Informatiebeveiliging en Cybersecurity die aantoonbaar werkt
Informatie is één van de meest waardevolle bezittingen van je organisatie. Het verlies, misbruik of onbeschikbaar worden van informatie kan leiden tot operationele verstoringen, reputatieschade, datalekken en financiële schade. Informatiebeveiliging gaat daarom veel verder dan techniek alleen. Het draait om de samenhang tussen beleid, processen, mensen en technologie, en om het aantoonbaar beheersen van risico’s.
Informatiebeveiliging:
ISO 27001: Internationale standaard voor aantoonbare informatiebeveiliging
ISO 27001 is de internationale norm voor informatiebeveiligingsmanagement. Met een ISO 27001‑certificaat toon je aan dat je risico’s systematisch beheerst, maatregelen effectief toepast en continu verbetert. Wij begeleiden het volledige traject: van gap‑analyse en risico‑inventarisatie tot implementatie, interne audits, selectie van certificerende instanties en onderhoud ná certificering.
Resultaat: een ISMS dat waarde toevoegt, gedragen wordt door het team en voldoet aan verwachtingen van klanten, partners en toezichthouders.
NEN 7510: Informatiebeveiliging in de zorg en medische data
Voor zorginstellingen en organisaties die met medische gegevens werken is NEN 7510 de norm. Wij helpen met beleid, processen en registraties die vertrouwelijkheid, integriteit en beschikbaarheid van patiëntgegevens borgen. Van autorisatiebeheer en logging tot datalekprocedure en bewustwording. We stemmen af op zorgprocessen, ketensamenwerking en relevante wetgeving (o.a. AVG).
BIO: Baseline Informatiebeveiliging overheid
De BIO is verplicht voor overheden en veel semi‑overheidsorganisaties. Wij helpen met de implementatie van BIO‑maatregelen, risicogestuurd werken, verantwoordingsdocumenten, interne audits en verbeterplannen, zodat je aantoonbaar voldoet en je informatievoorziening betrouwbaar is, ook richting audits, rekenkamer en toezichthouders.
NIS2: Strengere eisen voor cybersecurity en ketenbeveiliging
De NIS2‑richtlijn vraagt van essentiële en belangrijke organisaties een proactieve aanpak van risicobeheer, incidentrespons, governance en ketenbeveiliging. Wij brengen je NIS2‑reikwijdte in kaart, prioriteren maatregelen (technisch, organisatorisch en contractueel), richten incident‑ en meldprocessen in en ondersteunen bij leveranciersbeoordelingen. Ook als je (nog) niet NIS2‑plichtig bent, helpt een NIS2‑aanpak om ketenrisico’s te beheersen en eisen van klanten te borgen.
NIS2 Quality Mark: aantoonbare ketenveiligheid (QM10, QM20, QM30)
Het NIS2 Quality Mark is een praktisch Europees keurmerk waarmee organisaties, met name leveranciers van NIS2‑organisaties kunnen laten zien dat zij passende maatregelen nemen.
Het kent drie risicogebaseerde niveaus:
- QM10 – Basic: basismaatregelen zoals beleid, toegangsbeheer (MFA), patching, back‑ups, incidentprocedures en awareness.
- QM20 – Substantial: uitgebreidere eisen, o.a. logging & monitoring, risicobeheer en strakkere account‑ en leverancierscontroles.
- QM30 – High: voor kritieke ketenpartners met zwaardere eisen aan continuïteit, cryptografie, monitoring en beheer van IT/OT.
AVG/GDPR: Privacy bij design en aantoonbare naleving
De AVG bepaalt hoe organisaties persoonsgegevens mogen verwerken. Wij zorgen dat je privacy‑processen aansluiten op je ISMS: verwerkingsregister, DPIA’s, verwerkersovereenkomsten, rechten van betrokkenen, datalekbeheer en bewaartermijnen. Resultaat: minder risico op datalekken en boetes, meer vertrouwen bij klanten en medewerkers.
Wat kan Verburg Advies voor jou betekenen?
Bij Verburg Advies richten we een Information Security Management System (ISMS) in dat past bij jouw context, risico’s en groeifase. We starten met een risicoanalyse en inventariseren kroonjuwelen (systemen, data, processen) om gerichte beveiligingsmaatregelen te kiezen. Denk aan toegangsbeheer, patch‑ en vulnerability management, back‑up & herstel, logging & monitoring, leveranciersmanagement, bewustwordingstrainingen, incident‑ en datalekprocedures en business continuity.
Onze aanpak is praktisch en evidence‑based: we leveren beleid, procesbeschrijvingen, werkinstructies en formulieren die in de dagelijkse praktijk werken. We helpen je aantoonbaarheid op te bouwen voor audits en klanten, inclusief interne audits, managementreviews en verbeterplannen. Zo groeit je cyberweerbaarheid stap voor stap, met meetbare resultaten en continu verbeteren als uitgangspunt.
Wij bieden een totaaloplossing voor informatiebeveiliging. Van strategie tot certificaat, van audit tot continu verbeteren.
Begeleiding naar certificering: ISO 27001, NEN 7510, BIO.
NIS2‑aanpak en NIS2 Quality Mark: scope, maatregelen, leveranciers, audits.
Interne audits & readiness‑assessments: aantoonbaarheid en effectiviteit.
Onderhoud na certificering: PDCA/continu verbeteren, hercertificering.
Bewustwording & training: bestuur, medewerkers, key users.
Privacy & AVG: DPIA, registers, datalek‑management, contracten.
Vragen over informatiebeveiliging:
ISO 27001 is een internationale norm voor het opzetten van een Information Security Management System (ISMS). De norm legt vast hoe je risico’s structureel beheert en maatregelen borgt binnen beleid, processen en technologie.
NIS2 daarentegen is Europese wetgeving die cybersecurity‑eisen stelt aan essentiële en belangrijke organisaties. De richtlijn gaat verder dan informatiebeveiliging: ook governance, ketenverantwoordelijkheid, incidentmeldingen en accountability zijn verplicht. ISO 27001 helpt als raamwerk om veel NIS2‑eisen te implementeren, maar het certificaat betekent niet automatisch volledige NIS2‑compliance.
ISO 27001 is ideaal als je een volledig en aantoonbaar ISMS wilt dat de héle organisatie raakt. Het is strategisch waardevol voor professionalisering, aanbestedingen en aantoonbare volwassenheid. Het NIS2 Quality Mark (QM10, QM20, QM30) is vooral bedoeld voor leveranciers van NIS2‑organisaties. Hiermee toon je specifiek aan dat je voldoet aan de ketenbeveiligingseisen van NIS2.
Veel organisaties kiezen voor een combinatie: ISO 27001 voor het fundament, NIS2 Quality Mark voor ketentransparantie richting klanten.
NIS2 geldt voor twee groepen: essentiële entiteiten (bijv. energie, zorg, vervoer, water, ICT‑diensten) en belangrijke entiteiten (bijv. productiebedrijven, afvalverwerking, voedselvoorziening, digitale diensten).
Maar ook organisaties die niet NIS2‑plichtig zijn, kunnen indirect verplicht worden doordat hun klanten NIS2‑eisen dóórleggen in contracten. Dit gebeurt vooral bij IT‑dienstverleners, softwareleveranciers en hostingpartijen.
Twijfel je? Dan is een NIS2‑quickscan de beste eerste stap.
ISO 27001 bestaat uit twee grote componenten:
1. Het ISMS (clausules 4–10): beleid, rollen, risicoanalyse, audits, incidentmanagement, leveranciersmanagement, verbetercyclus, managementreview.
2. De Annex A‑maatregelen: 93 beheersmaatregelen verdeeld over 4 thema’s (organisatorisch, menselijk, fysiek, technologisch).
ISO 27001 is risico‑gebaseerd: je past maatregelen toe die passen bij jouw organisatie, omvang, sector en risico’s.
Het NIS2 Quality Mark is een Europees keurmerk waarmee leveranciers laten zien dat zij voldoen aan passende cybersecurity‑maatregelen op basis van NIS2.
Het keurmerk bestaat uit drie niveaus:
1. QM10 (Basic): basisbeveiliging en essentiële maatregelen.
2. QM20 (Substantial): uitgebreidere logging, monitoring en leverancierscontrole.
3. QM30 (High): voor kritieke leveranciers met zware eisen aan continuïteit, cryptografie en IT/OT‑beheer.
Het keurmerk geeft jouw klanten zekerheid dat je ketenrisico’s serieus neemt — én voorkomt dat je wordt uitgesloten in aanbestedingen of ketenselecties.