Hoe herdefinieert NIS 2 risico en aansprakelijkheid voor exploitanten van afvalwaterbedrijven?
Rioleringsbedrijven in heel Europa worden geconfronteerd met een regimeverandering onder de NIS 2-richtlijnDe dagen dat compliance een papieren oefening was en cyberbeveiliging het 'probleem van IT', zijn voorbij. Onder NIS 2 wordt risico een dynamische, gedeelde verantwoordelijkheid die reikt van de controlekamer tot de bestuurskamer - een herkadering risicobeheer niet als statisch beleid, maar als een levend, door het bestuur verankerd systeem van bewijsvoering en aanpassing.
Elke regelgeving is een spiegel: het weerspiegelt wat aanvallers al weten over uw zwakste schakel.
Wat is er veranderd? Onder NIS 2 begint uw wettelijke verantwoordelijkheid met de manier waarop uw entiteit wordt geclassificeerd (‘essentieel’ of ‘belangrijk’) – een beslissing die het tempo bepaalt voor regelgevend toezicht, betrokkenheid van het bestuur en hoe vaak u uw compliancestatus moet herzien en bewijzen. Ongeacht de omvang van uw organisatie, de verwachting is hetzelfde: actief, operationeel toezicht, geen vinkjes zetten. Goedkeuring door audits vraagt niet alleen om bewijs, maar om bewijs dat verfrissend actueel, in kaart gebracht en op basis van de rol beoordeeld is.
De belangrijkste verantwoordingsas is de uitbreiding van het risicomanagement naar alle technologieplatforms: IT-systemen, operationele technologie (OT) en, cruciaal, uw volledige toeleveringsketen. NIS 2 vereist dat inventarissen van activa en leveranciers zijn altijd actueel; incidentprotocollen worden routinematig getest en herzien; en risicobeoordelingen Worden niet alleen geactiveerd op een kalender, maar ook door zakelijke gebeurtenissen, cyberdreigingen of significante wijzigingen in uw infrastructuur. Als uw organisatie groeit, fuseert of herstructureert, wordt van u verwacht dat u uw status en nalevingsbewijzen bijwerkt. Elk incident, elke contractverlenging of elke wijziging in de infrastructuur wordt een risicogebeurtenis met een gedocumenteerd, controleerbaar traject.
Welke operationele fundamenten verenigen NIS 2, ISO 27001 en ENISA voor naleving van meerdere standaarden?
Integratie is geen modewoord: het is de enige verdediging tegen auditmoeheid en regeldruk.
Een nieuwe filosofie voor cybercompliance krijgt voet aan de grond: regelgeving op basis van bewijs, niet regelgeving op basis van verhaal. NIS 2, ISO 27001 en ENISA komen allemaal samen op operationele transparantie, bewijsintegratie en snelle beoordelingscycli. Dit betekent:
- Eén bewijsnetwerk - gecentraliseerd, met toestemming en altijd actueel - waar risicogegevens, incidenten en activaregisterZe leven naast elkaar en worden bij elke audit en beoordeling als referentie gebruikt.
- Geautomatiseerde herinneringen en controlespoorzorgen voor beoordelingen, goedkeuringen en proces verbaalzijn rolgebaseerd, voorzien van een tijdstempel en traceerbaar voor elke bestuurs- en regelgevende beoordeling.
- Dashboards en rapportagekanalen verenigen wat ooit gefragmenteerd was: leverancierslijsten, incidenten en wijzigingslogboeken, direct gekoppeld aan besturingselementen en klaar voor onderzoek.
Het handmatig samenvoegen van bewijsstukken en het op het laatste moment verzamelen van documenten zijn niet alleen inefficiënt, het zijn ook controlevallen die wachten op daglicht.
De handhaving vindt nu continu plaats. Terugkerende beoordelingen – vaak per kwartaal, soms per evenement – betekenen dat verouderde Excel-sheets en geïsoleerde documenten een last vormen. Routinematige, rolgebaseerde toegang en live workflow-integratie zijn vereist, niet alleen aanbevolen.
ISO 27001 Operationalisering: Verwachtingen in kaart brengen
| Verwachting | Operationele praktijk | ISO 27001/Bijlage A Referentie |
|---|---|---|
| Geünificeerde, zichtbare bedieningselementen | Compliance-dashboards gekoppeld aan de live-status | Artikelen 8.1, A.5.6, A.8.1 |
| Centrale bewijsartefacten | Rolgemachtigde repositories, realtime toegang | Bijlage A.5.37, A.5.31 |
| Risico en incidenten verenigd | Risicoregister updates geautomatiseerd op basis van incidentgegevens | Artikelen 6.1.2-3, A.5.24 |
| ENISA/ISO-integratie | Elke richtlijn is gekoppeld aan operationele bewijsregistraties | Artikel 9.2, A.8.34 |
Stel je dit voor: Een realtime nalevingsnetwerk: een levend systeem waarin activa, leveranciersgegevens en incidenten worden bijgewerkt op het auditdashboard, en elke wijziging zowel een waarschuwing als actie activeert.
Beheers NIS 2 zonder spreadsheetchaos
Centraliseer risico's, incidenten, leveranciers en bewijsmateriaal op één overzichtelijk platform.
Op welke manieren moeten besturen, beveiligingsmanagers en vermogensbeheerders de NIS 2-risicobeheerroutines aanpassen?
Goedkeuring door het bestuur betekent verantwoording op de voorpagina, niet alleen maar weggestopte notulen.
NIS 2 dicht mazen in de wet rond "verantwoordelijk maar hands-off" bestuur. Managementteams zijn verplicht om direct deel te nemen aan risicomanagement, samen met security managers en asset owners. Belangrijke aanpassingsroutines zijn onder andere:
- Alle activa en leveranciers waaraan een actieve, benoemde risico-eigenaar is toegewezen, worden minimaal jaarlijks beoordeeld. Elke significante gebeurtenis (inbreuk, contractwijziging, verwerving van activa) leidt tot een herbeoordeling van het risico.
- Beveiligingsleiders moeten een rollend risicoregister die elk incident en elke oplossing registreert, met directe links naar controles en gedocumenteerd bestuurlijk toezicht. Geen indirecte goedkeuringen.
- Besturen gaan van *in principe* toezicht over op live dashboardbeoordeling, goedkeuring en traceerbare formele goedkeuring voor elke risicocyclus.
Stel je het proces eens voor:
Een ransomware-dreiging treft de OT-kant. Directe incidentregistratie, board alerts, herverificatie van activa/leveranciers en een live update van het risicoregister vinden allemaal plaats binnen het complianceplatform. due diligence bij leveranciersVervolgens worden verbeteringsmaatregelen vastgelegd, toegewezen en gevolgd met bewijsmateriaal voor de volgende evaluatievergadering.
Minitabel traceerbaarheid: risicogebeurtenis naar bewijs
| Trigger | Risico-update | Controle/SoA-koppeling | Bewijs geregistreerd |
|---|---|---|---|
| Ransomware op OT | Annual risicoregister + saneringsbeoordeling | A.8.7 (Malware), A.8.8 | Incidentenlogboek, controle status update |
| Wijziging leverancierscontract (ondersteuning op afstand toegevoegd) | Leveranciersrisicobeoordeling, nieuw contract | A.5.20, A.5.21 | Leverancierslijst, beoordelingsmemo |
| Goedkeuring door het bestuur bij kwartaalbeoordeling | Toezichtsrecord van de raad van bestuur, rolverificatie | A.5.4, A.5.36 | Notulen, toezichtsverslag |
| Cyberwaarschuwing van toezichthouder | Simulatie/test van incident gepland | A.5.29, A.5.30 | Testplan, waarschuwingsbevestiging |
Valkuilen met een hoog risico:
- Het niet uitvoeren van een evaluatie van alle gevaren na het incident.
- Niet-toegewezen of niet-toegewezen activa in risico-/leveranciersregisters.
- Het bestuur keurt het risico goed, zonder dat er direct toezicht is op de sanering.
Welke veranderingen brengt NIS 2 met zich mee voor nutsbedrijven ten aanzien van incidentrapportage, logboekbewaring en de verwachtingen ten aanzien van audit trails?
Je hebt geen controle over een incident, maar over het bewijs van hoe je ervan hebt geleerd.
NIS 2 revolutioneert incidentrapportage met strakke tijdschema's en vaste verwachtingen:
- 24-uurs waarschuwing: van significante incidenten.
- Formele eerste melding binnen 72 uur: .
- Doorlopende maandelijkse updates: totdat het incident is afgesloten.
Incidentmanagement onder NIS 2 gaat niet alleen over het indammen van incidenten, maar wordt ook gezien als een testterrein voor uw nalevingsproces:
- Elke gebeurtenis moet een gekoppeld audittraject starten: -van detectie tot corrigerende maatregelen, inclusief de status van activa/leveranciers en beoordelingen door de raad van bestuur.
Logboeken en audittrajecten moet zijn:
- Met tijdstempel, toegewezen rollen en gekoppeld aan risico's en activa.
- Gekoppeld aan betekenisgeving worden herstelmaatregelen vastgelegd, voltooid en, heel belangrijk, ter beoordeling of escalatie aan het bestuur voorgelegd.
Voor grensoverschrijdende nutsbedrijven is escalatie en communicatieparaatheid ononderhandelbaar. Van incidentsimulatie- en escalatieworkflows ("SPoC"-tests) wordt nu verwacht dat ze worden gedocumenteerd, getest en beoordeeld.
Stel je dit eens voor:
Een inbreuk veroorzaakt een rode draad door uw incidentendashboard. Elke fase - detectie, analyse, board alerting, herstel en leerlogboek - krijgt een tijdstempel. Elke gemiste of onvolledige fase is een waarschijnlijke bevinding tijdens de audit.
Belangrijkste valkuilen bij rapportage:
- Zwakke, dubbelzinnige roltoewijzing (“wie deed wat, wanneer?”).
- Lacunes tussen logboeken en updates van het risico-/gebeurtenisregister.
- Niet-geteste escalatiebomen; gebrek aan bewijs voor kritieke communicatie of betrokkenheid van het bestuur.
Wees vanaf dag één NIS 2-ready
Ga aan de slag met een bewezen werkruimte en sjablonen: pas ze aan, wijs ze toe en ga aan de slag.
Wat zijn de nieuwe eisen voor de toeleveringsketen en derden, en hoe ziet ‘auditbestendig’ bewijs eruit?
Verwaarloos de keten en je loopt het risico dat aanvallers van buitenaf de keten doorbreken. Test altijd eerst je zwakste leverancier.
NIS 2 dwingt leveranciersrisico's in de schijnwerpers van de auditHet is niet langer voldoende om contracten of leveranciers met één naam te archiveren. Exploitanten moeten nu het volgende aantonen:
- Terugkerende, onafhankelijke risicobeoordelingen voor elke leverancier, voorzien van een tijdstempel, traceerbaar op het bord en gekoppeld aan hun wijzigingsrecords.
- Contracten worden gekoppeld aan controles, met actieve logboeken van incidenten met derden, escalaties en monitoringstappen.
- Door het bestuur erkende logboeken van elk incident, elke escalatie of elk niet-opgelost risico.
- Hersteltrajecten worden van begin tot eind gevolgd, waarbij vertragingen of fouten automatisch naar de volgende beoordeling worden doorgestuurd.
Veelvoorkomende tekortkomingen in de toeleveringsketen:
- Het niet uitvoeren of documenteren van jaarlijkse/onafhankelijke leveranciersrisicobeoordelingen.
- Incidenten met leveranciers worden niet op tijd geëscaleerd of geregistreerd.
- “Herstel voltooid” gemarkeerd zonder dat het bord werd bijgewerkt of de actie werd geregistreerd.
Is uw programma voor bedrijfscontinuïteit en noodherstel robuust genoeg voor NIS 2-auditors?
Een niet-geteste backup is een niet-vertrouwde backup.
NIS 2 brengt bedrijfscontinuïteit en noodherstel (BCDR) naar het niveau van direct regelgevend toezicht. Wat niet onderhandelbaar is:
- Back-ups op afstand die getest en herstelbaar zijn. Oefeningen moeten realistische bedreigingen simuleren.
- Jaarlijkse scenario-gebaseerde oefeningen: de resultaten worden vastgelegd en er wordt actie op ondernomen, inclusief successen en mislukkingen.
- Elk scenario kwam overeen met specifieke sectorrisico's (gericht op waterbedrijven, niet op algemene rampenlijsten).
- Lacunes, mislukkingen en lessen die zijn geleerd moet u uw risicoregisters en BCP/DRP-documentatie onmiddellijk bijwerken.
Stel je voor:
Uw DR-oefening mislukt. Die mislukking leidt tot een agendapunt op de bestuursagenda, een update van corrigerende maatregelen en een nieuwe registratie in het actieve risicoregister. Geen update? Dan is het een nalevingsbevinding, niet alleen een operationeel probleem.
Kritieke BCDR-gevaren:
- Back-uptests overslaan of de resultaten niet documenteren.
- Generieke BCP's zijn niet bijgewerkt voor sectorspecifieke of opkomende risico's.
- BCP/DR-lacunes worden niet meegenomen in risicobeoordelingen of bestuursbeslissingen.
Al uw NIS 2, allemaal op één plek
Van artikelen 20-23 tot auditplannen: voer ze uit en bewijs dat ze van begin tot eind voldoen aan de regelgeving.
Welke documentatie en ‘bewijspunten’ maximaliseren de audit- en bestuurszekerheid in de afvalwatersector?
Toezichthouders en accountants zijn steeds meer op zoek naar bewijsmateriaal dat actueel, traceerbaar en door het bestuur beoordeeldStatische documentatie is een aansprakelijkheids-NIS 2 vereist een “levende bijlage”-benadering:
- Zorg dat u actuele beleidspakketten en richtlijnen bijhoudt, die allemaal gekoppeld zijn aan logboeken, beoordelingen van leveranciers en bewijsmateriaal voor wijzigingsbeheer.
- Beheer een 'levend annexdashboard' waarin nieuwe updates op het gebied van regelgeving, sectoren of risico's direct worden gekoppeld aan controles en bewijslogboeken.
- Registreer elke controleherziening, incidentoplossing en leveranciersrisicobeoordeling met handtekeningen en revisiegeschiedenis. Notulen van vergaderingen en bestuursacties worden behandeld als levende artefacten.
Vertrouwen in audits groeit door transparantie: echte veerkracht is zichtbaar in elk logboek, niet alleen in elke overwinning.
Vermijdbare valkuilen:
- Statische logs zonder revisiepad.
- Er ontbreekt goedkeuring van het bestuur voor bijgewerkte mitigatie- of veerkrachtmaatregelen.
- Gebeurtenissen in het wijzigingsbeheer die niet rechtstreeks aan risico- of controleregisters zijn gekoppeld.
Bottom line: Transparantie via gekoppelde registraties en directe betrokkenheid van het bestuur zorgt ervoor dat compliance niet langer een risico is, maar een van uw sterkste controleschilden.
Boek vandaag nog uw 'Audit Readiness'-identiteitsbeoordeling bij ISMS.online
De vooruitstrevende nutsbedrijf pakt NIS 2, ISO 27001 en ENISA gezamenlijk aan door een levend, voor het bestuur zichtbaar nalevingsnetwerk te implementeren in plaats van een stapel statische rapporten. ISMS.online biedt een “audit gereedheid” identiteitsbeoordeling die uw risico's, controles en bewijsmateriaal vergelijkt met sector- en regelgevingsnormen (isms.online).
We brengen uw assets, oefeningen, hersteltests, incidenten en leveranciersbeoordelingen live in kaart op een dashboard dat toegankelijk is voor zowel auditors als de directie. Elke verbetering, storing, geleerde les en nieuw risico wordt vastgelegd voor continue zekerheid.
Begin met het downloaden van een checklist voor zelfevaluatie of boek een walkthrough; zie zelf hoe bewijslogboeken, incidentenmapping en board-ready dashboards nutsbedrijven daadwerkelijk veerkracht geven. Maak elke stap in uw compliancetraject controleerbaar en elke board review een bron van blijvend vertrouwen.
Compliance is niet langer een verborgen zaak: laat transparantie uw belangrijkste kracht worden vóór de volgende regelgevende beoordeling.
Veelgestelde Vragen / FAQ
Hoe verandert NIS 2 de dagelijkse nalevingsverwachtingen voor afvalwaterbedrijven in 2025?
NIS 2 transformeert uw nutsbedrijf van het passief handhaven van beleid naar het actief bewijzen van veerkracht, elke dag opnieuw. Volgens de richtlijn moet elke installatie – ongeacht de omvang of bestaande infrastructuur – actief, gecontroleerd bewijs leveren dat alle belangrijke risico's, activa, incidenten en beslissingen worden gevolgd, beheerd en beoordeeld op bestuursniveau (NIS2-richtlijn – Artikel 3, 23, 20).
De oude cyclus van jaarlijkse risicobeoordelingen wordt vervangen door continue inventarisatie: elk onderdeel van OT/IT (van pompen tot PLC's en externe sensoren) moet worden geregistreerd, toegewezen aan eigenaren en bijgewerkt na elke significante gebeurtenis. Incidenten - of ze nu klein of groot zijn - moeten worden geregistreerd, onderzocht en afgesloten onder toezicht van de directie, en niet simpelweg worden vastgelegd en vergeten.
De nutsvoorzieningen van morgen worden gedefinieerd door levende veerkracht, niet door perfect papierwerk.
Alle exploitanten – inclusief micro-nutsbedrijven en gedistribueerde centrales – worden geherclassificeerd als ‘essentiële entiteiten’. Dit betekent dat de goedkeuring van risico’s en beleid door de raad van bestuur echte juridische kracht heeft, en dat ontbrekend bewijs of te late goedkeuring incidentmeldingen kan boetes tot gevolg hebben. De dagelijkse bedrijfsvoering vereist nu realtime inventarissen van activa en leveranciers, toezicht op de toeleveringsketen en directe toegang tot logs en beleidsbeoordelingen voor auditors of toezichthouders. Verwacht strengere, frequentere audits en interventies van toezichthouders; statische beleidsregels en gearchiveerde logboeken volstaan niet langer.
Welke kaders moeten afvalwaterbedrijven beheersen om in de praktijk te voldoen aan NIS 2-conformiteit?
NIS 2 consolideert gefragmenteerde regionale regels onder één pan-EU-regime, waarbij ISO 27001 de ruggengraat vormt, CEN/TS 18026 de continuïteit waarborgt en ENISA-sectorrichtlijnen de operationele blauwdrukken vormen (ENISA, 2023). Wettelijke naleving wordt nu gedefinieerd door onderling verbonden, digitaal bewijs:
- Activaregisters,
- risico en incidentlogboeken,
- Leveranciersdocumentatie,
- Live beleidsaudits.
Elk register of elke controle moet direct gekoppeld zijn aan een referentiekader (ISO/IEC 27001, ENISA-richtlijn of CEN/TS 18026). Systemen moeten uniform en 'levend' zijn - geen silo's, ordners of periodieke inhaalslagen meer. Registers, incidenten, controles en risico's in de toeleveringsketen moeten gesynchroniseerd zijn tussen teams en bijgewerkt worden naarmate de situatie verandert. Lacunes, afwijkingen of geïsoleerde spreadsheets vormen direct een risico voor uw organisatie.
Framework Reference Mapping (voorbeeld)
| Operationele vereiste | Kader(s) | Bewijs/koppelingstype |
|---|---|---|
| Risicoregister, eigenaarsbeoordeling | ISO 27001 A6.1, A8.2 | Dashboard, goedkeuring door het bestuur, kwartaallogboek |
| Incidentregistratie | ENISA, ISO 27001 A5.25–A5.26 | Tijdstempel escalatie, afsluitingspad |
| Beoordeling van de toeleveringsketen | ISO 27001 A5.19–A5.21, ENISA-levering | Contractcontrolelogboeken, leveranciersbewijs |
| Bedrijfscontinuïteit/oefeningen | CEN/TS 18026, ISO 27001 A5.29–A5.30 | Annual testlogboeken, scenario-records |
Hoe veranderen bestuursbestuur en risicomanagement voor waterbedrijven onder de NIS 2-regels?
Betrokkenheid van het bestuur is nu een blijvende vereiste, geen formele formaliteiten meer. Als u risicomanagement als een agendapunt behandelt, voldoet u niet langer aan de regelgeving. Het management moet actief 'levende registers' van risico's, activabezit, controles en corrigerende maatregelen beoordelen en ondertekenen – elk kwartaal is de norm, maar in situaties met een hoger risico kunnen maandelijkse beoordelingen vereist zijn (ENISA, 2024). Elke vermelding, wijziging en afsluiting van het risicoregister moet een tijdstempel krijgen en gekoppeld worden aan beslissingen, opdrachten of beleidsacceptatie op bestuursniveau.
Stilte op het bord is een nalevingsfalen- het audittraject moet duidelijke, gedocumenteerde beoordeling, toetsing en afsluiting van risico's, leveringstekorten en incidenten laten zien. "Stempels" en late goedkeuringen zijn niet voldoende voor toezichthouders. Het niet toewijzen van benoemde eigenaren, het niet sluiten van bevindingen of het niet uitvoeren van logbeheeracties is een bewijs van systemisch risico.
Veerkracht blijkt uit de snelheid waarmee risico-updates worden geregistreerd en waarop actie wordt ondernomen. Niet alleen tijdens een audit, maar elke dag dat u uw werkzaamheden uitvoert.
Welke regels voor incidentenrapportage, registratie en controletrajecten legt NIS 2 op aan waterbedrijven?
NIS 2 bevat precieze, tijdgebonden regels voor significante incidenten:
- Binnen 24 uur: U moet uw nationale CSIRT/ENISA vroegtijdig waarschuwen.
- Binnen 72 uur: Een gedetailleerde melding over de impact, status en vervolgstappen.
- Maandelijks (of indien nodig): Updates over de voortgang totdat het risico is verholpen.
Elke stap – detectie, melding, afsluiting – moet een tijdstempel krijgen, gekoppeld worden aan activa- en risicoregisters en gedetailleerd worden vastgelegd. Vertraagde of onvolledige logs zijn niet alleen auditbevindingen – ze vormen aanleiding voor boetes of interventie door de toezichthouder. Elk incident moet aanleiding geven tot een nieuwe risicobeoordeling en, waar relevant, een plan voor het oplossen van de grondoorzaak.
Incidenten die grensoverschrijdend zijn of betrekking hebben op leveranciers, moeten ook hoger in de keten worden gemeld. Zo worden grensoverschrijdende risico's beheerd en vastgelegd.
Tabel met traceerbaarheid van incidenten (live voorbeeld)
| Trigger | Risico bijgewerkt | Gekoppelde controle | Bewijs geregistreerd |
|---|---|---|---|
| Pomp SCADA-hack | Eigenaar toegewezen, status bijgewerkt | A8.8, A5.25 | Sluitingslogboek, beheersbord |
| Levering mislukt | Leveranciersrisico gewijzigd | A5.21, A8.30 | Contract-/testresultaten |
| Overstroming | BCP-boorrecord | A5.29, CEN/TS | Boorlogboek, scenariotest |
Wat zijn de nalevingsverplichtingen voor leveranciers, OT/niet-IT en derden onder NIS 2?
Met NIS 2 wordt uw nalevingsbereik uitgebreid naar elke leverancier en niet-IT-verkoper. Het leveranciersrisico is nu uw risico. Alle contracten moeten NIS 2-clausules, bewijsvereisten en verantwoordelijkheden voor het melden van incidenten en corrigerende maatregelen (ENISA, Supply Chain Security) bevatten.
Elke leverancier – chemicaliën, field engineers, SCADA-integrators – moet beschikken over een actuele risicobeoordeling, contractuele bewijsstukken, auditlogboeken en prestatiebeoordelingen. Noodplannen op bestuursniveau voor risicovolle leveranciers en snelle escalatie bij eventuele storingen zijn niet onderhandelbaar. Lacunes in leverancierslogboeken of contractuele bewijsstukken zijn een waarschuwingssignaal voor auditors.
Jaarlijkse (of frequentere) beoordelingen van alle contracten, resultaten en risicoprestaties zijn nu de minimale verwachting.
Hoe worden bedrijfscontinuïteit, noodherstel en veerkracht opnieuw gedefinieerd door NIS 2?
De afgestempelde, "beleid in een lade" BCP/DR-plannen zijn achterhaald. Nutsbedrijven moeten draaien. jaarlijkse scenario-oefeningen, koppel ze aan echte gevaren, verhelp hiaten en houd gedetailleerde logboeken, board reviews en ondertekende testresultaten bij. Back-upvalidatie, offsite opslag en directe koppeling tussen BCP/DR-resultaten en live incidenten zijn gereguleerde vereisten.
Alle testlogboeken, oefenresultaten en BC-updates moeten toegankelijk zijn voor audits en inzicht bieden in de leerprocessen, planverbeteringen en corrigerende maatregelen van de organisatie. Integratie met frameworks zoals ISO 27001 en CEN/TS 18026 is essentieel om te voldoen aan zowel wettelijke als operationele eisen.
ISO 27001-brugtabel voor auditklare documentatie
| Verwachting | Wat u aan accountants laat zien | Referentie |
|---|---|---|
| Live risicobeoordeling | Dashboard, kwartaalafsluiting | A6.1, A8.2 |
| Bijgewerkte BCP/DR | Boorlogboeken, goedkeuring door het bestuur | A5.29, A5.30 |
| Leveranciersbeoordeling | Auditbestanden, noodplan | A5.19, A8.30 |
| Incidentsluitingen | Logboek, rapport, bewijs van afsluiting | A5.25, A5.26 |
Hoe biedt ISMS.online waterbedrijven een operationeel voordeel onder NIS 2?
ISMS.online biedt waterbedrijven een uniform digitaal platform. Geen spreadsheets, silo's of de chaos van het bijhouden van de achterstand meer ((https://isms.online/)).
Alle activa, leveranciers, controles, risicoregisters en incidenten worden in realtime in kaart gebracht, toegewezen en gevolgd, met geautomatiseerde logboeken en board-ready goedkeuringen. Dashboards volgen elke controle, eigenaar, test en update, wat direct audit-opvraging, moeiteloze bewijsverzameling en soepele workflows voor meldingen en escalaties mogelijk maakt.
Veerkracht is het bewijs dat u elke dag levert, niet alleen wat u belooft tijdens een audit.
Nutsbedrijven maken gebruik van ISMS.online-rapport voorbereiding van de audit gehalveerd en ‘nul non-conformiteit’-audits in minder dan drie maanden.
Ga van compliance-angst naar operationeel vertrouwen: breng uw risico's en activa in kaart, wijs eigenaren toe, gebruik actuele beleidspakketten en takenlijsten en toon uw bestuur en toezichthouders dagelijks bewijs van veerkracht.
Definieer uw bedrijf op basis van wat u kunt laten zien, niet alleen op basis van wat u zegt.
