Denk je erover om te gaan voor een cybercertificering zoals ISO27001, maar twijfel je of dit het waard is? Denk dan niet alleen aan wat het jouw organisatie gaat kosten, maar ook aan wat het zal opleveren.
ISO27001 is een bekend normenkader. Echter vraagt het behalen van deze certificering best veel van een organisatie. Het is niet goedkoop om dit voor elkaar te krijgen en in de organisatie te verankeren. Bedrijven waar wij bij over de vloer komen, worden steeds vaker geconfronteerd met de keuze voor een normenkader. Bijvoorbeeld omdat klanten en partners hiernaar vragen. Daarbij komt vooral de ISO voorbij; deze is belangrijk om te voldoen aan de eisen van je opdrachtgevers en stakeholders.
Wat kost certificeren mij als organisatie?
Wat het behalen van cybercertificering zoals ISO27001 een ondernemer kost, is afhankelijk van de omvang van de organisatie. Daarnaast speelt natuurlijk het niveau van bestaande cyber safety-maatregelen mee. Een prijsindicatie is dan ook aan de voorkant niet te geven. Wat de kosten betreft van (wel of niet) certificeren betreft, zijn de volgende zaken een belangrijke overweging:
- Wat zijn de kosten om te analyseren wat nodig is om te voldoen aan de normenkaders, om op niveau te komen? Neem hier ook het creëren van draagvlak mee in de overweging. Dit kan om een significante investering vragen van mensen en middelen.
- Is het gewenste niveau behaald, dan zal het niveau behouden ook kosten met zich meebrengen. Bijvoorbeeld in de vorm van fte’s die hiervoor verantwoordelijk zijn.
- De kosten van níet certificeren kunnen de kosten van wél certificeren overstijgen. Bedenk voor jezelf: als je het niet doet, ga je de boot missen?
De onderstaande opbrengsten van certificering kun je tegen de kosten afzetten, om tot je uiteindelijke afweging te komen.
De opbrengsten van certificeren
- Voldoen aan de eisen van je netwerk is de eerste opbrengst van certificeren. Daarmee verhoog je jouw commerciële waarde. Daarnaast zijn er nog twee significante winsten die de uiteindelijke ROI bepalen:
- Je voldoet aan de regelgeving en zo minimaliseer je de kans op boetes.
- En natuurlijk niet geheel onbelangrijk: de organisatie wordt veiliger. Je tilt met het juiste risicomanagement de interne kwaliteit van je onderneming omhoog. Dat is het belangrijkste argument vóór certificering. Het verbetert de cyberweerbaarheid van de onderneming geheid. Certificering is een zeer goede manier om cyberrisico’s in kaart te brengen en vervolgens af te dekken. Ook wordt hierdoor de continuïteit van beveiligingsmaatregelen veel beter geborgd. Vanuit certificering ontstaan structuur en processen, die een belangrijk middel vormen tegen het reduceren van cyberrisico’s.
Wel of niet certificeren?
Certificering zegt dus iets over de cyberweerbaarheid en het niveau van informatiebeveiliging van een organisatie. Met zo’n certificaat op zak laat je zien dat de organisatie voldoet aan beveiligingseisen. Het nut van certificering is voor de ene organisatie groter dan voor de andere.
In een aantal sectoren is het simpelweg verplicht. Denk aan de zorg of de overheid. Val je hieronder of ben je ketenpartner-van, dan heb je niet altijd de keuze. De nieuwe cyberbeveiligingswet die dit jaar realiteit wordt, zal van essentiële en belangrijke organisaties en sectoren eisen dat ze aantoonbare beveiligingsmaatregelen nemen. Meer over deze nieuwe richtlijn, de NIS2, is te lezen in onze eerdere blogs:
- Valt mijn onderneming onder de NIS2?
- NIS2 en veiligheid in de keten: het raakt ook jouw organisatie
- Nieuwe NIS2-richtlijn: wat betekent dit voor jouw bedrijf?
Certificeren is géén doel op zichzelf, vinden wij. Het biedt essentiële handvatten voor elke organisatie die cyberweerbaarder wil zijn. n het geval een organisatie 100% zeker is dat er al voldoende beveiligingsmaatregelen zijn genomen, zou het in theorie niet nodig zijn om te gaan voor certificering. In de toekomst kan er uiteraard het nodige veranderen, waardoor certificeren wél een must kan worden.
Vragen over certificeren of hulp nodig bij deze afweging? Kom gerust met ons in contact:
📩 info@integripro.nl
📞 058 20 300 23
