Opdrachtnemers ProRail moeten vóór 1 juli 2021 aan de ISO 27001 eisen voldoen

De spoorse infrastructuur is technisch en organisatorisch een complex systeem. Daarom stelt ProRail eisen aan marktpartijen die impact hebben op de veiligheid en beschikbaarheid van haar infrastructuur. Dit doet ProRail door deze partijen vooraf te beoordelen en te selecteren.

Hiervoor heeft ProRail een erkenningsregeling opgesteld. Daarin is opgenomen over welke technische-, vak- en organisatorische vaardigheden partijen moeten beschikken om werkzaamheden voor te bereiden en veilig uit te voeren.

ProRail heeft sinds 2 juli j.l. de erkenningsregeling van EP2016 naar EP2019 (EP = Erkenningsregeling ProRail) en de bijbehorende branchedelen gewijzigd. Bedrijven die zijn erkend volgens het EP2016 zijn in beginsel automatisch erkend voor het EP2019. Echter gelden er twee uitzonderingen waarvan we u graag op de hoogte brengen:

• Leveranciers van ProRail moeten uiterlijk op 1 juli 2021 hebben aangetoond dat ze voldoen aan de eisen uit de norm ISO-27001, Managementsystemen voor Informatiebeveiliging (Cyber Security). Met een ISO 27001 certificaat bewijst een organisatie dat alle risico’s rond vertrouwelijkheid en beschikbaarheid van gevoelige informatie op adequate en integere wijze zijn afgedekt.
• Kabelaannemers en boorbedrijven dienen sinds 1 juli 2019 te beschikken over een Veiligheidsladder certificaat op minimaal trede 3. De Veiligheidsladder is een instrument waarmee organisaties concrete handvatten krijgen voor het opzetten, implementeren en toetsen van elementen waarmee ze veilig werken en veilig gedrag in de cultuur van hun organisatie kunnen borgen.

Is het certificaat verplicht?

Nee, leveranciers van ProRail hoeven niet per se ISO 27001-gecertificeerd te zijn. Echter, indien de leverancier niet over het ISO 27001 certificaat beschikt, moet worden aangetoond dat er wordt voldaan aan specifieke eisen uit onderstaande paragrafen uit de ISO 27001 norm:

§ 5.2 Beleid
§ 6.1.2 Risicobeoordeling van informatiebeveiliging
§ 6.1.3 Behandeling van informatiebeveiligingsrisico’s
§ 7.1 Middelen
§ 7.2 Competentie
§ 7.3 Bewustzijn
§ 8.1 Operationele planning en beheersing

Lees hier de hele brief van ProRail.

Heeft u hulp nodig bij het voldoen aan de eisen uit de Erkenningsregeling van ProRail of wilt u het ISO 27001-certificaat behalen? Conformiso heeft veel ervaring en expertise in huis op dit gebied.  Neem voor een vrijblijvend gesprek hierover contact met ons op via 040-2319023 of via onze contactpagina.