De tijd dat informatiebeveiliging iets voor de IT-afdeling was, ligt definitief achter ons. Duizenden Nederlandse organisaties krijgen de komende maanden te maken met nieuwe verplichtingen die verder gaan dan wat de meesten gewend zijn. En wie niet meekomt, mag straks niet meer meedoen.
Het begon geleidelijk. Eerst waren het vooral de grote jongens die een ISO 27001 certificaat vroegen. Handig voor de marketing, dacht menig MKB-ondernemer, maar niet per se noodzakelijk.
Nieuwe wetgeving verandert alles
De belangrijkste motor achter deze verandering heet NIS2. Deze Europese richtlijn wordt in Nederland omgezet in de nieuwe Cyberbeveiligingswet, en het toepassingsgebied is enorm. Waar de huidige wet alleen een handvol vitale sectoren raakt, gaat de nieuwe wet duizenden bedrijven omvatten. Van afvalbedrijven tot chemiefabrikanten, van cloudproviders tot postbezorgers: allemaal krijgen ze te maken met verplichte beveiligingsmaatregelen.
Het gaat niet om zachte aanbevelingen. De wet introduceert een zorgplicht waarbij organisaties verplicht zijn passende technische en organisatorische maatregelen te nemen. En hoewel de wet niet letterlijk zegt dat je een ISO 27001 certificaat moet hebben, wijst alles in die richting. Het is simpelweg het referentiekader dat iedereen gebruikt om aan te tonen dat je je zaken op orde hebt.
Voor bestuurders komt daar nog iets bij: persoonlijke aansprakelijkheid. Je kunt je niet meer verschuilen achter “dat regelt de IT wel”. Directies moeten kunnen aantonen dat ze grip hebben op de cybersecurityrisico’s. En als het misgaat? Dan moet je binnen 24 uur melding doen bij het NCSC. Niet 72 uur, niet een week, maar binnen een etmaal. Dat vraagt om processen die dag en nacht functioneren.
De markt dwingt ook
Maar het zijn niet alleen regelgevers die druk uitoefenen. De markt zelf is misschien wel een nog sterkere prikkel geworden. Een derde van de aanbestedingen bij overheden vraagt nu al om ISO 27001. Zonder certificaat wordt je inschrijving vaak direct ongeldig verklaard. Grote bedrijven doen precies hetzelfde: geen certificaat betekent geen contract.
Ook verzekeraars zijn strenger geworden. Na jaren van gigantische schades door ransomware zijn de voorwaarden verhard. Wil je nog verzekerd worden tegen cyberincidenten? Dan moet je eerst aantonen dat je de basis op orde hebt. Multi-factor authenticatie, geteste back-ups, actuele software. Het zijn eisen die rechtstreeks uit de ISO-normen komen. En mocht je toch getroffen worden, dan kijken verzekeraars met een vergrootglas of je wel aan je zorgplicht hebt voldaan. Geen MFA op een beheerdersaccount? Dan kan je fluiten naar je uitkering.
Ook rechters worden strenger. Er zijn inmiddels diverse uitspraken waarin IT-leveranciers aansprakelijk zijn gesteld voor schade door beveiligingsincidenten, ook al had de klant niet expliciet om bepaalde maatregelen gevraagd. De redenering: van een professional mag je verwachten dat hij proactief handelt volgens de geldende standaarden. Een ISO-certificaat helpt om juridisch aan te tonen dat je daar aan voldoet.
De bedreigingen rechtvaardigen het ook
Deze aangescherpte eisen komen niet uit de lucht vallen. Het dreigingslandschap is ingrijpend veranderd. Ransomware-aanvallen worden niet alleen frequenter, maar ook slimmer. Een zorgwekkende trend is dat criminelen zich specifiek richten op IT-bedrijven zelf. In 2024 was bijna een kwart van alle ransomware-slachtoffers een ICT-bedrijf. Via één gehackte dienstverlener krijgen aanvallers toegang tot tientallen of honderden eindklanten.
De bereidheid om losgeld te betalen is gestegen naar 29 procent van de slachtoffers. Die betalingen houden het criminele verdienmodel in stand en financieren verdere innovatie aan de verkeerde kant. Voor het MKB kan één goed uitgevoerde aanval het einde betekenen.
Daar komt de democratisering van cybercrime bij. Kunstmatige intelligentie heeft de drempel verlaagd. Waar je vroeger technische kennis nodig had om overtuigende phishing-mails te schrijven, kan dat nu met een paar klikken. Het aantal phishing-aanvallen is met 58 procent toegenomen. De oude trucjes werken niet meer: mensen leren geen spelfouten meer herkennen, want die zijn er gewoon niet meer.
Wat er concreet verandert
De nieuwe versie van ISO 27001 die in 2022 is gepubliceerd, pakt deze moderne bedreigingen aan. De norm is geherstructureerd. Waar er vroeger 114 losse beveiligingsmaatregelen waren verdeeld over 14 domeinen, zijn dat er nu 93 in vier logische clusters: organisatorisch, mensen, fysiek en technologisch. Het klinkt misschien als administratieve rompslomp, maar het idee erachter is juist meer samenhang. Beveiliging is niet alleen een technisch probleem, het raakt alle lagen van de organisatie.
Belangrijker nog zijn de elf nieuwe maatregelen die zijn toegevoegd. Deze vullen gaten op die in de afgelopen tien jaar ontstaan zijn. Er zijn nu specifieke eisen voor threat intelligence, waarbij je actief moet bijhouden wat er gaande is in het dreigingslandschap. Cloud-beveiliging krijgt eindelijk een eigen plek, met duidelijke afspraken over wie waarvoor verantwoordelijk is in de samenwerking met cloudproviders.
Data masking, waarbij gevoelige gegevens onleesbaar worden gemaakt voor mensen die het niet nodig hebben, wordt verplicht. Dat voorkomt dat testdatabases vol echte klantgegevens staan. Web filtering moet voorkomen dat medewerkers per ongeluk op malafide sites terechtkomen. En secure coding eist dat beveiliging al tijdens de ontwikkeling van software wordt meegenomen, niet pas achteraf als pleister op de wonde.
Ook overheid en zorg vernieuwen
Deze internationale ontwikkelingen sijpelen door in Nederlandse sectornormen. De overheid heeft gewerkt aan BIO2, een modernisering van de verplichte beveiligingsbaseline voor alle overheidslagen. Die gaat weg van het oude systeem met voorgeschreven niveaus naar een volwassen risicogestuurd model. De zorg heeft NEN 7510 geüpdatet, zodat deze weer aansluit bij de vernieuwde ISO-structuur.
Voor bedrijven die met deze sectoren werken, betekent dit dat je niet om certificering heen kunt. Wil je software leveren aan gemeentes? Dan moet je BIO2-proof zijn. Werk je voor ziekenhuizen? Dan is NEN 7510 de standaard waaraan je moet voldoen.
De deadline is verstreken
De transitieperiode voor de nieuwe ISO-norm liep in oktober 2025 af. Bedrijven met een certificaat op basis van de oude versie hadden tot die tijd om over te stappen. Voor veel organisaties is dat een strak schema gebleken. De implementatie van die elf nieuwe maatregelen vraagt namelijk meer tijd dan gedacht. Het gaat niet alleen om technologie installeren, maar ook om processen aanpassen en mensen meenemen in een andere manier van werken.
Wie nu nog met de oude versie werkt, staat voor een serieus probleem. Certificaten op basis van ISO 27001:2013 verliezen hun geldigheid, wat directe consequenties heeft voor contracten en aanbestedingen. De urgentie om de overstap te maken is daarmee alleen maar groter geworden.
Comments are closed