Het belang van cyberveiligheid neemt al een aantal jaren toe en staat als prioriteit op de agenda van vele organisaties. Ook de Europese Unie neemt cyberveiligheid zeer serieus en heeft enkele richtlijnen ontwikkeld om de cyberveiligheid binnen Europa te verbeteren, zoals bijvoorbeeld de NIS2 Directive. Hieronder staat beschreven hoe Secior datacenters kan assisteren bij Risk Management, Compliance en Audits.
Risk Management, Compliance & Audit Services
NIS 2 compliance review
NIS 2 GAP Analyse
Datacenters en bijvoorbeeld nutsbedrijven en de voedingsindustrie inclusief toeleveranciers behoren inmiddels tot de kritische infrastructuur. Binnen dit digitale ecosysteem gaat per 1 december 2025 de NIS 2 (netwerk & informatiesystemen) Directive definitief in werking. Deze richtlijn van de Europese Unie is bedoeld om de cyberveiligheid van organisaties die tot de kritische infrastructuur behoren te waarborgen. Hiertoe behoord ook de beveiliging van toeleveringsketens, rapportageverplichtingen en strengere toezichtmaatregelen en strengere handhavingsvereisten, waaronder geharmoniseerde sancties in de hele EU. Een gevolg van NIS 2 is dat er strenger gecontroleerd wordt op governance, het niet goed of onvoldoende implementeren van de regeling gaat grotere gevolgen hebben.
De expliciete governance-vereisten betekenen voor entiteiten die vallen binnen de NIS2-richtlijn dat het bestuur cybersecurity awareness trainingen moeten volgen, de cybersecurity maatregelen persoonlijk moeten goedkeuren en toezicht moeten houden op de uitvoering.. Overheden zullen in staat zijn het management persoonlijk aansprakelijk te stellen als grove nalatigheid wordt aangetoond na een cyberincident.
Er zullen controlemomenten of audits door toezichthouder RDI (Rijks Inspectie Digitale Infrastructuur) plaatsvinden. Wanneer blijkt dat organisaties niet voldoen aan de verplichtingen, worden er flinke boetes opgelegd. Deze boetes kunnen oplopen tot ten minste 10 miljoen Euro of 2% van de totale wereldwijde omzet (op ondernemingsniveau), naargelang welk bedrag het hoogst is, met de intentie dat hierop ook strenger zal worden gehandhaafd.
Organisaties krijgen een meldplicht wanneer er een incident wordt gedetecteerd, vergelijkbaar met de AVG. Deze melding moet binnen 24 uur gedaan worden, gevolgd door een eindverslag uiterlijk een maand later. Ook dreigingen moeten worden gemeld.
Wat het cybersecurity risicobeheer zelf betreft, wordt in de NIS2 de open norm aangehouden welke, gelet op de stand van de techniek en het aanwezige risico, ‘passende’ en ‘evenredige’ maatregelen moeten worden genomen. Nieuw is dat een aantal minimale basisbeveiligingselementen wordt toegevoegd waarin in elk geval moet worden voorzien.
Secior's risico, compliance & audit portfolio
RISK MANAGEMENT
Risk Management: het identificeren en kwantificeren van de digitale risico's binnen een datacenter en het opstellen van maatregelen om deze risico's te mitigeren.
Secior’s Cybersecurity Risk Management Portfolio
ISA 62443 High-level Risk Assessment
Secior ondersteunt organisaties bij het uitvoeren van High-level Risk Assement conform de ISA 62443 standaard. Dit assessment is gericht op risico’s van de baseline componenten die relevant zijn in een IT/OT/IoT omgeving zoals netwerksegmentatie, informatiebeveiligingsbeleid en procedures.
ISA 62443 Detailed Risk Assessment
De Detailed Risk Assessment is een aanvulling op de High-level Risk Assesment en gaat meer in op risico’s van kritische componenten van de infrastructuur.
ISO 27001 Information Security Risk Assessment
Information Security Risk Assessment is onderdeel van het ISO 27001 raamwerk en kan zowel pre-implementatie worden uitgevoerd of als onderdeel van een continue verbeteringsproces.
ISO 22301 Business Impact Analysis and Risk Assessment
De Business Impact Analysis en Business Continuity Risk Assessment is onderdeel van het ISO 22301 raamwerk en kan zowel pre-implementatie worden uitgevoerd of als onderdeel van een continue verbeteringsproces.
COMPLIANCE
Compliance heeft betrekking op de naleving van relevante wet- en regelgeving en het werken volgens opgestelde normen en regels. Overheden en toezichthouders kunnen normen en regels opleggen, zoals bijvoorbeeld de eerder genoemde NIS2 Directive.
Secior kan datacenters toetsen op en assisteren in de naleving van dergelijke opgestelde normen en regels.
Secior’s Compliance Portfolio:
NIS2 Directive Compliance Review (Critical Infrastructure)
Met de NIS2 Compliance Review kan de organisatie pre-implementatie toetsen in hoeverre de organisatie voldoet aan de NIS2 Directive. De uitkomsten van deze review kunnen worden gebruikt als gap-analyse en daarna worden omgezet in verbeteracties.
ISA 62443 Compliance Review (Industrial Cybersecurity)
Met de ISA 62443 Compliance Review kan de organisatie pre-implementatie toetsen in hoeverre de organisatie voldoet aan de ISA 62443 Cybersecurity Standaard. De uitkomsten van deze review kunnen worden gebruikt als gap-analyse en daarna worden omgezet in verbeteracties. De review kan ook op onderdelen van de ISA 62443 worden uitgevoerd.
ISO27001 Compliance Review (Informatiebeveiliging)
Met de ISO27001 Compliance Review kan de organisatie pre-implementatie toetsen in hoeverre de organisatie voldoet aan de ISO27001 Standaard voor informatiebeveiliging. De uitkomsten van deze review kunnen worden gebruikt als gap-analyse en daarna worden omgezet in verbeteracties. De review kan ook op onderdelen van de ISO27001 worden uitgevoerd.
ISO27701 Compliance Review (AVG/GDPR)
Met de ISO27701 Compliance Review kan de organisatie pre-implementatie toetsen in hoeverre de organisatie voldoet aan de ISO27701 Standaard voor de uitvoering van de algemene verordening gegevensbescherming (AVG/GDPR). De uitkomsten van deze review kunnen worden gebruikt als gap-analyse en daarna worden omgezet in verbeteracties. De review kan ook op onderdelen van de ISO27701 worden uitgevoerd.
ISO22301 Compliance Review (Business Continuity)
Met de ISO22301 Compliance Review kan de organisatie pre-implementatie toetsen in hoeverre de organisatie voldoet aan de ISO22301 Standaard voor business continuity. De uitkomsten van deze review kunnen worden gebruikt als gap-analyse en daarna worden omgezet in verbeteracties. De review kan ook op onderdelen van de ISO22301 worden uitgevoerd.
AUDIT
Een audit is een toetsing op basis van criteria in een certificatieschema of keurmerk. Onze Certified Internal Auditor (CIA) onderzoekt tijdens een audit of het datacenter aan criteria in een norm voldoet op basis van objectief bewijs.
Secior’s Audit Portfolio:
Cyber Security Risk Management Framework Audit
Deze audit richt zich op het Cyber Security Risk Management Framework van de organisatie en focust op de volgende elementen:
• Menselijke aspect met betrekking tot het continue bewustzijn van (nieuwe) beveiligingsrisico's
• Beleid en procedures
• Inrichting van relevante processen zoals periodieke cybersecurity risico analyse, asset management, authentication and identification en Security Information and Event Management (SIEM)
• Technologie en segmentatie van de infrastructuur
• Fysieke beveiliging van de faciliteiten
• Red & Blue teaming
ISA 62443 Readiness Audit
Deze audit verschaft inzicht in de mate waarin een organisatie voldoet aan de ISA 62443 Cybersecurity standaard.
Asset Management Process Audit
Deze audit richt zich specifiek op het in kaart brengen en beheren van de componenten van de IT, OT en IoT infrastructuur en de maatregelen gericht op het tijdig updaten van deze componenten.
Supply Chain Assurance
Als onderdeel van het vendor management of supply chain management proces kunnen klanten van datacenters zekerheid eisen omtrent de (cyber)veiligheid van datacenters. Zekerheid kan worden gegeven door het uitvoeren van een ISAE 3000 (SOC 1) Audit waarbij assurance wordt gegeven op basis van een verklaring.
De ISAE 3402 Audit is een aanvulling op de ISAE 3000 (SOC 1) Audit waardoor meer zekerheid wordt verschaft. ISAE 3402 Audit verstrekt zekerheid over een tijdsperiode terwijl ISAE 3000 (SOC 1) Audit een momentopname is.
ISO27001 Audit
Onze 270001 review wordt pre- implementatie uitgevoerd om eventuele gaps vast te stellen in het Information Security Management Systeem (ISMS) van de organisatie. De ISO 27001-norm biedt een kader voor een effectief Information Security Management Systeem. Het beschrijft het beleid en de procedures die nodig zijn om uw organisatie te beschermen. Het omvat risicocontroles die nodig zijn voor robuust IT-beveiligingsbeheer.
De belangrijkste componenten van ISO 27001 zijn:
• Definiëren beveiligingsbeleid
• Scopebepaling ISMS
• Uitvoeren risicobeoordeling
• Mitigeren van geïdentificeerde risico's
• Het selecteren van controle doelstellingen en te implementeren controles
• Opstellen van een toepasselijkheidsverklaring
Door het certificaat te behalen, laat u zien dat een onafhankelijke auditor heeft bevestigd dat uw ISMS voldoet aan de ISO 27001-norm.
Onze review kan ook worden uitgevoerd als periodieke interne audit als onderdeel van het continue verbeterproces.
ISO27701 Audit
ISO27701 Audit
De ISO27701 norm is de privacy uitbreiding voor de ISO27001 en bevat handvatten voor een effectief werkend Privacy Information Management System (PIMS). De ISO27701 beschrijft het beleid en de procedures die nodig zijn om uw organisatie te beschermen. .
Onze ISO27701 audit is een interne audit die vereist is als onderdeel van de ISO standaarden om (periodiek) aan te tonen dat de organisatie voldoet aan ISO27701 norm.
De belangrijkste componenten van ISO27701 zijn:
• Definieren beveiligingsbeleid
• Scope bepaling PIMS
• Uitvoeren risicobeoordeling
• Mitigeren van geïdentificeerde risico's
• Selecteren van controle doelstellingen en te implementeren controles
• Opstellen van een toepasselijkheidsverklaring
NEN7510 Audit
De NEN7510 norm biedt het kader voor een effectief Information Security Management System (ISMS), specifiek voor de zorgsector. Het beschrijft het beleid en de procedures die nodig zijn om uw zorginstelling te beschermen. Het omvat alle risicocontroles die nodig zijn voor robuust IT-beveiligingsbeheer.
De NEN7510 norm is gebaseerd op de ISO27001 en bevat aanvullingen op de bestaande 114 normen van het ISO27001 normenkader en 4 aanvullende normen specifiek voor de NEN7510.
De belangrijkste componenten van NEN7510 zijn:
• Definiëren beveiligingsbeleid
• Scopebepaling van het ISMS
• Uitvoeren risicobeoordeling
• Mitigeren van geïdentificeerde risico's
• Het selecteren van controle doelstellingen en te implementeren controles
• Opstellen van een toepasselijkheidsverklaring
ISO22301 Audit (Business Continuity)
De ISO22301 norm biedt het kader voor een effectief Business Continuity Management System (BCMS). Het beschrijft eisen voor het inrichten, onderhouden en continu verbeteren van een managementsysteem dat uw organisatie voorbereid op incidenten. De eisen in de norm zijn algemeen opgesteld en daarom binnen iedere organisatie toe te passen, ongeacht het type organisatie. Het stelt u in staat om een Business Continuity Management System (BCMS) te ontwikkelen dat op uw behoefte is afgestemd en dat voldoet aan de eisen van uw stakeholders.
De belangrijkste componenten van ISO22301 zijn:
• Definiëren business continuity beleid en strategy
• Scopebepaling van het BCMS
• Business Impact analyse en risicobeoordeling
• Mitigeren van geïdentificeerde risico's
• Het selecteren van controle doelstellingen en te implementeren controles
• Oefenen en testen van het business continuity beleid en procedures
Onze ISO22301 audit is een interne audit die vereist is als onderdeel van de ISO standaarden om (periodiek) aan te tonen dat de organisatie voldoet aan ISO22301 norm.
DATACENTER CYBERSECURITY & COMPLIANCE
Hoe kunnen wij helpen?
Elke cybersecurity en compliance vraag van een datacenter verdient een antwoord en oplossing op maat. Ons team begrijpt de uitdaging en helpt met het verbeteren van de digitale weerbaarheid en het voldoen aan de gestelde Standaarden.