Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

Certificatie schema

Compliance

Systeem om een bepaald type producten, processen of diensten te beoordelen. Deze moeten voldoen aan bepaalde eisen, regels en procedures. Een certificeringssysteem staat in ISO/IEC 17000: 2004.

Een certificatieschema is een gestructureerd kader dat beschrijft aan welke eisen een organisatie moet voldoen om een specifiek beveiligingscertificaat te behalen en te behouden. Het schema omvat de inhoudelijke normeisen, de beoordelingsmethode, de competentie-eisen voor auditors, en de regels voor het verlenen, onderhouden en intrekken van certificaten. Binnen cybersecurity zijn certificatieschema's het mechanisme waarmee organisaties aantoonbaar maken dat hun informatiebeveiliging voldoet aan een erkende standaard, zoals ISO 27001, NEN 7510 of TISAX.

Het belang van certificatieschema's groeit naarmate klanten, partners en toezichthouders meer zekerheid eisen over de beveiligingspraktijken van organisaties. Een certificaat op basis van een erkend schema biedt vertrouwen dat een onafhankelijke partij heeft vastgesteld dat de organisatie aan de gestelde eisen voldoet. Dit is waardevol bij aanbestedingen, leveranciersselectie en het aantonen van compliance aan wet- en regelgeving. Het Digital Trust Center biedt een overzicht van relevante certificeringen voor Nederlandse ondernemers en helpt bij het kiezen van het juiste schema.

Voor wie geldt een certificatieschema?

Certificatieschema's zijn relevant voor elke organisatie die haar informatiebeveiliging formeel wil laten toetsen en dit wil aantonen aan externe stakeholders. ISO 27001 is het meest universele schema en is toepasbaar op organisaties van elke omvang en in elke sector. Het certificaat is internationaal erkend en wordt steeds vaker gevraagd als voorwaarde bij zakelijke samenwerkingen, overheidsaanbestedingen en internationale handelsrelaties.

Voor specifieke sectoren bestaan aanvullende of alternatieve schema's die zijn afgestemd op de specifieke risico's en eisen van die sector. Zorginstellingen werken met NEN 7510, dat specifiek is afgestemd op de bescherming van patientgegevens en gezondheidsdata. De financiele sector kent DORA en sectorspecifieke toezichtkaders van DNB die strenge eisen stellen aan de digitale weerbaarheid. De automotive sector gebruikt TISAX voor de bescherming van gevoelige productie- en ontwikkelinformatie. En voor overheidsleveranciers gelden de eisen uit de BIO en specifieke verklaringen als de DigiD-audit.

Onder NIS2 krijgen certificatieschema's een nog prominentere rol in het Europese cybersecuritylandschap. De Europese Cybersecurity Act voorziet in de ontwikkeling van Europese certificatieschema's voor ICT-producten, -diensten en -processen. Het EUCC-schema (European Common Criteria-based Certification) is een van de eerste schema's die onder dit kader is ontwikkeld. Organisaties die vallen onder NIS2 worden gestimuleerd of in sommige gevallen verplicht om gecertificeerde producten en diensten te gebruiken die voldoen aan deze Europese schema's.

Wat zijn de vereisten van een certificatieschema?

Elk certificatieschema kent een set inhoudelijke eisen waaraan de organisatie moet voldoen voordat certificering kan worden verleend. Bij ISO 27001 gaat het om het inrichten van een Information Security Management System (ISMS) dat risicomanagement, beleid, procedures en technische maatregelen omvat. Het schema schrijft niet voor welke specifieke maatregelen je moet nemen, maar eist dat je op basis van een risicoanalyse passende maatregelen selecteert, implementeert en hun effectiviteit aantoont.

Naast de inhoudelijke eisen stelt een certificatieschema eisen aan het auditproces zelf. Audits worden uitgevoerd door geaccrediteerde certificatie-instellingen die voldoen aan de eisen van ISO 17021 voor managementsysteemcertificering of ISO 17065 voor product- en procescertificering. In Nederland houdt de Raad voor Accreditatie (RvA) toezicht op de kwaliteit van certificatie-instellingen en waarborgt dat certificaten betrouwbaar en vergelijkbaar zijn ongeacht welke instelling ze heeft afgegeven.

Het certificeringstraject verloopt doorgaans in fasen. Eerst voer je een gap analyse uit om je gereedheid te beoordelen en te bepalen welke verbeteringen nodig zijn. Vervolgens implementeer je de ontbrekende maatregelen en procedures. Daarna volgt de certificeringsaudit, die bestaat uit een documentatiereview (fase 1) en een operationele audit (fase 2) waarin de auditor ter plaatse verifieert dat de maatregelen daadwerkelijk functioneren. Na succesvolle afronding wordt het certificaat verleend voor een periode van drie jaar.

Gedurende de driejarige certificeringscyclus vinden jaarlijkse surveillance-audits plaats om te verifieren dat de organisatie aan de eisen blijft voldoen en haar beveiligingssysteem actief onderhoudt en verbetert. De hercertificering na drie jaar is een volledige audit die vergelijkbaar is met de initiele certificering. Stilstand of achteruitgang wordt bij surveillance-audits als tekortkoming aangemerkt, omdat continue verbetering een kerneis is van de meeste certificatieschema's.

Wat gebeurt er bij niet-naleving?

Als een organisatie tijdens een surveillance-audit niet meer voldoet aan de eisen van het certificatieschema, kan de certificatie-instelling een tekortkoming registreren. Bij minor afwijkingen krijgt de organisatie doorgaans een termijn van drie maanden om de tekortkoming te herstellen en bewijs van correctie aan te leveren. Bij major afwijkingen kan het certificaat worden geschorst totdat de organisatie aantoont dat de problemen zijn opgelost en de maatregelen weer effectief functioneren.

In ernstige gevallen, zoals het structureel niet voldoen aan kerneisen, het bewust verstrekken van onjuiste informatie aan auditors, of het niet laten uitvoeren van verplichte surveillance-audits, kan het certificaat worden ingetrokken. Dit heeft directe gevolgen voor de organisatie: klanten en partners die certificering als voorwaarde stellen, kunnen contracten opzeggen of heronderhandelen. Bij overheidsaanbestedingen leidt het verlies van certificering tot uitsluiting van lopende en toekomstige opdrachten.

Naast de directe gevolgen van certificaatverlies kunnen er ook juridische consequenties zijn. Als een organisatie een certificaat claimt terwijl dit is ingetrokken of geschorst, is er sprake van misleiding die juridische aansprakelijkheid met zich meebrengt. Onder NIS2 kunnen toezichthouders boetes opleggen als organisaties niet voldoen aan de verplichting om gecertificeerde producten of diensten te gebruiken waar dit is voorgeschreven. De boetes onder NIS2 kunnen oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet voor essentiele entiteiten.

Veelgestelde vragen over certificatieschema

Wat kost certificering via een certificatieschema?

De kosten varieren per schema en organisatiegrootte. ISO 27001-certificering kost voor een MKB-organisatie tussen 10.000 en 50.000 euro, inclusief begeleiding, implementatie en audit. De jaarlijkse surveillance-audits kosten 3.000 tot 10.000 euro. Grotere organisaties betalen meer vanwege de langere auditdagen en bredere scope.

Hoe lang duurt het om gecertificeerd te worden?

Een ISO 27001-certificeringstraject duurt gemiddeld vier tot negen maanden, afhankelijk van de huidige volwassenheid van de informatiebeveiliging. Organisaties die al een goed beveiligingsbeleid en gedocumenteerde procedures hebben, zijn sneller klaar dan organisaties die van nul moeten beginnen.

Wat is het verschil tussen certificering en accreditatie?

Certificering is het proces waarbij een organisatie wordt getoetst aan een norm en bij voldoende resultaat een certificaat ontvangt. Accreditatie is de beoordeling van de certificatie-instelling zelf, die vaststelt dat deze bevoegd en bekwaam is om certificaten te verlenen. De Raad voor Accreditatie (RvA) accrediteert certificatie-instellingen in Nederland.

Is een certificaat internationaal geldig?

ISO 27001-certificaten zijn wereldwijd erkend dankzij het International Accreditation Forum (IAF). Een certificaat afgegeven door een RvA-geaccrediteerde instelling wordt erkend door accreditatie-instanties in andere landen via multilaterale erkenningsovereenkomsten. Dit maakt ISO 27001 bijzonder waardevol voor organisaties met internationale klanten.

Kan een certificaat worden ingetrokken?

Ja, bij structurele niet-naleving, het bewust verstrekken van onjuiste informatie, of het niet laten uitvoeren van verplichte surveillance-audits kan de certificatie-instelling het certificaat schorsen of intrekken. Dit komt in de praktijk weinig voor, maar de mogelijkheid waarborgt de waarde en betrouwbaarheid van het certificeringssysteem.

Klaar om te certificeren? Vergelijk Opleiding & Certificering diensten op IBgidsNL.