Beveiligings normen: CSIR, ISO 27001, IEC 62443 en de BIO
Deze vier normen en kaders spelen een belangrijke rol op het gebied van informatiebeveiliging en Cybersecurity, elk met hun eigen toepassing en focusgebied.
🛡️ 1. CSIR – Cyber Security Implementation Rules
De CSIR (Cyber Security Implementatie Richtlijn voor objecten) is een Nederlandse richtlijn die afkomstig is van Rijkswaterstaat en het Waterschapshuis. De CSIR bevat praktische beveiligingsmaatregelen voor Industriële Automatisering (zoals SCADA, PLC’s en OT-systemen) en sluit nauw aan bij internationale normen zoals IEC 62443.
Kenmerken:
- Gericht op de beveiliging van industriële omgevingen (OT)
- Praktische toepasbare maatregelen en aanbevelingen
- Sluit aan op het Zone and Conduits-model
- Geen officiële norm, maar handreiking van de overheid
📋 2. ISO 27001 – Informatiebeveiligingsmanagementsysteem (ISMS)
ISO/IEC 27001 is een internationale norm voor het opzetten, implementeren, beheren en verbeteren van een Informatiebeveiligingsmanagementsysteem (ISMS).
Kenmerken:
- Gericht op IT-systemen en informatiebeveiliging
- Toepasbaar op elke organisatie, branche-onafhankelijk
- Richt zich op vertrouwelijkheid, integriteit en beschikbaarheid (CIA)
- Certificeerbare norm
Voorbeelden van maatregelen:
- Risicoanalyse uitvoeren
- Toegangsbeheer en autorisatie
- Back-up en herstelprocessen
- Incidentmanagement
🔧 3. IEC 62443 – Beveiliging van industriële automatisering (OT)
IEC 62443 is een internationale norm die specifiek gericht is op Cybersecurity binnen Industriële Automatisering en control systemen (ICS/OT). Het is modulair opgebouwd en bedoeld voor leveranciers, integrators én eindgebruikers.
Kenmerken:
- Gericht op OT-omgevingen (PLC, DCS, SCADA, Sensor, Actuator)
- Ondersteunt het Zone and Conduits-model
- Verdeelt verantwoordelijkheden tussen fabrikant, systeemintegrator en Assets owner
- Niet per se certificeerbaar voor bedrijven (wel voor componenten)
🏛️ 4. BIO – Baseline Informatiebeveiliging Overheid
De BIO (Baseline Informatiebeveiliging Overheid) is een Nederlandse norm die geldt voor alle overheidsinstanties (rijk, provincies, gemeenten, waterschappen). De BIO is gebaseerd op ISO 27001 en 27002, maar bevat aanvullende eisen en maatregelen die specifiek zijn voor de overheid.
Kenmerken:
- Verplicht voor alle Nederlandse overheidsorganisaties
- Biedt een uniforme aanpak voor informatiebeveiliging
- Is gebaseerd op Risicomanagement en maatregelen per beveiligingsniveau (BBN)
- Vervangt eerdere normen zoals BIG, BIR en BIWA