Een laagdrempelige manier om te beginnen met security

ISOPlanner is een gebruiksvriendelijke Software-as-a-Service (SaaS) oplossing die organisaties helpt bij het beheren van ISO-compliance binnen de Microsoft 365-omgeving. Door integratie met tools zoals SharePoint, Outlook en Teams kunnen bedrijven efficiënt voldoen aan normen zoals ISO 27001, NEN en het NIS2 Quality Mark.

Ivar, kun je heel kort vertellen wat jullie precies doen?

Ivar: ‘Met onze ISOPlanner software helpen we klanten om normen en frameworks te implementeren. We bieden een soort kapstok: klanten krijgen toegang tot normeisen en maatregelen. Dat doen we voor verschillende normen, zoals ISO-normen en NEN-normen, maar ook voor andere frameworks die niet uit ISO of NEN komen.’

Jullie slogan is “Effortless Compliance Management in Microsoft 365.” Wat maakt jullie aanpak uniek?

Ivar: ‘Onze software is de énige die volledig integreert met Microsoft 365 voor het beheren van ISO-normen. ISOPlanner fungeert als een laag bovenop de bestaande Microsoft 365-omgeving. Gebruikers loggen in met hun Microsoft-account, zonder extra wachtwoorden. Documentatie blijft in SharePoint, en ISOPlanner biedt de mogelijkheid om documenten en taken daar direct aan te koppelen. Daarnaast is er een koppeling met Outlook, zodat taken vanuit ISOPlanner automatisch in de Outlook-agenda verschijnen. Medewerkers kunnen die taken zelfs volledig afhandelen vanuit Outlook, inclusief checklists en documentkoppelingen. Dat maakt het heel laagdrempelig.’

Wat is de meest gebruikte norm die jullie helpen implementeren?

Ivar: ‘Binnen ISOPlanner is ISO 27001 de meest gebruikte norm. Wereldwijd is ISO 9001 nog populairder, maar ISO 27001 groeit snel.’

NIS2 en de bijbehorende ketenzorgplicht zijn erg actueel. Hoe past het NIS2 Quality Mark hierin, en hoe zien jullie dat als bedrijf?

Ivar: ‘Het NIS2 Quality Mark is specifiek ontwikkeld voor kleinere mkb’ers die de eisen van ISO 27001 te zwaar vinden. Wij zien dat niet als concurrentie, maar als een aanvulling. Het maakt cybersecurity toegankelijker voor bedrijven die niet klaar zijn voor de complexiteit van een ISO-certificering. Vanuit onze samenwerking met Samen Digitaal Veilig merken we dat er veel vraag is naar concrete oplossingen zoals dit keurmerk.’

Het NIS2 Quality Mark richt zich sterk op het mkb en biedt basisoplossingen. Zien jullie dat als een bedreiging voor jullie werk met ISO 27001?

Ivar: ‘Nee, we zien het eerder als een andere aanpak voor een ander type klant. Voor bedrijven die ISO 27001 te zwaar vinden, is het NIS2 Quality Mark een laagdrempelige oplossing. Voor ons is het belangrijk om klanten passende opties te bieden, of dat nu via ISO 27001 of dit keurmerk is.’
‘Het is logisch omdat ISO 27001 voor veel organisaties te groot of te complex is. Het NIS2 Quality Mark biedt een laagdrempelige manier om te beginnen. Zo kunnen bedrijven kleine stappen zetten, bijvoorbeeld van 10% naar 20% compliance, en uiteindelijk doorgroeien naar ISO 27001.’

Jullie zijn neutraal, maar ik neem aan dat klanten soms advies vragen. Bijvoorbeeld: ‘Moet ik een NIS 2 Quality Mark nemen of toch kiezen voor ISO 27001?’ Hoe gaan jullie daarmee om?

Ivar: ‘Klopt, wij zijn vooral een uitvoerende partij en doen zelf geen audits. Maar als klanten ons om advies vragen, proberen we wel eerlijk mee te denken. Toch geven we nooit een hard advies, omdat het afhankelijk is van veel factoren, zoals wat hun klanten van hen vragen of wat ze nodig hebben voor hun branche.’

‘Vaak leggen we de verschillen tussen de opties uit. Bijvoorbeeld: als geen van je klanten vraagt om ISO 27001, kun je dat overslaan. Maar als je verwacht dat klanten onder NIS2 gaan vallen en je vragen gaan stellen over je beveiliging, is het slim om klein te beginnen met een Quality Mark. Daarmee leg je een basis, en later kun je altijd opschalen naar meer uitgebreide normen. Het draait dus om een pragmatische aanpak.’

Er is dus behoefte aan een praktisch toepasbaar framework?

Ivar: ‘Absoluut. Veel organisaties willen weten: “Wat moet ik nou doen?” De NIS2 Quality Marks bieden daar een antwoord op. Je kunt het zien als een mooie vertaling van de wetgeving naar een praktisch uitvoerbare set maatregelen. Als je dat accepteert, kun je ermee aan de slag.’

Hoe zien jullie de relatie tussen ISO 27001 en NIS2?

Ivar: ‘ISO 27001 dekt al veel gebieden af, maar NIS2 voegt nieuwe elementen toe, zoals de ketenzorgplicht. Dit betekent dat toeleveranciers van een NIS 2-bedrijf extra verantwoordelijkheden hebben. Die aspecten zijn nog niet volledig verankerd in de oude versie van ISO 27001, dus er is wel overlap, maar ook aanvullende eisen.’

Kunnen klanten bij jullie terecht voor ondersteuning met NIS2?

Ivar: ‘Zeker. Klanten kunnen ISOPlanner gebruiken om normen eenvoudiger in hun Microsoft 365-omgeving te implementeren. Als ze vragen hebben over NIS2, kunnen we hen wijzen op de NIS2 Quality Marks. Die zijn in ISOPlanner beschikbaar als het eerste framework voor NIS2. Dat is een belangrijke stap, en misschien volgen er in de toekomst meer opties.’

Waarom hebben jullie besloten om de NIS2 Quality Marks te ondersteunen?

Ivar: ‘Eerlijk gezegd is dat vraag gestuurd. Onze klanten en partners geven aan dat er behoefte is aan een oplossing voor NIS2. Partners die hun eigen klanten ondersteunen met informatiebeveiliging trekken ook bij ons aan de bel en vragen om frameworks in te voeren. De NIS2 Quality Marks zijn de eerste oplossing die we op dit gebied beschikbaar maken.’

Wat vind je tenslotte nog belangrijk om te noemen?

Ivar: ‘Veel bedrijven vragen zich nu af: “Word ik geraakt door NIS2? Val ik zelf onder deze wet? Of heb ik een klant die onder de wet valt en die mij gaat aanspreken?” Vanuit dat perspectief kijken ze: “Moet ik er iets mee?” Persoonlijk vind ik dat elk bedrijf serieus naar informatiebeveiliging moet kijken.’

‘Het is vergelijkbaar met een fietsenmaker die vindt dat je je fiets goed moet onderhouden, terwijl anderen denken: “Het is maar een fiets.” Maar ik vind het raar als een bedrijf geen managementsysteem heeft voor informatiebeveiliging. Hoe kun je geen processen hebben voor het melden van incidenten, geen focus op leren van fouten, of geen aandacht voor risico’s en de maatregelen die daarbij horen? Dat zou standaard moeten zijn.’

Dus jouw advies is om er altijd iets mee te doen, ook als bedrijven twijfelen?

Ivar: ‘Precies. Als je twijfelt, doe er gewoon wat mee. En als je besluit ermee te starten, dan zijn de NIS 2 Quality Marks een heel mooi en laagdrempelig beginpunt. Zelfs als je denkt dat de wet jou niet direct raakt, zou ik zeggen: doe het toch. Je hebt namelijk altijd informatie—of dat nu van klanten, medewerkers, leveranciers of aandeelhouders is. Die informatie zit in jouw systemen, en je bent verantwoordelijk voor de veiligheid daarvan. Dat gaat niet vanzelf; daar moet je actief iets voor doen.’