Hoe weet je als organi­satie of je leveran­cier zijn digitale veilig­heid op orde heeft? Certi­fi­ce­ringen zoals ISO 27001 of ISAE 3402 zijn waardevol, maar vaak kostbaar, complex en lastig te doorgronden. Daarom ziet Orange Cyber­de­fense ruimte voor een aanvul­ling: een veilig­heids­cijfer of label dat in één oogop­slag laat zien of een leveran­cier adequate maatre­gelen heeft getroffen .

In de praktijk ontvangen bedrijven met de bestaande certi­fi­ce­ringen vaak dikke rapporten of PDF’s met een keurmerk, die vooral aantonen dat processen worden nageleefd. Maar wat die certi­fi­caten precies betekenen, hoe actueel ze zijn en of ze in de praktijk ook werken, blijft vaak onduidelijk. 

“Een certi­fi­caat is nuttig, maar voor veel onder­ne­mers zegt een ISO-logo weinig”, stelt Matthijs van der Wel-ter Weel, Strategic Advisor bij Orange Cyber­de­fense. “Het jargon is voor niet-speci­a­listen vaak te ingewik­keld. Ook zegt het weinig over de effec­ti­vi­teit van bevei­li­gings­maat­re­gelen in de praktijk. Je wilt als klant gewoon weten: is dit bedrijf veilig genoeg om mijn data aan toe te vertrouwen, ja of nee?”

Naar een eenvoudiger systeem: veiligheidscijfers en ‑labels

Volgens Orange Cyber­de­fense is het tijd voor een systeem dat complexe certi­fi­ce­ringen vertaalt naar een resul­taat dat iedereen kan begrijpen. Een model verge­lijk­baar met energie­la­bels of voedings­scores: technisch onder­bouwd, maar eenvoudig in de uitkomst. Consu­menten hoeven geen energie-audit te lezen om te begrijpen wat label A of D betekent, net zoals ze niet elk ingre­diënt hoeven te ontleden om een nutriscore te kunnen duiden. Zo zou het ook moeten werken met digitale veilig­heid: bedrijven moeten in één oogop­slag zien hoe hun leveran­cier scoort.

Hoe werkt het?

Het idee achter een veilig­heids­cijfer of ‑label is dat de bestaande certi­fi­ce­ringen en audits worden terug­ge­bracht tot een duide­lijk en begrij­pe­lijk resul­taat. Dat kan door drie bouwstenen te combineren:

1. Bestaande certi­fi­ce­ringen als fundament

Normen als ISO 27001 of ISAE 3402 vormen een goede basis: ze laten zien dat een organi­satie processen heeft ingericht om risico’s te managen en infor­matie te bevei­ligen. Die basis mag niet verloren gaan, want die geeft een belang­rijk signaal van profes­si­o­na­li­teit en compli­ance. Maar certi­fi­caten alleen vertellen niet hoe effec­tief de bevei­li­ging in de praktijk is.

2. Aanvul­ling met actuele audits

Daarom moet dit funda­ment worden aange­vuld met onafhan­ke­lijke toetsing die kijkt naar de dagelijkse praktijk. Hoe snel reageert een leveran­cier op incidenten? Worden systemen conse­quent gepatcht? Hoe wordt monito­ring ingezet om aanvallen te detec­teren? Zulke actuele audits geven een beeld van de werke­lijke weerbaar­heid, iets wat in certi­fi­caten vaak ontbreekt.

3. Een helder en bruik­baar resultaat

De combi­natie van certi­fi­caten en actuele audits wordt vervol­gens vertaald naar een score of label dat iedereen begrijpt. Dat kan een getal zijn van 1 tot 10, of een label van A tot E. Net als bij voedingsla­bels of energie­la­bels gaat het er niet om dat iedere klant de onder­lig­gende bereke­ningen doorgrondt. Belang­rijk is dat de uitkomst betrouw­baar, onafhan­ke­lijk getoetst en direct bruik­baar is.

Een leveran­cier met alleen basis­pro­cessen kan zo uitkomen op label C: accep­tabel voor standaard­dien­sten, maar onvol­doende voor kritieke data. Een leveran­cier die aantoon­baar snel reageert op incidenten en meerdere inter­na­ti­o­nale certi­fi­ce­ringen combi­neert, krijgt label A. Met zo’n systeem worden leveran­ciers direct verge­lijk­baar en hebben afnemers einde­lijk een concreet houvast bij het beoor­delen van risico’s.

Voordelen voor leveranciers en afnemers

Een systeem met veilig­heids­cij­fers of ‑labels brengt voordelen voor iedereen in de keten:

1. Minder admini­stra­tieve lasten

Leveran­ciers hoeven niet langer voor elke klant opnieuw uitge­breide vragen­lijsten of audits te doorlopen. Eén trans­pa­rant label volstaat om hun securi­ty­ni­veau zicht­baar te maken.

2. Meer trans­pa­rantie en vergelijkbaarheid

Afnemers zien in één oogop­slag hoe veilig een leveran­cier werkt, zonder stapels certi­fi­caten of technisch jargon. Dat maakt leveran­ciers onder­ling beter verge­lijk­baar en keuzes eenvou­diger te onder­bouwen richting bestuur en toezichthouders.

3. Groter vertrouwen in de keten

Een onafhan­ke­lijk en gestan­daar­di­seerd label vergroot het onder­linge vertrouwen. Leveran­ciers kunnen laten zien dat hun security aantoon­baar op orde is, en afnemers weten dat er een objec­tieve toets aan ten grond­slag ligt.

In de kern gaat het om vertrouwen. Maar Van der Wel-ter Weel benadrukt dat er méér op het spel staat: “Wie de digitale veilig­heid van zijn leveran­ciers niet kan aantonen, loopt straks simpelweg opdrachten mis. Grote organi­sa­ties en overheden in de VS en de EU stellen dit nu al als harde eis. Met een helder label maken we Neder­land aantrek­ke­lijker als digitale economie en verkleinen we de kans dat inter­na­ti­o­nale contracten naar landen gaan die dit beter geregeld hebben.”

Geen log systeem

“Dit hoeft geen log of bureau­cra­tisch systeem te worden”, besluit Van der Wel-ter Weel. “Net als een energie­label kan een veilig­heids­label overzich­te­lijk, gestan­daar­di­seerd en werkbaar zijn. Als sector moeten we de stap durven zetten: minder papier, meer duide­lijk­heid. Alleen zo bouwen we aan een keten die weerbaar en toekomst­be­stendig is.”