Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

Certificerende instelling

Compliance

Instantie of instelling die zogeheten certificaten onder accreditatie mag uitgeven. Voorbeeld van zo'n certificaat is ISO 27001. De instelling moet voldoen aan internationale eisen. In Nederland beoordeelt de Raad voor Accreditatie of de instelling onafhankelijk en deskundig is.

Een certificerende instelling is een onafhankelijke organisatie die beoordeelt of bedrijven, producten of processen voldoen aan vastgestelde normen en standaarden. In de context van cybersecurity voeren certificerende instellingen audits uit om te controleren of een organisatie haar informatiebeveiliging op orde heeft conform normen zoals ISO 27001, NEN 7510 of SOC 2. Na een succesvolle audit verstrekt de certificerende instelling een certificaat dat aantoont dat de organisatie aan de gestelde eisen voldoet. Dit certificaat is tijdelijk geldig en wordt periodiek herbeoordeeld om te garanderen dat de organisatie blijft voldoen aan de norm.

Voor wie geldt een certificerende instelling?

Certificerende instellingen zijn relevant voor elke organisatie die een formeel certificaat wil behalen op het gebied van informatiebeveiliging, kwaliteitsmanagement of andere normenkaders. In de praktijk zijn het vooral middelgrote en grote organisaties die certificering nastreven, omdat opdrachtgevers, toezichthouders of wetgeving dit vereisen.

In bepaalde sectoren is certificering feitelijk verplicht. Zorgorganisaties die met patientgegevens werken, moeten voldoen aan NEN 7510, de Nederlandse norm voor informatiebeveiliging in de zorg. Overheidsleveranciers krijgen steeds vaker de eis om ISO 27001-gecertificeerd te zijn als voorwaarde voor aanbestedingen. Onder de NIS2-richtlijn worden essentieel en belangrijke entiteiten verplicht om passende beveiligingsmaatregelen te nemen, waarbij certificering als bewijs kan dienen.

Ook voor organisaties waarvoor certificering niet wettelijk verplicht is, biedt het voordelen. Een certificaat vergroot het vertrouwen van klanten en partners, kan een concurrentievoordeel opleveren bij acquisitie en dwingt de organisatie om structureel aan informatiebeveiliging te werken in plaats van ad hoc. Het certificeringsproces zelf is al waardevol omdat het zwakke plekken in je beveiligingsaanpak blootlegt.

Wat zijn de vereisten van een certificerende instelling?

Een certificerende instelling moet zelf aan strenge eisen voldoen om certificaten te mogen uitgeven. In Nederland en Europa moeten certificerende instellingen geaccrediteerd zijn door de Raad voor Accreditatie (RvA), de nationale accreditatie-instantie. Deze accreditatie garandeert dat de certificerende instelling competent, onafhankelijk en onpartijdig is.

De accreditatie is gebaseerd op internationale normen, met name ISO 17021 voor managementsysteemcertificering. Deze norm stelt eisen aan de competentie van auditoren, de onpartijdigheid van de instelling, de consistentie van het beoordelingsproces en de klachtenprocedure. Een certificerende instelling mag geen adviesrelatie hebben met de organisatie die zij certificeert, omdat dit de onafhankelijkheid in gevaar brengt.

Het certificeringsproces verloopt doorgaans in twee fasen. In fase een beoordeelt de auditor de documentatie: is het managementsysteem op papier compleet en voldoet het aan de norm? In fase twee vindt de implementatie-audit plaats, waarbij de auditor ter plaatse controleert of de gedocumenteerde processen ook daadwerkelijk worden uitgevoerd. Dit omvat interviews met medewerkers, steekproeven op processen en beoordeling van bewijsmateriaal.

Na certificering volgen jaarlijkse surveillance-audits waarin de certificerende instelling controleert of de organisatie blijft voldoen. Na drie jaar vindt een hercertificeringsaudit plaats die vergelijkbaar is met de initiele certificering. Afwijkingen die tijdens audits worden geconstateerd, moeten binnen een vastgestelde termijn worden opgelost om het certificaat te behouden.

Wat gebeurt er bij niet-naleving?

Als een certificerende instelling tijdens een audit vaststelt dat een organisatie niet aan de norm voldoet, worden afwijkingen geregistreerd. Er wordt onderscheid gemaakt tussen minor en major afwijkingen. Een minor afwijking is een beperkte tekortkoming die geen fundamenteel risico vormt voor het managementsysteem. Een major afwijking is een ernstige tekortkoming die de werking van het systeem ondermijnt.

Bij minor afwijkingen krijgt de organisatie doorgaans drie maanden de tijd om corrigerende maatregelen te nemen en bewijs aan te leveren. Bij major afwijkingen kan het certificaat worden opgeschort totdat de organisatie aantoont dat de afwijking is opgelost. In ernstige gevallen, bijvoorbeeld bij fraude of structureel falen, kan het certificaat worden ingetrokken.

Het verliezen van een certificaat heeft directe consequenties. Contracten met opdrachtgevers die certificering als voorwaarde stellen, kunnen worden beeindigd. Bij een datalek kan het ontbreken van een geldig certificaat als verzwarende factor worden meegewogen door de Autoriteit Persoonsgegevens. Daarnaast schaadt het de reputatie van de organisatie en het vertrouwen van klanten en partners. De impact op de bedrijfsvoering en commerciele positie kan jarenlang voelbaar zijn.

Bekende certificerende instellingen in Nederland

In Nederland zijn meerdere certificerende instellingen actief op het gebied van cybersecurity en informatiebeveiliging. Kiwa is een van de grootste en biedt certificering voor ISO 27001, NEN 7510 en diverse andere normen. BSI Group, van oorsprong een Britse instelling, is internationaal actief en certificeert tegen ISO 27001 en aanverwante standaarden.

DNV (Det Norske Veritas) is een Noors-Duits bedrijf dat wereldwijd managementsysteemcertificering aanbiedt, waaronder ISO 27001. DigiTrust richt zich specifiek op de ICT-sector en biedt onder meer het DigiTrust Normenkader aan. Brand Compliance en Lloyd's Register zijn andere spelers die actief zijn in de Nederlandse markt voor informatiebeveiligingscertificering.

Bij het kiezen van een certificerende instelling let je op accreditatie door de RvA, ervaring in jouw sector, de competentie en beschikbaarheid van auditoren, en de kosten. Het is verstandig om offertes op te vragen bij meerdere instellingen en referenties te checken. Een goede certificerende instelling voegt waarde toe door niet alleen te toetsen, maar ook constructieve observaties te delen die je helpen je beveiligingsniveau te verhogen.

Veelgestelde vragen over certificerende instellingen

Wat kost certificering via een certificerende instelling?

De kosten voor ISO 27001-certificering varieren afhankelijk van de omvang van je organisatie, het aantal locaties en de complexiteit van je scope. Voor een MKB-organisatie liggen de kosten voor de initiele audit doorgaans tussen 5.000 en 15.000 euro. Jaarlijkse surveillance-audits kosten minder, meestal 40 tot 60 procent van de initiele auditkosten.

Hoe lang duurt het certificeringsproces?

Vanaf de start van voorbereiding tot het behalen van het certificaat duurt het gemiddeld zes tot twaalf maanden. De duur hangt af van de huidige volwassenheid van je informatiebeveiliging, de beschikbaarheid van interne resources en de gekozen scope. Organisaties die al een goed functionerend managementsysteem hebben, kunnen sneller door het proces.

Mag een certificerende instelling ook advies geven?

Nee, een certificerende instelling mag geen advies of consultancy bieden aan organisaties die zij certificeert. Dit zou de onafhankelijkheid en onpartijdigheid in gevaar brengen. Auditoren mogen wel observaties delen en verbeterkansen signaleren, maar mogen geen specifieke oplossingen voorschrijven. Voor implementatiebegeleiding schakel je een aparte consultancy-partij in.

Is een certificaat internationaal geldig?

ISO-certificaten zijn internationaal erkend, mits uitgegeven door een geaccrediteerde certificerende instelling. De accreditatie door de RvA wordt erkend binnen het International Accreditation Forum (IAF), waardoor certificaten wereldwijd geldig zijn. Controleer altijd of de instelling IAF-geaccrediteerd is als internationale erkenning voor jou belangrijk is.

Wat is het verschil tussen certificering en accreditatie?

Certificering is de beoordeling van een organisatie tegen een norm, uitgevoerd door een certificerende instelling. Accreditatie is de beoordeling van de certificerende instelling zelf, uitgevoerd door een nationale accreditatie-instantie zoals de RvA. Accreditatie garandeert dat de certificerende instelling competent en onpartijdig is om certificaten uit te geven.

Hulp nodig bij certificering? Vind een specialist via Governance, Risk & Compliance op IBgidsNL.