Waarom ISO 27001 een standaardvereiste voor bedrijven aan het worden is

Vroeger was ISO 27001-certificering iets wat grote bedrijven nastreefden om hun reputatie te versterken. Tegenwoordig is het een vereiste waar klanten, overheden en verzekeraars steeds vaker op staan voordat ze überhaupt zaken met je willen doen. Voor veel organisaties is dat een wake-upcall. Je kunt intern prima werk leveren op het gebied van beveiliging, maar zonder certificaat heb je daar niets concreets om aan te tonen. Hoe is het zo ver gekomen, en wat betekent dit voor jouw bedrijf?

Klanten leggen de lat steeds hoger op het gebied van informatiebeveiliging

Zakelijke kopers, vooral in B2B-markten, nemen geen genoegen meer met een mondelinge verzekering dat je informatiebeveiliging goed geregeld is. Ze willen bewijs. Een ISO 27001-certificering biedt hen dat bewijs in een gestandaardiseerd formaat dat iedereen erkent. In aanbestedingsdocumenten en inkoopcontracten wordt het steeds duidelijker vermeld: laat zien dat je informatiebeveiliging in orde is, anders kom je niet in aanmerking.

Dit is het duidelijkst te zien in sectoren als de financiële dienstverlening, de gezondheidszorg, de overheid en de logistiek. Maar het effect reikt ook verder dan die sectoren. Zodra een grote speler in een toeleveringsketen ISO 27001 verplicht stelt voor zijn leveranciers, heeft dat een domino-effect. Het hele leveranciersnetwerk moet zich hieraan houden, anders lopen ze het risico te worden gedropt.

Voor kleinere bedrijven kan dat aanvoelen als een oneerlijk speelveld. Je interne beveiligingsmaatregelen zijn misschien prima, maar je verliest een opdracht aan een concurrent, simpelweg omdat die het certificaat heeft. De certificering is geen technisch onderscheidend kenmerk meer. Het is een commerciële toegangskaart geworden.

Waarom regelgeving bedrijven ertoe aanzet om zich te laten certificeren

De Europese NIS2-richtlijn, die momenteel in alle EU-lidstaten in nationale wetgeving wordt omgezet, verplicht een breed scala aan bedrijven en instellingen om aan te tonen dat ze over meetbare beveiligingsmaatregelen beschikken. ISO 27001 is niet de enige manier om aan deze eisen te voldoen, maar wel de meest erkende. Bedrijven die al gecertificeerd zijn, hebben een duidelijk voordeel als ze moeten aantonen dat ze aan die verplichtingen voldoen.

Overheden stellen ook certificeringseisen aan IT-aanbestedingen en contracten voor kritieke infrastructuur. Als je mee wilt dingen naar opdrachten in de publieke sector, is ISO 27001 in veel gevallen geen aanbeveling, maar een harde voorwaarde. Dat geldt ook voor onderaannemers die werken onder gecertificeerde hoofdaannemers.

De koers is duidelijk. De regelgeving rond informatiebeveiliging wordt strenger, niet minder streng. Bedrijven die nu actie ondernemen, lopen veel minder risico dat ze later onder tijdsdruk gedwongen worden om haastig een certificeringsproces te doorlopen.

Hoe verzekeraars ISO 27001 gebruiken om cyberrisico’s in te schatten

Cyberverzekeringen zijn duurder geworden en moeilijker af te sluiten. Verzekeraars hebben genoeg schadeclaims gezien om niet langer zomaar op het woord van een bedrijf te vertrouwen dat de beveiliging onder controle is. Ze willen gedocumenteerd bewijs van de beveiligingsmaatregelen, en ISO 27001 biedt hen een betrouwbaar referentiepunt voor het beoordelen van risico’s.

Gecertificeerde bedrijven betalen vaak lagere premies voor hun cyberverzekeringen. De reden hiervoor is simpel: als je het ISO 27001-proces hebt doorlopen, heb je al een grondige risicobeoordeling uitgevoerd, je personeel getraind en je procedures gedocumenteerd. Dat verkleint de kans op een incident en daarmee ook het risico voor de verzekeraar.

Sommige verzekeraars stellen certificering inmiddels zelfs als voorwaarde voor dekking. Zonder ISO 27001 kun je simpelweg geen cyberverzekering afsluiten die bij het profiel van je organisatie past. Op dat moment is het niet meer de vraag óf je je laat certificeren, maar alleen nog wanneer.

Technische maatregelen zijn een begin, maar niet het hele verhaal

Veel bedrijven doen al het juiste op het gebied van informatiebeveiliging. Ze eisen sterke wachtwoorden, gebruiken meervoudige authenticatie en beveiligen hun verbindingen. Dat is een stevige basis, maar op zichzelf is het niet genoeg voor certificering.

ISO 27001 schrijft voor dat organisaties hun gegevens moeten beveiligen met aantoonbare technische maatregelen. Welke specifieke maatregelen je implementeert, is grotendeels aan jou. Een VPN zoals GOOSE VPN kan daarbij een rol spelen, maar is op zichzelf geen vereiste. Wat wel vereist is, staat op elke ISO 27001-checklist: medewerkers moeten kunnen aantonen dat ze weten hoe ze veilig moeten werken.

Dat laatste element, bewustzijn op het gebied van beveiliging, is voor veel organisaties het ontbrekende stukje van de puzzel. De tools en systemen zijn aanwezig, maar de mensen binnen de organisatie zijn niet aantoonbaar getraind. Dat is precies wat een certificeringsinstantie beoordeelt. Het gaat niet om wat je hebt opgezet. Het gaat om wat je kunt aantonen.

Certificering is stilletjes veranderd van een leuke extra naar een basisvoorwaarde om zaken te kunnen doen. Die verschuiving is geleidelijk gegaan, aangestuurd door inkoopteams, nieuwe regelgeving en verzekeraars die hun risico’s opnieuw onder de loep nemen. Bedrijven die al in beveiliging investeren, staan er beter voor dan de meeste anderen, maar de kloof tussen goede praktijken en aantoonbare naleving is precies wat certificering dicht. Als de klanten, contracten of dekking die je wilt ISO 27001 vereisen, is er geen echte uitweg.