Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

Accreditatie

Compliance

Verklaring van een toezichthouder dat een getoetste organisatie geschikt is om haar werk te doen en dat haar diensten voldoen aan bepaalde eisen.

Accreditatie in cybersecurity is de formele erkenning door een onafhankelijke toezichthouder dat een organisatie, laboratorium of certificeringsinstelling voldoet aan vastgestelde normen en bevoegd is om specifieke werkzaamheden uit te voeren. In Nederland is de Raad voor Accreditatie (RvA) de aangewezen instantie die certificerende instellingen beoordeelt en accrediteert. Zonder accreditatie heeft een certificaat of audit beperkte waarde, omdat er geen onafhankelijke controle is op de kwaliteit van het beoordelingsproces. Voor organisaties die werken met gevoelige gegevens of kritieke infrastructuur is accreditatie daarom een onmisbaar kwaliteitskenmerk dat vertrouwen wekt bij klanten, partners en toezichthouders.

Het belang van accreditatie groeit door toenemende regelgeving rondom informatiebeveiliging. Met de komst van de Europese Cybersecurity Act en de Nederlandse implementatie daarvan via de Rijksinspectie Digitale Infrastructuur (RDI) wordt accreditatie steeds meer een wettelijke vereiste. Organisaties die hun cybersecuritymaatregelen laten certificeren door een geaccrediteerde instelling, tonen aan dat hun processen, systemen en diensten voldoen aan internationaal erkende standaarden. De RvA werkt hiervoor samen met de RDI, die in Nederland optreedt als National Cybersecurity Certification Authority (NCCA).

Voor wie is accreditatie relevant?

Accreditatie is relevant voor meerdere groepen binnen het cybersecuritylandschap. Certificerende instellingen die audits uitvoeren op basis van normen zoals ISO 27001 of NEN 7510 moeten geaccrediteerd zijn door de RvA om rechtsgeldige certificaten te mogen afgeven. Dit betekent dat als jij als organisatie een ISO 27001-certificaat wilt behalen, je moet kiezen voor een certificeerder die daadwerkelijk geaccrediteerd is. Kies je voor een niet-geaccrediteerde partij, dan is het resulterende certificaat mogelijk niet erkend door toezichthouders of opdrachtgevers.

Daarnaast is accreditatie van groot belang voor organisaties in gereguleerde sectoren. In de zorgsector is NEN 7510-certificering verplicht voor het verwerken van patientgegevens, en alleen audits door geaccrediteerde instellingen zijn daarbij rechtsgeldig. In de financiele sector stelt De Nederlandsche Bank (DNB) aanvullende eisen aan de informatiebeveiliging van instellingen die onder haar toezicht vallen. Overheidsorganisaties moeten voldoen aan de Baseline Informatiebeveiliging Overheid (BIO), waarbij geaccrediteerde certificeringen een belangrijke rol spelen bij het aantonen van naleving tegenover de Rijksoverheid.

Ook penetratietestbedrijven en SOC-dienstverleners werken steeds vaker met geaccrediteerde certificeringen om de kwaliteit van hun dienstverlening aan te tonen tegenover hun klanten. Voor mkb-organisaties die net beginnen met het formaliseren van hun informatiebeveiliging, biedt accreditatie een helder kwaliteitskeurmerk. Je weet dat een geaccrediteerde auditor daadwerkelijk is getoetst op competentie, onafhankelijkheid en consistentie in beoordelingen.

Welke vereisten gelden er voor accreditatie?

De vereisten voor accreditatie zijn afhankelijk van het type organisatie en de norm waarop geaccrediteerd wordt. Voor certificerende instellingen die ISO 27001-audits uitvoeren, gelden de eisen uit ISO 17021 voor managementsysteemcertificering en ISO 27006 met specifieke eisen voor informatiebeveiligingsaudits. De RvA beoordeelt of een certificeerder voldoende gekwalificeerde auditoren in dienst heeft, of het beoordelingsproces consistent en reproduceerbaar is, en of de onafhankelijkheid van de certificeerder gewaarborgd is ten opzichte van de organisaties die zij certificeert.

Het accreditatieproces verloopt doorgaans in vier stappen. Eerst voer je een interne gap-analyse uit om te beoordelen in hoeverre je organisatie aan de relevante normen voldoet. Vervolgens optimaliseer je processen, documentatie en technische maatregelen op basis van de gevonden tekortkomingen. Daarna vindt een pre-audit of interne audit plaats om te controleren of je gereed bent voor de formele beoordeling. Tot slot volgt de formele beoordeling door de RvA. Na succesvolle afronding wordt accreditatie verleend voor een periode van meestal drie tot vijf jaar, met jaarlijkse tussentijdse controles om te verifieren dat je blijft voldoen aan de gestelde eisen.

De kosten voor het accreditatieproces varieren sterk afhankelijk van de situatie. Voor een middelgrote organisatie in Nederland liggen de initiele kosten doorgaans tussen de 10.000 en 40.000 euro, afhankelijk van de complexiteit van de organisatie, het aantal locaties en de gekozen norm. Jaarlijkse onderhoudskosten bedragen gemiddeld twintig tot dertig procent van het initiele bedrag. Daarbij komen eventuele kosten voor externe consultancy en de interne resources die je moet vrijmaken voor het traject.

Met de invoering van de Cybersecurity Act komen er aanvullende Europese accreditatie-eisen bij. Certificerende instellingen voor cybersecurityproducten en -diensten moeten voortaan aan zowel nationale als Europese accreditatie-eisen voldoen, wat het proces complexer maar ook transparanter maakt voor alle betrokken partijen.

Wat gebeurt er bij niet-naleving?

Als een certificerende instelling niet aan de accreditatie-eisen voldoet, kan de RvA de accreditatie schorsen of intrekken. Dit heeft directe gevolgen voor alle certificaten die deze instelling heeft afgegeven. Organisaties die gecertificeerd zijn door een instelling waarvan de accreditatie is ingetrokken, kunnen hun certificaat niet meer als rechtsgeldig presenteren aan klanten, toezichthouders of partners. Ze moeten dan opnieuw gecertificeerd worden door een andere, wel geaccrediteerde instelling, wat extra kosten en doorlooptijd met zich meebrengt.

Voor organisaties die werken met een niet-geaccrediteerde certificeerder zijn de risico's eveneens aanzienlijk. Een certificaat zonder accreditatie wordt door toezichthouders zoals de Autoriteit Persoonsgegevens of DNB niet erkend als bewijs van naleving. Dit kan leiden tot boetes, sancties of het verlies van contracten waarbij certificering een vereiste is. In aanbestedingstrajecten wordt steeds vaker expliciet gevraagd om certificaten die onder accreditatie zijn afgegeven, waardoor je zonder geaccrediteerd certificaat buiten de boot valt.

Daarnaast speelt reputatieschade een belangrijke rol. In sectoren waar cybersecurity-certificering een marktstandaard is, kan het ontbreken van een geaccrediteerd certificaat leiden tot verlies van vertrouwen bij klanten en zakenpartners. Onder de NIS2-richtlijn en de aankomende Cyberbeveiligingswet worden eisen aan risicomanagement en beveiligingsmaatregelen verder aangescherpt, waardoor het belang van geaccrediteerde certificeringen alleen maar toeneemt.

Veelgestelde vragen over accreditatie

Wat is het verschil tussen certificering en accreditatie?

Certificering is het proces waarbij een organisatie wordt beoordeeld op naleving van een norm, zoals ISO 27001. Accreditatie is de beoordeling van de certificerende instelling zelf, waarbij de RvA controleert of die instelling competent en onafhankelijk genoeg is om certificeringen af te geven. Accreditatie is dus het kwaliteitskeurmerk boven het keurmerk.

Is accreditatie verplicht voor cybersecurity-certificeringen?

Voor veel normen is accreditatie niet wettelijk verplicht, maar in de praktijk eisen opdrachtgevers, toezichthouders en aanbestedingen vrijwel altijd een certificaat dat onder accreditatie is afgegeven. Met de Cybersecurity Act wordt accreditatie voor bepaalde cybersecuritycertificeringen wel wettelijk verplicht.

Hoe lang duurt het accreditatieproces?

Het volledige accreditatieproces duurt gemiddeld zes tot twaalf maanden, afhankelijk van de complexiteit van de organisatie en de gekozen norm. De voorbereiding kost doorgaans de meeste tijd, terwijl de formele beoordeling door de RvA enkele weken in beslag neemt.

Welke organisaties zijn geaccrediteerd voor cybersecurity-certificeringen in Nederland?

In Nederland zijn onder andere Kiwa, BSI, DNV, TUV en DigiTrust geaccrediteerd voor ISO 27001-certificeringen. Je kunt het actuele register van geaccrediteerde instellingen raadplegen op de website van de RvA om te controleren of jouw gekozen certificeerder geaccrediteerd is.

Wat kost accreditatie voor een certificerende instelling?

De kosten voor accreditatie van een certificerende instelling liggen tussen de 15.000 en 50.000 euro voor de initiele beoordeling, plus jaarlijkse kosten voor tussentijdse controles en herbeoordeling. Deze kosten worden doorberekend in de tarieven die certificeerders aan hun klanten rekenen.

Wil je weten welke geaccrediteerde certificeerders bij jouw organisatie passen? Vergelijk aanbieders op de GRC-pagina en vind de juiste partner via IBgidsNL.