Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

Compliance

Compliance

De activiteiten die men uitvoert om als persoon of organisatie te voldoen aan bepaalde eisen. Dat kan een wet zijn, maar ook eisen uit de branche of regels van de eigen organisatie.

Compliance binnen cybersecurity betekent het aantoonbaar naleven van wet- en regelgeving, normen en interne beleidsregels die betrekking hebben op de informatiebeveiliging van een organisatie. Het gaat niet alleen om het voldoen aan regels, maar om het kunnen bewijzen dat je eraan voldoet door middel van documentatie, audits en rapportages. In een tijd waarin wetgeving als de AVG, NIS2 en sectorspecifieke regels steeds strengere eisen stellen aan digitale veiligheid, is compliance een strategische noodzaak geworden voor elke organisatie die met digitale informatie werkt en haar bedrijfscontinuiteit wil waarborgen.

Het compliance-landschap voor cybersecurity in Nederland is de afgelopen jaren aanzienlijk complexer geworden en blijft groeien. Organisaties hebben te maken met Europese wetgeving die in Nederlandse wetten wordt vertaald, sectorspecifieke regelgeving van toezichthouders, en contractuele eisen van klanten en partners die steeds vaker beveiligingsgaranties verlangen. De Cyberbeveiligingswet (NIS2) stelt nieuwe eisen aan essentiele en belangrijke entiteiten. De AVG regelt de bescherming van persoonsgegevens. En normen als ISO 27001 bieden het framework om deze eisen gestructureerd te implementeren en aan te tonen aan stakeholders.

Voor wie geldt compliance?

Compliance-verplichtingen gelden voor vrijwel elke organisatie die digitaal werkt, maar de specifieke eisen verschillen per sector, omvang en type activiteiten. De AVG geldt voor alle organisaties die persoonsgegevens verwerken, wat in de praktijk nagenoeg elke organisatie is die klantgegevens, medewerkersdata of andere persoonsgebonden informatie bijhoudt. De Cyberbeveiligingswet (NIS2) geldt specifiek voor essentiele en belangrijke entiteiten in sectoren als energie, transport, gezondheidszorg, drinkwater, digitale infrastructuur en ICT-dienstverlening.

Financiele instellingen hebben te maken met aanvullende regelgeving van DNB en de AFM, en met de Digital Operational Resilience Act (DORA) die specifieke eisen stelt aan de digitale weerbaarheid van financiele dienstverleners. Zorginstellingen moeten voldoen aan NEN 7510 voor de bescherming van patientgegevens en gezondheidsdata. Overheidsorganisaties moeten werken conform de Baseline Informatiebeveiliging Overheid (BIO) en het bijbehorende ENSIA-verantwoordingsstelsel.

Ook organisaties die niet direct onder specifieke wetgeving vallen, worden indirect geraakt door compliance-eisen via hun zakelijke relaties. Steeds meer opdrachtgevers stellen ISO 27001-certificering of vergelijkbare bewijzen van informatiebeveiliging als voorwaarde bij aanbestedingen en leveranciersselectie. Compliance is daarmee niet alleen een juridische verplichting, maar ook een commercieel voordeel dat deuren opent naar nieuwe klanten, markten en samenwerkingsverbanden die anders niet toegankelijk zouden zijn.

Wat zijn de vereisten van compliance?

Compliance-vereisten bestaan uit meerdere lagen die samen een compleet beeld vormen. De eerste laag is het implementeren van passende technische en organisatorische maatregelen. Dit omvat toegangsbeveiliging, encryptie, monitoring, incident response procedures, en beveiligingsbewustzijn bij medewerkers. Welke maatregelen "passend" zijn, hangt af van de aard en omvang van de organisatie, de gevoeligheid van de verwerkte informatie, en de specifieke risico's die uit een risicoanalyse naar voren komen.

De tweede laag is documentatie en aantoonbaarheid. Het is niet voldoende om maatregelen te implementeren; je moet ook kunnen bewijzen dat je ze hebt geimplementeerd en dat ze effectief functioneren. Dit vereist een gedocumenteerd informatiebeveiligingsbeleid, procedures, risicoanalyses, audit-rapporten, en logbestanden die aantonen dat maatregelen daadwerkelijk worden nageleefd. Bij een inspectie door een toezichthouder of een audit door een certificatie-instelling moet je deze documentatie kunnen overleggen als bewijs van compliance.

De derde laag is continue verbetering. Compliance is geen eenmalig project maar een doorlopend proces dat is ingebed in de bedrijfsvoering. Wetgeving verandert, dreigingen evolueren, en de organisatie zelf wijzigt door groei, fusies of technologische veranderingen. Je moet aantonen dat je regelmatig evalueert of de getroffen maatregelen nog toereikend zijn en dat je aanpassingen doorvoert waar nodig. Dit sluit aan bij de Plan-Do-Check-Act cyclus die ten grondslag ligt aan managementsystemen als ISO 27001.

Tot slot vereist compliance dat incidenten tijdig worden gemeld bij de juiste instanties volgens de geldende procedures. Onder de AVG moet een datalek binnen 72 uur worden gemeld bij de Autoriteit Persoonsgegevens als het risico's oplevert voor betrokkenen. Onder NIS2 moeten significante cyberincidenten worden gemeld bij het CSIRT of de sectorale toezichthouder. Het niet of te laat melden van incidenten is een schending van de compliance-verplichtingen en kan op zichzelf tot substantiele boetes leiden, los van de boetes voor het incident zelf.

Wat gebeurt er bij niet-naleving?

De consequenties van niet-naleving zijn aanzienlijk en nemen toe naarmate de wetgeving strenger wordt en toezichthouders actiever handhaven. Onder de AVG kan de Autoriteit Persoonsgegevens boetes opleggen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Onder NIS2 kunnen boetes oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet voor essentiele entiteiten, en tot 7 miljoen euro of 1,4% voor belangrijke entiteiten.

Naast financiele sancties kan niet-naleving leiden tot bestuurdersaansprakelijkheid. Onder NIS2 kunnen bestuurders persoonlijk aansprakelijk worden gesteld als zij onvoldoende toezicht hebben gehouden op de cybersecurity-maatregelen van de organisatie. Dit betekent dat directieleden en commissarissen een persoonlijk financieel risico lopen als de organisatie haar compliance-verplichtingen niet nakomt en dit leidt tot een incident of een handhavingsactie door de toezichthouder.

De indirecte gevolgen van niet-naleving zijn vaak nog ingrijpender dan de directe boetes. Reputatieschade na een beveiligingsincident dat had kunnen worden voorkomen met adequate maatregelen, verlies van klanten en contracten, verhoogde verzekeringspremies, en de kosten van noodmaatregelen en herstelwerkzaamheden na een incident. Organisaties die hun compliance op orde hebben, rapporteren gemiddeld lagere incidentkosten en snellere hersteltijden dan organisaties die achterblijven op het gebied van compliance.

Veelgestelde vragen over compliance

Wat is het verschil tussen compliance en informatiebeveiliging?

Informatiebeveiliging is het geheel aan maatregelen om informatie te beschermen tegen dreigingen. Compliance is het aantonen dat deze maatregelen voldoen aan geldende wet- en regelgeving en normen. Een organisatie kan goede beveiliging hebben maar niet compliant zijn als de documentatie ontbreekt, en andersom. Ideaal zijn beide aspecten op orde.

Hoeveel kost compliance voor het MKB?

De kosten hangen af van de huidige volwassenheid en de toepasselijke regelgeving. Een basaal compliance-traject voor de AVG kost 5.000 tot 15.000 euro. Een ISO 27001-certificeringstraject kost 15.000 tot 50.000 euro. De jaarlijkse onderhoudskosten bedragen 5.000 tot 20.000 euro. Dit weegt op tegen de potentiele boetes bij niet-naleving.

Welke compliance-eisen gelden er voor mijn organisatie?

Dit hangt af van de sector, omvang en activiteiten van de organisatie. De AVG geldt voor vrijwel iedereen. NIS2 voor essentiele en belangrijke entiteiten. DORA voor de financiele sector. NEN 7510 voor de zorg. De BIO voor de overheid. Raadpleeg een compliance-specialist om te bepalen welke eisen specifiek op jouw organisatie van toepassing zijn.

Kan ik compliance uitbesteden?

Je kunt de uitvoering van compliance-activiteiten uitbesteden aan specialisten, maar de eindverantwoordelijkheid voor compliance blijft altijd bij de organisatie zelf. Dit geldt ook onder NIS2: uitbesteding aan een managed security provider ontslaat de organisatie niet van haar wettelijke verplichtingen jegens de toezichthouder.

Hoe bereid ik me voor op NIS2?

Begin met het vaststellen of je organisatie onder NIS2 valt als essentiele of belangrijke entiteit. Voer vervolgens een gap analyse uit tegen de eisen van de Cyberbeveiligingswet. Implementeer ontbrekende maatregelen, richt incident response procedures in, en zorg voor de benodigde documentatie. Het NCSC biedt een voorbereidingsgids specifiek voor NIS2.

Zorg dat je compliance op orde is. Vergelijk Periodieke compliance-check aanbieders op IBgidsNL.