De nieuwe versie van de NEN 7510 norm voor informatiebeveiliging in de zorg is gepubliceerd. De NEN 7510:2024 bevat belangrijke updates en is afgestemd op de nieuwste versies van ISO/IEC 27001 en ISO/IEC 27002, met aanvullende eisen voor de zorgsector. Ook ondersteunt de norm organisaties bij het voldoen aan de Europese NIS2-verordening, wat later in 2025 een verplicht kader voor informatiebeveiliging in de zorg wordt. Er is meer nadruk op een risicogestuurde aanpak, zodat organisaties hun beveiliging beter kunnen afstemmen op specifieke bedreigingen.
Wat is NEN 7510?
NEN 7510 is onmisbaar voor organisaties in de zorgketen, zoals zorginstellingen, zorgverzekeraars en ICT-leveranciers. De norm ondersteunt bij het opzetten en onderhouden van een managementsysteem voor informatiebeveiliging: het ISMS. Dit is essentieel bij het beheren en uitwisselen van medische en persoonlijke gezondheidsinformatie. NEN 7510-1 en NEN 7510-2 beschrijven de eisen en maatregelen die organisaties moeten treffen om op adequate wijze met deze informatie om te gaan zodat dit beschikbaar is en blijft, vertrouwelijk behandeld wordt en dat de integriteit van de gegevens geborgd blijft.
Wat is er veranderd in NEN 7510 ten opzichte van de vorige versie?
We zetten de belangrijkste veranderingen hieronder op een rij.
Afstemming met internationale normen
De herziening van NEN 7510 is mede ingegeven door de updates van de ISO 27001 en ISO 27002 normen in 2022. Zo is er bijvoorbeeld de overgang van de High Level Structure (HLS) naar de nieuwere Harmonized Structure (HS), bekend van de ISO27001 norm. Het aantal hoofdstukken in NEN 7510-2 is gereduceerd van veertien naar vier, in lijn met de ISO 27002 norm.
Inhoudelijke wijzigingen
De implementatierichtlijn is niet langer vrijblijvend. In de Verklaring van Toepasselijkheid geef je aan of je voldoet, of je legt uit waarom wordt afgeweken en op welke manier (comply or explain).
Klimaatverandering is toegevoegd als factor in de context van de organisatie. Het is belangrijk om hier rekening mee te houden in je risicobeoordeling.
Bijlage A is vernieuwd op basis van de nieuwe versie van NEN 7510-2: er zijn vernieuwde controles en maatregelen.
De norm is bijgewerkt naar de nieuwste stand van de techniek, met aangescherpte teksten en samengevoegde maatregelen.
Beheersmaatregelen
Het aantal beheersmaatregelen is teruggebracht naar 93 algemene en 8 zorgspecifieke maatregelen (dit was van 114 + 3). Aan 14 'reguliere' beheersmaatregelen is een zorgspecifieke aanvulling gegeven.
Vanuit de NIS2-richtlijn zijn nieuwe beheersmaatregelen toegevoegd, die de cyberbeveiliging van essentiële diensten versterken.
Er zijn doelstellingen en kenmerken per maatregel toegevoegd, zodat je duidelijkere beveiligingsdoelen kunt stellen en de effectiviteit van de maatregelen beter kunt begrijpen.
Wanneer moet je voldoen aan de nieuwe NEN7510:2024?
Voor organisaties die al gecertificeerd zijn voor NEN 7510 wordt een overgangstermijn vastgesteld waarbinnen zij opnieuw gecertificeerd moeten zijn tegen de nieuwe versie van de norm. Dit zal naar verwachting binnen twee jaar na publicatie van de norm zijn (december 2024). De regels voor overgang zijn nog niet definitief, daarover wordt later in het eerste kwartaal van 2025 meer bekend.
Wij raden organisaties aan niet te wachten met de implementatie van NEN 7510:2024. Er zijn veel updates, die de norm beter laten aansluiten bij de actuele cybersecurity-uitdagingen en -kansen in de zorgsector. Ben jij 7510 gecertificeerd? Of 27001 én 7510 gecertificeerd? Dan raden wij je aan om nu al aan de slag te gaan met de nieuwe norm. De online versie van de norm is gratis beschikbaar op de website van de NEN. Door de nieuwe controls mee te nemen in je bestaande ISMS, blijf je actueel. Bovendien scheelt het veel (implementatie)tijd in de toekomst.
Meer weten?
Heb je vragen over de nieuwe NEN7510:2024? Neem gerust contact op met je vaste contactpersoon bij TÜV NORD!
Onderwerpen:
