
In de memorie van toelichting staat onder par 5.3.6 dat entiteiten een eigen normenkader kunnen hanteren. Maar, dat dit normenkader niet direct betekent dat een entiteit voldoet aan de zorgplicht. De organisatie zal dus een mapping moeten maken tussen de Cyberbeveiligingswet eisen (voor zover concreet) en het eigen normenkader. Dit zal iedere organisatie moeten doen. Ook voor de RDI (of andere toezichthouder) die toezicht wil houden en waarschijnlijk niet zelf die mapping wil doen voor iedere organisatie met een eigen normenkader. Wel verwijzen ze specifiek naar de ISO 27000-serie als voorbeeld van een erkend normenkader.

Het afgelopen jaar zijn wij geïnspecteerd door de RDI. Daarbij hebben we ervaren dat de RDI toetst op een kader gemaakt door de RDI, gebaseerd op de ISO 27000-serie. Vraag is dan ook hoe de RDI dit voor zich ziet bij volgende inspecties; toetsen zij dan weer op basis van de ISO 27000-serie? Zou het dan niet efficiënter zijn om de ISO-27000 te verplichten ofwel een set aan specifieke maatregelen uit de ISO 27000-serie? Hiermee voorkomen we vele mappings die organisaties moeten maken, interpretatie verschillen, et cetera. Ook maken we het eenvoudiger voor organisaties om zich te laten toetsen. Iedere partij die assessments/audits uitvoert kent de ISO en niet de interne normenkaders van organisaties.