Menu

Het ontwikkelen van een ISO 27001 conform geïntegreerd framework voor de interne controls

Geplaatst op: 9 april 2024

het ontwikkelen van een iso 27001 conform geintegreerd framework voor de interne controls

Voor organisaties die streven naar een ISO 27001-certificering, is het ontwikkelen en implementeren van een geïntegreerd intern framework een cruciale stap. Dit framework zorgt ervoor dat interne controles naadloos worden geïntegreerd in de dagelijkse bedrijfsprocessen, waardoor ze een essentieel onderdeel worden van de normale gang van zaken binnen de organisatie. Maar hoe pak je dit aan en hoe integreer je bestaande controlemechanismen?

Wat is een geïntegreerd framework voor interne controls?

Laten we eerst definiëren wat we bedoelen met een geïntegreerd framework voor interne controls, voordat we ingaan op de integratie van bestaande controlemechanismen. Dit is in feite een set van controls die worden geïmplementeerd in de bedrijfsprocessen, waardoor ze worden opgenomen als een essentieel onderdeel van de dagelijkse activiteiten van de organisatie.

Voornaamste frameworks voor informatiebeveiliging

Er zijn verschillende frameworks beschikbaar om organisaties te helpen bij het integreren van controls. Enkele bekende voorbeelden zijn COSO, COBIT en ISO/IEC 27001. Deze frameworks bieden richtlijnen voor het identificeren, implementeren en onderhouden van effectieve interne controlemaatregelen.

Aanpak voor het opzetten van een ISO 27001 framework

De aanpak voor het opzetten van een ISO 27001 framework volgt grotendeels de principes van COSO, met een sterke focus op risicobeoordeling en het implementeren van beleid, procedures en controle activiteiten. ISO 27001 certificering richt zich niet alleen op geïmplementeerde controls, maar ook op het opzetten van een informatiebeveiligingsbeheersysteem (ISMS).

Integratie van bestaande control frameworks

Voor organisaties die al controlframeworks hebben, is het van belang om dit framework te integreren met de vereisten van ISO 27001. Het volledig benutten van het bestaande framework wordt sterk aanbevolen, omdat dit de inspanningen minimaliseert en de acceptatie door het management eenvoudiger maakt.

Benadering voor integratie

Maak optimaal gebruik van wat er al in je organisatie geïmplementeerd is

Het is essentieel om ten volle gebruik te maken van het bestaande frameworks. Het zou zonde zijn om de investeringen in het huidige controlframework te negeren. Het is raadzaam om de ISO 27001 Annex A-controleset te gebruiken als leidraad, waarbij alle relevante controles worden overwogen en indien van toepassing geïmplementeerd. Een passende Governance Risk en Compliance tooling kan je ook goed helpen om de eerste structuur neer te zetten. Dit vereenvoudigd het uitvoeren, monitoren en rapporteren van de controle taken en zorgt voor een eenduidige communicatie over de controls.

Doe een mapping op basis van een GAP analyse

Door het bestaande controlframework te vergelijken met de ISO 27001-controleset op controletest-/begeleidingsniveau, kunnen GAPs worden geïdentificeerd. Dit vereenvoudigd het proces van het afstemmen van bestaande controles op de ISO 27001-controleset.

Opvullen naar aanleiding van je GAP analyse

Waar het bestaande framework GAPs vertoont ten opzichte van de ISO 27001-controleset, moeten nieuwe controls worden gedefinieerd en geïmplementeerd. Het doel is om ervoor te zorgen dat alle risico’s adequaat worden aangepakt door het control framework, dit ondersteunt het functioneren van het ISMS.

Management buy-in en de voordelen van integratie

Het behouden van het bestaande framework vereenvoudigt de acceptatie door het management en maakt de integratie van controls in bedrijfsprocessen eenvoudiger. Bovendien helpt een GAP analyse op de interne test-/begeleidingsniveau’s bij het identificeren van de gaten in het informatiebeveiligingsbeleid en het ISMS, waardoor voortdurende verbetering mogelijk is.

In conclusie, het ontwikkelen van een ISO 27001-conform geïntegreerd framework voor interne controls is een cruciale stap voor organisaties die streven naar een hoog niveau van informatiebeveiliging en certificering volgens internationale normen. Door bestaande controlframeworks te integreren en voortdurend te streven naar verbetering, kunnen organisaties een solide basis leggen voor effectieve informatiebeveiliging en risicobeheer.

Meer informatie of hulp nodig bij het ontwikkelen van een ISO 27001 conform geïntegreerd framework voor de interne controls?

Neem dan vrijblijvend contact met ons op. Bij OpenSight helpen we graag!

Lees meer

NIS2, nieuwe Europese richtlijnen voor cybersecurity

Geplaatst op: 6 september 2023

Brochure NIS2

Vanaf januari 2023 gelden er nieuwe Europese richtlijnen voor cybersecurity, de Network and Information Security 2 (hierna NIS2). Deze richtlijnen hebben grote gevolgen voor bedrijven en organisaties in Europa, waaronder ook het Nederlandse bedrijfsleven. De NIS2 richtlijnen zijn namelijk van toepassing op een breed scala aan sectoren, en niet alleen op de vitale sectoren zoals bij de voorganger NIS.

Het is van groot belang dat bedrijven en organisaties zich aan de NIS2 richtlijnen houden. Niet alleen om hoge boetes te voorkomen die kunnen oplopen tot 2% van de jaaromzet, maar vooral om de digitale veiligheid te waarborgen en cyberaanvallen te voorkomen. Met de NIS2 richtlijnen worden bedrijven en organisaties verplicht gesteld om hun digitale veiligheid naar een hoger niveau te tillen en zich aan te passen aan de toenemende dreigingen van cybercriminaliteit.

Op deze pagina (en uitgebreider in onze brochure onderaan deze pagina) lees je wat de NIS2 inhoudt, welke sectoren onder de richtlijnen vallen, wat de gevolgen zijn van het niet naleven van de NIS2 en hoe je je als bedrijf of organisatie kunt voorbereiden op de NIS2.

Wat is de NIS?

De NIS wetgeving is de eerste cybersecurity wetgeving in Europa en geldt sinds 2018 ook in Nederland. Het doel van de NIS is om een gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen binnen de Europese Unie te waarborgen. Dit wordt bereikt door de lidstaten te verplichten om passende beveiligingsmaatregelen vast te stellen en toe te passen, waardoor de risico’s van cyberaanvallen worden verkleind en de gevolgen daarvan worden beperkt.

De NIS richt zich op bedrijven en organisaties die actief zijn in vitale sectoren, zoals energie, transport, gezondheidszorg en financiële dienstverlening. Sectoren die van cruciaal belang zijn voor het blijven draaien van onze economie en maatschappij en daarom een hoger niveau van beveiliging nodig hebben.

Een ander doel van de NIS is om de samenwerking tussen de EU-lidstaten op het gebied van cybersecurity te versterken. De richtlijn verplicht de lidstaten om een nationale autoriteit voor netwerk- en informatiebeveiliging aan te wijzen en deze te laten samenwerken met andere Europese autoriteiten.

Kortom, het doel van de NIS-richtlijn is om de cybersecurity van de vitale sectoren in de EU te verbeteren en de samenwerking tussen de lidstaten op het gebied van cybersecurity te versterken. Maar door de toename van cyberaanvallen blijkt de NIS niet meer voldoende veiligheid te bieden. Daarom heeft de Europese Commissie in 2020 de NIS2 geïntroduceerd als nieuwe EU-beveiligingsstrategie.

Brochure NIS2

Verschil tussen NIS en NIS2

Waar de NIS zich richt op grote ondernemingen in vitale sectoren, gaat de NIS2 verder. Dat betekent dat de impact van de NIS2 een grote impact zal hebben op het Nederlandse bedrijfsleven. De NIS2 is gericht op drie pijlers van beveiliging:

  • Het in kaart brengen van security risico’s;
  • Bescherming en detectie om risico’s te beperken;
  • En het beperken van de gevolgen van cyberincidenten.

Waar bedrijven voorheen nog wegkwamen met het naleven van de AVG en andere basisregels, moeten zij met de introductie van de NIS2 alle zeilen bijzetten om te voldoen aan de nieuwe richtlijnen. Het is daarom belangrijk voor bedrijven om zich bewust te zijn van de NIS2 en zich hierop voor te bereiden om hun cybersecurity te verbeteren en zo de gevolgen van cyberaanvallen te beperken.

Hoewel de NIS-richtlijnen nog relatief jong zijn, wijst onderzoek van het EU-agentschap voor cybersecurity (ENISA) uit dat de implementatie van de NIS-richtlijn in Europa al heeft geleid tot aanzienlijke verbeteringen op het gebied van cybersecurity. Enkele feiten en cijfers uit deze studie zijn:

  • 96% van de lidstaten heeft nationale wetgeving geïmplementeerd om de NIS-richtlijn om te zetten in nationale wetgeving.
  • 92% van de nationale autoriteiten heeft minstens één cybersecurityincident behandeld.
  • 83% van de organisaties die onder de NIS-richtlijn vallen, hebben beveiligingsmaatregelen geïmplementeerd om de cybersecurityrisico’s te verminderen.
Infographic met 5 stappen die bedrijven kunnen nemen om zich voor te bereiden op NIS2

Voor wie geldt de NIS2?

De NIS2 is bedoeld voor alle lidstaten van de Europese Unie. Alle organisaties en bedrijven die in deze lidstaten gevestigd zijn en digitale diensten aanbieden of essentiële diensten verlenen moeten zich dus aan de NIS2 gaan houden. Het gaat hierbij om een breed scala aan sectoren, waaronder energie, transport, gezondheidszorg, financiën, digitale infrastructuur en meer. In tegenstelling tot de oorspronkelijke NIS-richtlijn heeft de NIS2 een veel bredere reikwijdte en geldt deze voor een groot aantal verschillende organisaties en bedrijven waaronder:

  1. Aanbieders van essentiële diensten (bijvoorbeeld energie, vervoer, banken, gezondheidszorg, drinkwatervoorziening, digitale infrastructuur).
  2. Digitale dienstverleners (bijvoorbeeld online marktplaatsen, zoekmachines en cloud computing providers).
  3. Overheidsinstanties (zowel op nationaal als lokaal niveau).

De specifieke criteria voor welke organisaties en bedrijven onder de NIS2 vallen, verschillen per lidstaat. In Nederland heeft de Rijksoverheid de sectoren gedefinieerd waarop de NIS2 van toepassing is, deze zijn online te vinden. Download de brochure om de volledige lijst met sectoren te ontdekken.

Een belangrijk verschil met de eerste NIS-richtlijn is dat organisaties automatisch onder de NIS2-richtlijn vallen als zij actief zijn in een van de bovenstaande sectoren en volgens de onderstaande criteria gekenmerkt kunnen worden als ‘essentiële’ of ‘belangrijke’ entiteit. In tegenstelling tot de CER-richtlijn, vindt bij de NIS2-richtlijn dus geen aanwijzing plaats door de ministeries.

De transitie naar NIS2

Het National Cyber Security Centrum (NSCS) heeft voor het vertalen van de CER- en NIS2-richtlijnen naar nationale wetgeving een tijdlijn opgesteld. Deze volledige tijdlijn kun je inzien in onze brochure onderaan de pagina.

Daarom OpenSight

Een specialist inschakelen is de meest verstandige keuze en bespaart veel tijd. De kennis en ervaring van een specialist zorgen voor een zorgeloos proces. Door OpenSight als partner te nemen, weet je zeker dat de kennis en ervaring er is om een zo goed mogelijk traject af te leggen.

Kennis
OpenSight houdt zich al jaren bezig met cybersecurity voor bedrijven. Ontstaan uit een interesse, ontwikkeld tot een passie en uiteindelijk gevormd tot een bedrijf met hulp biedende diensten.

Ervaring
Talloze bedrijven zijn eerder een samenwerking aangegaan met OpenSight en hebben daardoor al grote successen behaald omtrent cybersecurity. Van verbeterde bedrijfsprocessen tot certificeringen en van adviezen tot implementaties.

Documentatie
Een duidelijke en juiste documentatie is de fundering van cybersecurity. Van het plan van aanpak tot controlemomenten tot het vastleggen van calamiteiten die hebben plaatsgevonden en zijn opgelost. De meeste documentatie is zelfs noodzakelijk voor het behalen en behouden van certificeringen. Bovendien verhoogt het ook het inzicht in de voortgang en status van het managementsysteem.

Tijdsbesparing
Met compliance software en hulp van OpenSight kun je de druk op de organisatie minimaliseren wat zorgt voor een enorme tijdswinst. Denk hierbij bijvoorbeeld aan de planning van reguliere taken die automatisch gebeuren volgens de gestelde frequentie en andere automatiseringen.

Integraties
Integraties met Microsoft Teams of Slack zijn veelgevraagde opties. Hierdoor kunnen taken die voortvloeien uit het management worden verdeeld binnen de organisatie. Uit onze ervaring blijkt dat veel organisaties baat hebben bij het gebruik van dergelijke integraties en het onderhouden van bijvoorbeeld hun NIS2 managementsysteem. NIS2 is één van de frameworks die gekozen kan worden als leidraad voor monitoring. OpenSight kan voor deze waardevolle integraties zorgen.

Download de NIS2 brochure

Kortom, met de service van OpenSight kun je de NIS2 richtlijnen eenvoudig opvolgen. Je krijgt toegang tot ervaren experts, onafhankelijk advies en praktische ondersteuning bij de implementatie van beveiligingsmaatregelen en managementsystemen. Vul hieronder je gegevens in om de brochure te downloaden en ontdek hoe onze NIS2 service jouw organisatie kan helpen.

Lees meer

Alles wat je moet weten over ISO 27001:2022

Geplaatst op: 15 juni 2023

ISO 27001:2022 update

De transitie naar ISO 27001:2022. Wat verandert er en wat betekent dat voor jouw organisatie?

Waarom een ISO 27001 certificaat?

Binnen de ISO-standaarden wereld is het gebruikelijk om elke vijf jaar te beoordelen of een norm moet worden herzien. De ISO 27001 norm, die geldt als dé norm voor informatiebeveiliging, is inhoudelijk voor het laatst bijgewerkt in 2013. Maar het is nu eindelijk tijd voor een update, in dit blog lees je alles over de ISO27001:2022.

De ISO 27001:2013, zoals we ‘m kennen

ISO 27001 is één van de meest gewaardeerde en wereldwijd gebruikte standaarden voor informatiebeveiliging. Een internationale standaard die de eisen beschrijft voor een Information Security Management System (ISMS). Een ISMS is een gestructureerd raamwerk van beleid, procedures, processen en systemen die worden gebruikt om informatiebeveiliging te beheren en te beschermen.

De ondertussen verouderde versie, ISO/IEC 27001:2013, heeft speciale eisen waaraan een ISMS moet voldoen. Dit omvat onder meer het identificeren van risico’s voor informatiebeveiliging, het vaststellen van beveiligingsmaatregelen en het monitoren van prestaties. Door te voldoen aan de ISO/IEC 27001:2013 standaard kunnen organisaties hun
informatiebeveiligingsprocessen verbeteren, de veiligheid van gegevens waarborgen en het vertrouwen van hun klanten vergroten. De standaard is van toepassing op alle soorten organisaties, ongeacht hun omvang, locatie of sector.

De nieuwe ISO 27001 norm

Aangezien ontwikkelingen op het gebied van beveiliging elkaar in rap tempo opvolgen, is het gebruikelijk om beveiligingsstandaarden om de paar jaar bij te werken. Het is daarom
opvallend dat de huidige versie van de ISO 27001 norm dateert uit 2013 en al tien jaar niet is bijgewerkt. Maar, nu precies tien jaar later, is er een nieuwe update aangekondigd. Maak kennis met de ISO 27001:2022.

aandacht voor cybersecurity

De nieuwe ISO 27001 norm

Aangezien ontwikkelingen op het gebied van beveiliging elkaar in rap tempo opvolgen, is het gebruikelijk om beveiligingsstandaarden om de paar jaar bij te werken. Het is daarom
opvallend dat de huidige versie van de ISO 27001 norm dateert uit 2013 en al tien jaar niet is bijgewerkt. Maar, nu precies tien jaar later, is er een nieuwe update aangekondigd. Maak kennis met de ISO 27001:2022.

De belangrijkste wijzigingen in ISO 27001

De nieuwe versie van ISO/IEC 27001:2022 richt zich op de nieuwe uitdagingen waar organisaties mee te maken krijgen. De aanpassingen zijn voornamelijk te vinden in Annex A, in afwachting van de publicatie van ISO/IEC 27002. In deze Annex A zijn beveiligingscontroles toegevoegd, verwijderd of samengevoegd. De wijzigingen omvatten nu ook cyberbeveiliging en privacyaspecten, terwijl de controletermen zijn opgefrist en er extra richtlijnen zijn toegevoegd. Dit zal organisaties helpen bij het beheersen van risico’s en ervoor zorgen dat niets over het hoofd wordt gezien, waardoor zij een goede opvolging kunnen garanderen. Gezien de laatste versie dateert van 2013, zijn er flink wat wijzigingen doorgevoerd in de beveiligingscontroles. 11 nieuwe, 58 bijgewerkte en 24 samengevoegde controles om precies te zijn. Een paar voorbeelden van veranderende scenario’s die worden aangepakt:

  • De invoering van digitale technologieën, zoals cloud en automatisering.
  • Een recente en toegenomen toepassing van deze technologieën.
  • De erkenning van de risico’s op het gebied van cyberbeveiliging en privacy.
  • Het weerspiegelen van het veranderende dreigingslandschap, bijvoorbeeld met nieuwe soorten malware en ransomware.
  • Het afstemmen op andere best practices, zoals NIST, COBIT, enz.
  • Het vernieuwen van de controletaal en het toevoegen van aanvullende richtlijnen.

De belangrijke gebieden waarop deze wijzigingen van invloed zijn, zijn:

  • Leiderschap
  • Bedrijfsbeveiliging
  • IT-functie
  • Levering

Transitieperiode ISO/IEC 27001:2022

Kortom, met de nieuwe veranderingen die ingaan met de komst van ISO/IEC 27001:2022 moeten organisaties hun risicobeoordelingen opnieuw evalueren en de beveiligingsmaatregelen opnieuw instellen. Wat betekent dat voor jouw organisatie?

Op 25 oktober 2022 is de nieuwe versie van ISO/IEC 27001 uitgebracht. Tijdens de overgangsperiode van 3 jaar moeten bestaande certificaten vóór 1 november 2025 worden overgezet naar de nieuwe versie. Na oktober 2023 kun je niet meer hercertificeren voor de 2013 versie. De overgangsaudit moet vanaf dan plaatsvinden tijdens de volgende geplande audit, maar kan ook al eerder als speciale overgangsaudit worden uitgevoerd.

Moet jouw organisatie de risicobeoordelingen opnieuw evalueren en de beveiligingscontroles opnieuw instellen? Dan heb je dus een transitieperiode van 3 jaar. De overstap naar ISO 27001:2022 kan zowel bij hercertificering als bij de jaarlijkse opvolgings-of controle audit. Bij OpenSight helpen we je graag bij het certificeren voor de nieuwe normen.

5 stappen die je kunt nemen voor de overgang naar ISO/IEC 27001:2022

  1. Maak kennis met de inhoud en eisen van de nieuwe versie:
    Het is van groot belang dat je je verdiept in de nieuwe versie van ISO/IEC 27001 en begrijpt wat de veranderingen zijn en inhoudelijk betekenen ten opzichte van de vorige versie. Beschikt jouw organisatie al over de ISO 27001 versie van 2013? Dan dien je je voornamelijk te richten op de wijzigingen die de herziening met zich meebrengt. Deze zitten hem voornamelijk in ISO 27002, ofwel de ISO 27001 Annex A.
  2. Train je personeel:
    We kunnen het niet vaak genoeg zeggen. Zorg ervoor dat alle medewerkers in jouw organisatie getraind zijn en de belangrijkste veranderingen en eisen begrijpen. Hierdoor zorg je ervoor dat het hele team op de hoogte is van de nieuwe richtlijnen en werkwijzen.
  3. Doe een GAP analyse:
    Om aan de nieuwe eisen te kunnen voldoen, is het belangrijk om met een GAP analyse te identificeren waar in jouw organisatie al aan wordt voldaan en waar er aanpassingen of toevoegingen nodig zijn.
  4. Stel een uitvoeringsplan op:
    Op basis van de bevindingen uit stap 3 kun je een plan opstellen om aan de nieuwe eisen te voldoen. Stel wel concrete acties en maak duidelijke deadlines voor de uitvoering van deze acties. Talk the talk, walk the walk.
  5. Update je managementsysteem:
    Na het uitvoeren van de acties die zijn vastgelegd in het nieuwe actieplan, update je het managementsysteem om aan de nieuwe eisen te voldoen. Dit kan betekenen dat je bestaande processen moet aanpassen of nieuwe processen moet implementeren. Zorg ervoor dat je deze wijzigingen goed documenteert en communiceert binnen je organisatie.

Om de transitie naar de nieuwe ISO zo soepel mogelijk te laten verlopen is het van groot belang om op tijd te starten met de voorbereidingen. Door deze stappen te volgen zorg je dat je voldoet aan de nieuwe eisen en dat je certificering op tijd wordt vernieuwd. Daarbij staan de experts van OpenSight altijd voor je klaar bij vragen of voor advies.

OpenSight

Een specialist inschakelen is de meest verstandige keuze en bespaart veel tijd. De kennis en ervaring van een specialist zorgen voor een zorgeloos proces. Bovendien moet er een
onafhankelijke auditor aangesteld worden. Door OpenSight als partner te nemen, weet je zeker dat de kennis en ervaring er is om een zo goed mogelijk traject af te leggen. Door de specialistische kennis en ervaring in cybersecurity behaal je gegarandeerd het ISO 27001 certificaat.

Kennis
OpenSight houdt zich al jaren bezig met cybersecurity voor bedrijven. Ontstaan uit een interesse, ontwikkeld tot een passie en uiteindelijk gevormd tot een bedrijf met hulp biedende diensten.

Ervaring
Talloze bedrijven zijn eerder een samenwerking aangegaan met OpenSight en hebben daardoor al grote successen behaald omtrent cybersecurity. Van verbeterde bedrijfsprocessen tot certificeringen en van adviezen tot implementaties.

Documentatie
Een duidelijke en juiste documentatie is de fundering van cybersecurity. Van het plan van aanpak tot controlemomenten tot het vastleggen van calamiteiten die hebben plaatsgevonden en zijn opgelost. De meeste documentatie is zelfs noodzakelijk voor het behalen en behouden van certificeringen. Bovendien verhoogt het ook het inzicht in de voortgang en status van het managementsysteem.

Tijdsbesparing
Met compliance software en hulp van OpenSight kun je de druk op de organisatie minimaliseren wat zorgt voor een enorme tijdswinst. Denk hierbij bijvoorbeeld aan de planning
van reguliere taken die automatisch gebeuren volgens de gestelde frequentie en andere automatiseringen.

Integraties
Integraties met Microsoft Teams of Slack zijn veelgevraagde opties. Hierdoor kunnen taken die voortvloeien uit het management worden verdeeld innen de organisatie. Uit onze ervaring blijkt dat veel organisaties baat hebben bij het gebruik van dergelijke integraties en het onderhouden van bijvoorbeeld hun ISO 27001 managementsysteem. OpenSight kan hiervoor zorgen.

Download de ISO 27001:2022 transitie brochure

Kortom, met de service van OpenSight kun je jouw certificering of transitie naar ISO 27001:2022 eenvoudig afronden. Je krijgt toegang tot ervaren experts, onafhankelijk advies en praktische ondersteuning bij de implementatie van beveiligingsmaatregelen en managementsystemen. Vul hieronder je gegevens in om de brochure te downloaden en ontdek hoe onze ISO service jouw organisatie kan helpen.

Lees meer

Is de NIS2 op jouw bedrijf van toepassing? Dit moet je regelen

Geplaatst op: 1 maart 2023

wat bekent nis2 voor bedrijven?

Vanaf januari ’23 moeten alle bedrijven en organisaties binnen Europa zich houden aan de nieuwe NIS2 richtlijnen. Een groot verschil met eerdere wetgeving is dat er in de NIS2 ook sancties zitten en het bestuur verantwoordelijk gehouden kan worden indien er onvoldoende is gedaan op het gebied van Cyber Security. Doordat de richtlijnen van de NIS2 voor aanzienlijk meer sectoren en branches gelden, is het belangrijk dat MKB-Nederland de zaken op orde krijgt. Hier lees je waar je als bedrijf allemaal aan moet voldoen en wat de NIS2 precies inhoudt.

Wat is NIS?

NIS is een afkorting voor Network and Information Security en is de eerste wetgeving in Europa op het gebied van cybersecurity. Sinds 2016 is de NIS ook in Nederland van kracht en deze is omgezet in Nederland in de Wet Beveiliging netwerk- en informatiesystem (WBNI). Deze richtlijn motiveert bedrijven en organisaties om hun digitale veiligheid op orde te brengen en aan te scherpen. Met de forse toename in cyberaanvallen heeft de Europese Commissie in 2020 een nieuwe EU-beveiligingsstrategie gepresenteerd: de NIS2.

Waar de NIS zich beperkt tot slechts de grote ondernemingen in vitale sectoren, zoals drinkwatervoorziening en telecom, gaat de NIS2 een stap verder. De NIS2 zal een grotere impact hebben op het Nederlandse bedrijfsleven, zonder twijfel. De volwassen variant van de NIS richt zich op drie pijlers van beveiliging:

  • Het in kaart brengen van security risico’s;
  • Bescherming en detectie om risico’s te beperken;
  • Beperken van de gevolgen van cyberincidenten.

Met de NIS komen veel bedrijven nog weg met het naleven van de AVG en andere ‘basisregels’. Maar nu de richtlijnen van de NIS2 van kracht zijn, moeten veel bedrijven echt alle zeilen bijzetten wat betreft cybersecurity.

wat bekent nis2 voor bedrijven?

Vanaf januari ’23 moeten alle bedrijven en organisaties binnen Europa zich houden aan de nieuwe NIS2 richtlijnen. Een groot verschil met eerdere wetgeving is dat er in de NIS2 ook sancties zitten en het bestuur verantwoordelijk gehouden kan worden indien er onvoldoende is gedaan op het gebied van Cyber Security. Doordat de richtlijnen van de NIS2 voor aanzienlijk meer sectoren en branches gelden, is het belangrijk dat MKB-Nederland de zaken op orde krijgt. Hier lees je waar je als bedrijf allemaal aan moet voldoen en wat de NIS2 precies inhoudt.

Infographic met 5 stappen die bedrijven kunnen nemen om zich voor te bereiden op NIS2

Wil je meer weten over hoe je dit kunt aanpakken, of ben je benieuwd hoe compliant jouw organisatie op dit moment is? Onze experts staan klaar om je vragen te beantwoorden.
Of download de NIS2 brochure.

Lees meer

Wat is ISO 9001?

Geplaatst op: 7 november 2022

iso 9001

We krijgen regelmatig vragen over de ISO 9001 certificering. In dit artikel leggen we uit wat een ISO 9001 certificaat is, waarom het waardevol is deze certificering te behalen en hoe je dat precies doet.

Wat is ISO 9001?

ISO 9001 is een wereldwijd erkende norm op het gebied van kwaliteitsmanagement. Met deze certificering laat je als organisatie zien dat producten en diensten aan alle behoeften, eisen, wensen en specificaties van stakeholders voldoen. Kortom, met de ISO 9001 laten organisaties zien dat zij transparant en betrouwbaar te werk gaan.

iso 9001

Waarom een ISO 9001 certificaat

Iedere organisatie heeft vaste stappen en processen die nodig zijn voor het leveren van producten en diensten. Stappen en processen die constant gemonitord worden en waar nodig, geoptimaliseerd. Zo’n kwaliteitsmanagementsysteem waarborgt groei en ontwikkeling van de organisatie, een ISO 9001 certificaat is het bewijs.

Wat zijn de voordelen van een ISO 9001 certificering?

Met een ISO 9001 certificering laat je als organisatie zien dat je kwaliteit levert en continu streeft naar verbetering. Dit zijn de voordelen van een ISO 9001 certificaat:

  • Verhoogde klanttevredenheid: klanten krijgen vanaf nu de beste service en ondersteuning, omdat er constant wordt gewerkt aan het optimaliseren van processen.
  • Aantoonbare kwaliteit: de ISO 9001 certificering, of eigenlijk de kwaliteit van het kwaliteitsmanagementsysteem, laat zien dat de organisatie alle belangrijke processen beheerst en begrijpt, inclusief up-to-date kennis omtrent wet- en regelgeving.
  • Bespaar kosten: door de processen in de organisatie te optimaliseren en stroomlijnen verminder je de kans op fouten. Dat betekent niet alleen efficiënter werken, je bespaart ook in kosten.

Hoe behaal ik een ISO 9001 certificaat?

Een ISO 9001 certificering wordt getoetst door geaccrediteerde certificeringsorganisaties. Dit wordt gedaan door middel van een audit. Tijdens deze audit toetst de auditor de opzet en werking van het kwaliteitsmanagement systeem aan de hand van verschillende stappen. Voordat je begint aan de audit is het dus belangrijk dat je voldoet aan alle eisen om de ISO 9001 te behalen. Maar maak het niet complexer dan het is. Hoewel je als organisatie moet voldoen aan strenge eisen om de ISO 9001 te behalen, moeten deze wel aansluiten bij jullie werkwijze. Neem daarom eens het kwaliteitsmanagementsysteem onder de loep. Voldoet deze aan de bedrijfsvoering? Zo niet, dan weet je wat je te doen staat! Meer informatie over waar je allemaal op moet letten tijdens een audit vind je hier.

Daarom OpenSight

Om een ISO-certificeringstraject te laten slagen, moet het managementsysteem goed aansluiten op de bedrijfsvoering en verminder je de operationele impact. Met ruim tien jaar ervaring heeft ons team al honderden organisaties geholpen bij de opzet en implementatie van verschillende ISO-normen. Mens en organisatie staan daarbij centraal. Onze consultants adviseren op pragmatische wijze en ondersteunen bij de opzet en implementatie van beleid en maatregelen. Projecten lopen hierdoor een stuk gemakkelijker en bij technische vragen hebben wij een antwoord voor je klaar. Kies je voor OpenSight, dan ben je verzekerd van de technische ondersteuning en kennis die jouw organisatie nodig heeft.

Andere voordelen:

  • Technische advisering, implementatie en onderhoud onder één dak.
  • Een pragmatische aanpak met aandacht voor mens én organisatie.
  • Flexibele inzit waardoor je zelf het tempo bepaalt.
  • Ondersteuning bij technische implementatie van beveiligingsmaatregelen.

Kijk op deze pagina voor meer informatie over onze certificeringen.

Lees meer

Hoe kom ik aan een ISO 27001 certificaat?

Geplaatst op: 17 augustus 2022

handen die op een laptop typen

We krijgen regelmatig vragen over de ISO 27001 certificering. In dit artikel leggen we uit wat een ISO 27001 certificaat is, waarom het waardevol is deze certificering te behalen en hoe je dat precies doet.

Wat is ISO 27001?

De ISO 27001 is een internationale standaard voor informatiebeveiliging. Het beschrijft hoe organisaties procesmatig informatie kunnen beveiligen. Het doel en de focus van ISO 27001 is de vertrouwelijkheid, integriteit én beschikbaarheid van kwetsbare informatie binnen een organisatie zeker te stellen.

Waarom een ISO 27001 certificaat?

Voor veel organisaties is data van essentieel belang. Belangrijke stappen zoals het optimaliseren van cruciale processen en verbeteren van de klantervaring, worden vaak op basis van deze data gemaakt. Een datalek of storing kan daarom een enorme impact hebben op de organisatie. Des te belangrijker dat derden zoals dienstverleners en leveranciers verantwoord omgaan met data: hoe waarborgen zij informatiebeveiliging? Een ISO 27001 certificaat geeft antwoord op deze vraag.

Wanneer klanten specifieke beveiligingseisen stellen helpt een ISO 27001 certificering vertrouwen te creëren. Met deze certificering laat je zien dat je voldoet aan onafhankelijke veiligheidsbeleid- en maatregelen. Kortom, de ISO 27001 certificering is de spreekwoordelijke stok achter de deur die klanten laat zien dat jij verantwoord met data omgaat.

handen die op een laptop typen
Hoe kom ik aan een ISO 27001 certificaat?

Voor wie is ISO 27001 geschikt?

Elke organisatie gebruikt en verwerkt persoonlijke data.  Maar de impact van een datalek of storing verschilt per organisatie. De ISO 27001 bewijst dat jij het risico omtrent verlies, beschadiging of lekken van data binnen jouw organisatie verkleint. Werken jullie met persoonsgegevens en gevoelige data van klanten? Dan is het verstandig voor een ISO 27001 certificering te gaan. Een paar sectoren die echt niet meer zonder ISO 27001 certificering kunnen zijn de financiële sector, zorgsector, en IT-sector. Maar vergis je niet, met de toenemende risico’s betreft cyberveiligheid kan een ISO 27001 al een groot verschil maken.

Hoe kan ik een ISO 27001 certificaat behalen?

Een ISO 27001 certificering wordt getoetst door geaccrediteerde certificeringsorganisaties. Dit wordt gedaan door middel van een certificeringsaudit. In deze audit toetst de auditor de opzet en de werking van het managementsysteem en de geïmplementeerde maatregelen. Voordat je begint aan de audit wil je dus dat het managementsysteem voldoet aan alle eisen. Maar maak het niet complexer dan dat het is. Hoewel er strenge eisen worden gesteld waaraan het managementsysteem moet voldoen, moet het wel passen bij jouw organisatie. Begin daarom bij het ontwerpen van een managementsysteem dat aansluit op de bedrijfsvoering. Meer informatie over waar je dan op moet letten vind je hier.

Daarom OpenSight

Om een ISO-certificeringstraject te laten slagen, moet het managementsysteem goed aansluiten op de bedrijfsvoering en verminder je de operationele impact. Met ruim tien jaar ervaring heeft ons team al honderden organisaties geholpen bij de opzet en implementatie van verschillende ISO-normen. Mens en organisatie staan daarbij centraal. Onze consultants adviseren op pragmatische wijze en ondersteunen bij de opzet en implementatie van beleid en maatregelen. Projecten lopen hierdoor een stuk gemakkelijker en bij technische vragen hebben wij een antwoord voor je klaar. Kies je voor OpenSight, dan ben je verzekerd van de technische ondersteuning en kennis die jouw organisatie nodig heeft.

Andere voordelen:

  • Technische advisering, implementatie en onderhoud onder één dak.
  • Een pragmatische aanpak met aandacht voor mens én organisatie.
  • Flexibele inzit waardoor je zelf het tempo bepaalt.
  • Ondersteuning bij technische implementatie van beveiligingsmaatregelen.

Direct advies ontvangen? Neem contact met ons op of vraag een offerte aan.

Download onze ISO 27001 brochure

Lees meer

Bellen
Mailen