Logging en compliance: de nieuwste regelgeving in 2025

In een tijd waarin data steeds waardevoller wordt en cyberdreigingen toenemen, groeit ook de noodzaak voor organisaties om hun loggingprocessen op orde te hebben. Logging is allang niet meer alleen een technisch hulpmiddel om fouten op te sporen, het is een belangrijk onderdeel van informatiebeveiliging, risicobeheer en compliance.

Logging is het automatisch vastleggen van gebeurtenissen in IT-systemen. Denk aan wie wanneer heeft ingelogd, welke bestanden zijn geopend of welke foutmeldingen zijn opgetreden. Deze informatie wordt opgeslagen in zogeheten logbestanden.

In 2025 zijn er nieuwe regels bijgekomen en bestaande eisen strenger geworden, waardoor het nog belangrijker is geworden om logging goed op orde te hebben. In deze blog zetten we de belangrijkste ontwikkelingen op een rij en laten we zien hoe ROOT organisaties kan helpen om hieraan te voldoen.

 

De Europese regelgeving op het gebied van cybersecurity is in 2025 opnieuw aangescherpt. De NIS2-richtlijn (Network and Information Security Directive) is nu volledig van kracht en stelt strengere eisen aan bedrijven die digitale diensten leveren en aan organisaties die belangrijk zijn voor de samenleving. Logging speelt hierin een centrale rol: organisaties moeten kunnen aantonen dat zij digitale incidenten kunnen detecteren, registreren en analyseren. Daarnaast vereist de GDPR (AVG) nog altijd dat persoonsgegevens op een veilige en transparante manier worden verwerkt, waarbij logging een belangrijk middel is om accountability aan te tonen.

In Nederland zijn daarnaast de eisen vanuit de BIO (Baseline Informatiebeveiliging Overheid) verder aangescherpt. Voor overheidsinstellingen en organisaties die met publieke gegevens werken, betekent dit dat zij hun logging- en monitoringbeleid aantoonbaar moeten hebben ingericht volgens het principe van "continu verbeteren".

 

Voor organisaties die zich willen certificeren of gecertificeerd willen blijven volgens ISO 27001 (informatiebeveiliging) en ISO 27701 (privacy-informatiebeheer), wordt logging steeds belangrijker. Beide normen stellen expliciete eisen aan het registreren van toegang, wijzigingen en incidenten rondom gevoelige informatie. Dit is niet alleen belangrijk om achteraf te kunnen vaststellen wat er precies is gebeurd, maar ook om risico’s en dreigingen vroegtijdig te signaleren.

ROOT is zelf ISO 27001 en ISO 9001 gecertificeerd en weet dus uit ervaring wat er nodig is om aan deze eisen te voldoen.

 

Belangrijk is daarbij dat de logging-inrichting zelf aan strikte eisen voldoet. Denk aan:

• Integriteit: logs mogen niet gemanipuleerd kunnen worden;

• Beschikbaarheid: logs moeten gedurende een bepaalde periode bewaard blijven;

• Vertrouwelijkheid: alleen geautoriseerde personen mogen toegang hebben.

 

Daarnaast moeten organisaties aantoonbaar maken hoe zij omgaan met logdata: wie de logs controleert, hoe vaak dat gebeurt, en welke acties worden ondernomen bij verdachte activiteiten.

 

Hoewel logging een technisch onderwerp lijkt, raakt het direct aan processen en beleid. ROOT ondersteunt organisaties die bezig zijn met ISO-certificering door hun IT-omgeving kritisch te bekijken en advies te geven over bijvoorbeeld toegangsbeheer, back-ups en logbeheer. We denken mee over de praktische vertaling van processen naar IT-inrichting, zonder leidend te worden. Door onze ervaring bij uiteenlopende klanten kunnen we concrete voorbeelden en best practices delen die écht verder helpen. Zo ben je niet alleen technisch in control, maar ook aantoonbaar klaar voor je certificering.

 

Vroeger werd logging vaak alleen technisch en zonder vaste aanpak geregeld, maar dat is nu snel aan het veranderen. Compliance afdelingen en CISO’s zien logging steeds vaker als een kernproces binnen het bredere risicobeheer en de verantwoording richting toezichthouders. Klanten en partners stellen bovendien hogere eisen: zij willen zeker weten dat hun data veilig is en dat incidenten snel gedetecteerd en opgevolgd worden.

Voor organisaties betekent dit dat ze niet alleen moeten investeren in technologie, maar ook in processen en mensen. Logging moet structureel worden opgezet, beheerd en geëvalueerd. Dat vraagt om duidelijke verantwoordelijkheden, heldere procedures en regelmatige audits.

 

We begrijpen dat het een uitdaging kan zijn om te voldoen aan de steeds striktere eisen rondom logging binnen ISO-certificeringen. Daarom denken wij graag mee over hoe organisaties hun loggingbeleid kunnen afstemmen op geldende normen, wetgeving en risico’s.

ROOT adviseert organisaties over de inrichting van loggingprocessen en hoe die effectief ingebed kunnen worden in bestaande IT-structuren. Daarbij kijken we samen met de klant naar zowel organisatorische als technische aspecten, en hoe logging aantoonbaar kan bijdragen aan compliance.

Door kennis en ervaring uit de praktijk te delen, helpen we bedrijven inzicht te krijgen in wat nodig is om hun logging te verbeteren en beter voorbereid te zijn op audits. Zo ondersteunen we organisaties bij het versterken van hun informatiebeveiliging én bij het behalen of behouden van certificeringen als ISO 27001 en ISO 27701.

 

Wilt u weten hoe uw organisatie ervoor staat op het gebied van logging en compliance? Of heeft u behoefte aan ondersteuning bij de inrichting van een effectief loggingbeleid? Neem dan vandaag nog contact met ons op, onze experts staan voor u klaar om samen te werken aan een veilige en toekomstbestendige IT-omgeving.