Hoe lang duurt een ISO 27001-certificering?

Een ISO 27001-certificering duurt voor een middelgrote organisatie doorgaans zes tot twaalf maanden, afhankelijk van de huidige staat van uw Information Security Management System (ISMS). Het proces omvat een gap-assessment, het implementeren van de vereiste controls, een interne audit en een externe audit in twee fasen door een geaccrediteerde certificerende instelling. Organisaties met bestaande beveiligingsframeworks doorlopen het proces doorgaans sneller.

Wat is DORA en voor welke financiële organisaties geldt het?

DORA, de Digital Operational Resilience Act, is in januari 2025 van kracht geworden en is van toepassing op financiële entiteiten die in de EU actief zijn, waaronder banken, verzekeraars, beleggingsondernemingen, betaalinstellingen en hun kritieke ICT-derde-aanbieders. Organisaties moeten operationele weerbaarheid aantonen op vijf pijlers: ICT-risicobeheer, incidentrapportage, weerbaarheidstesten, risicobeheer van derde partijen en informatie-uitwisseling.

Wat houdt een AVG-audit in?

Een AVG-audit beoordeelt hoe uw organisatie persoonsgegevens verzamelt, opslaat, verwerkt en deelt, afgezet tegen de vereisten van de EU AVG. De audit omvat de rechtmatige grondslag voor verwerking, privacyverklaringen, procedures voor inzageverzoeken, bewaartermijnen, verwerkersovereenkomsten en meldplichtprocedures bij datalekken. Het resultaat is een gaprapport met geprioriteerde verbeterstappen.

Wat is NIS2 en voor wie geldt het?

NIS2 is de EU-richtlijn voor netwerk- en informatiebeveiliging, die EU-lidstaten uiterlijk in oktober 2024 in nationale wetgeving moesten omzetten. De richtlijn geldt voor organisaties in als essentieel of belangrijk aangemerkte sectoren, waaronder de gezondheidszorg, energie, transport, bankwezen, financiële marktinfrastructuur, digitale infrastructuur en managed serviceproviders boven bepaalde omvangdrempels. NIS2 verplicht tot risicobeheersmaatregelen, incidentrapportage binnen 24 uur en beheersmaatregelen voor ketenbeveiliging.

Wat is PCI DSS en welke organisaties hebben het nodig?

PCI DSS, de Payment Card Industry Data Security Standard, is van toepassing op elke organisatie die betaalkaartgegevens opslaat, verwerkt of doorgeeft. Dit omvat retailers, hotels, horecabedrijven, zorgaanbieders die kaartbetalingen accepteren en hun technologieleveranciers. De standaard kent twaalf hoofdvereisten op het gebied van netwerkbeveiliging, toegangsbeheer, versleuteling, kwetsbaarheidsbeheer en monitoring. Niet-naleving kan leiden tot boetes en het verlies van het recht op kaartbetalingsverwerking.

Audits & Compliance

Weet waar u staat. Blijf wet- en regelgeving voor.

Regelgeving breidt zich snel uit. Maar compliance levert pas echt waarde op als uw IT onder controle is en uw security concreet is ingericht. Daarom focussen we daar eerst op, zodat uw organisatie klaar is om aan de strenge auditeisen te voldoen. Zodra de basis staat, loodsen we u door trajecten zoals ISO 27001, DORA, NIS2, de AVG en verder. Hierbij dichten we de werkelijke gaten, verzamelen we het benodigde bewijsmateriaal en bereiden we u optimaal voor op de vereiste audits.

Neem contact op

De compliance-realiteit

Compliance is niet optioneel. De vraag is hoe goed u daarop bent voorbereid

Wet- en regelgeving wordt in elke sector strenger. De meeste compliance-audits die mislukken, zijn terug te voeren op IT die nooit volledig onder controle was en security-gaten die eerder zijn verbloemd dan opgelost. Deze cijfers laten zien waar organisaties mee te maken krijgen als die fundering ontbreekt.

van de organisaties zakt waarschijnlijk voor een compliance-audit

Onvoldoende voorbereiding en ongedocumenteerde beheersmaatregelen (controls) zijn de meest voorkomende redenen waarom bedrijven niet in één keer slagen.

van de organisaties geeft aan dat hun compliance-programma consistent aan de normen voldoet

De meeste organisaties weten dat hun compliance-status gaten vertoont. Het dichten van die gaten vóórdat een audit plaatsvindt, is exact waar wij ondersteunen.

van de bedrijven stelt dat de complexiteit rondom compliance in de afgelopen 3 jaar aanzienlijk is toegenomen

NIS2, DORA, de AI Act en de strengere handhaving van de AVG hebben in de meeste sectoren gezorgd voor forse nieuwe verplichtingen.

van het mkb heeft nog nooit een formele IT- of security-audit ondergaan

Zonder onafhankelijke toetsing blijven gaten in de controls onopgemerkt. Deze stapelen zich geruisloos op totdat een incident of een controle door de toezichthouder de situatie op scherp zet.

Statistieken zijn afkomstig van Verizon, Sophos, Swimlane, Gartner, de FBI en de Standish Group. Sommige cijfers zijn algemene sectorprognoses op basis van meerdere onderzoeksbronnen.

Hoe wij kunnen helpen

Compliance-diensten die gaten dichten voordat auditors ze vinden

Wij kijken in samenhang naar uw IT, uw security-controls en uw wettelijke verplichtingen. Vervolgens dichten we wat gedicht moet worden, herstellen we wat hersteld moet worden en bouwen we het bewijsmateriaal (evidence) op om u voor te bereiden op de audits en u hier doorheen te loodsen. Elk traject is specifiek afgestemd op uw verplichtingen.

ISO 27001-implementatie & Readiness

ISO 27001 is de gouden standaard voor informatiebeveiliging. Wij begeleiden u bij het volledige traject: van gap-analyse en risicobeoordeling tot de daadwerkelijke control-implementatie, documentatie, de interne audit en de uiteindelijke certificering in samenwerking met een onafhankelijke certificerende instelling. Het resultaat: een compleet, audit-ready ISMS (Information Security Management System), gedocumenteerde controls en het evidence-pakket dat de certificerende instelling verwacht.

AVG & Privacycompliance

De Autoriteit Persoonsgegevens (AP) handhaaft de AVG strikt en deelt regelmatig boetes uit. Wij bouwen of auditen uw volledige privacyprogramma van A tot Z: het in kaart brengen van de grondslagen, het Verwerkingsregister (RoPA), DPIA's, procedures voor de rechten van betrokkenen, processen rondom de meldplicht datalekken en advies van een FG (Functionaris gegevensbescherming). Het resultaat: een up-to-date Verwerkingsregister, sluitende documentatie van de wettelijke grondslagen en operationele procedures voor de meldplicht datalekken.

PCI DSS-bereidheid & Compliance

Als uw bedrijf kaartbetalingen verwerkt, is compliance met PCI DSS ononderhandelbaar. Wij voeren gap-assessments uit tegen de actuele PCI DSS-standaard, bepalen de scope-grenzen, helpen bij het implementeren van de vereiste controls en bereiden u voor op de QSA-beoordeling of de Self-Assessment Questionnaire (SAQ). Het resultaat: een rapportage van het gap-assessment, een herstelplan (remediation plan) en een ingevulde SAQ of een QSA-ready opleverpakket.

Compliance Gap-analyse

Voordat u gaten kunt dichten, moet u weten waar ze zitten. Wij voeren gestructureerde gap-assessments uit tegen uw doelframework: ISO 27001, Cyber Essentials, NIST, NIS2, DORA of sectorspecifieke wet- en regelgeving. Hierbij mappen we uw huidige status tegen elke specifieke control. Het resultaat: een geprioriteerd herstelplan, uren- en kostenramingen en een helder overzicht van wat er concreet moet veranderen.

Risicobeoordeling & Risicoregister

Formeel risicomanagement staat centraal in ISO 27001, NIS2, DORA en de meeste andere compliance-frameworks. Wij organiseren gerichte workshops om risico's te identificeren, bouwen en onderhouden uw risicoregister, scoren risico's consistent en stellen de risicobereidheids- en behandelplannen op die auditors eisen. Het resultaat: een gescoord risicoregister, gedocumenteerde behandelplannen en het bewijsmateriaal dat auditors verwachten.

Wettelijke Compliance (NIS2, DORA, wet- en regelgeving)

Sectorspecifieke wet- en regelgeving neemt toe in omvang en handhaving. Wij helpen financiële instellingen te voldoen aan hun DORA-verplichtingen, zorgorganisaties aan privacy-eisen en informatiebeveiliging (zoals NEN 7510), en essentiële of belangrijke entiteiten aan de NIS2-richtlijn. Het resultaat: een complete controls mapping, een herstelplan voor de gaten en een evidence-pakket dat klaar is voor de toezichthouder.

Auditvoorbereiding & Readiness Reviews

Een externe audit mag nooit een verrassing zijn. Wij voeren pre-audit readiness reviews uit die het proces van de daadwerkelijke auditor nauwkeurig nabootsen. We interviewen medewerkers, beoordelen het bewijsmateriaal, testen de controls en identificeren eventuele tekortkomingen. Vervolgens werken we samen om deze op te lossen voordat de auditor op de stoep staat. Het resultaat: gedichte gaten, een sluitend evidence-pakket en een team dat optimaal is voorbereid op elke stap van het auditproces.

Penetratietesten & Kwetsbaarheidsbeoordelingen

Veel compliance-frameworks vereisen het bewijs van regelmatige penetratietesten. Wij bepalen de scope, managen en interpreteren penetratietesten op het gebied van netwerken, applicaties en social engineering, waarbij we samenwerken met vertrouwde, gespecialiseerde testers. Het resultaat: bevindingen ingedeeld naar risiconiveau, zowel in technische formats als executive samenvattingen, inclusief een geprioriteerd herstelplan waar uw team direct mee aan de slag kan.

Interne IT- & Security-audits

Een interne audit door een onafhankelijk team is een van de meest effectieve manieren om gaten te vinden voordat toezichthouders of aanvallers dat doen. Wij voeren gestructureerde audits uit op uw IT-controls, toegangsbeheer, configuratie-baselines, patch-status en operationele procedures. Het resultaat: een gestructureerd auditrapport met geprioriteerde aanbevelingen op basis van risiconiveau, direct toepasbaar voor uw team.

Beleids- & Procedureontwikkeling

Compliance valt of staat met heldere documentatie. Wij schrijven, beoordelen en updaten de volledige set beleidsdocumenten die uw doelframework vereist: van informatiebeveiligings- en toegangsbeheerbeleid tot incident response playbooks en continuïteitsplannen. Het resultaat: een complete set beleidslijnen die uw medewerkers daadwerkelijk begrijpen en waar auditors zonder vragen mee akkoord gaan.

Leverancierscompliance (Third-Party Risk)

Uw compliance-verplichtingen stoppen niet bij de grens van uw eigen organisatie. Wij helpen u de compliancerisico's van derden te beoordelen en te beheren door security-vragenlijsten van leveranciers te beoordelen, kritieke vendors te auditen en verwerkersovereenkomsten op te stellen. Het resultaat: een programma voor leveranciersborging, een risicoregister voor derden en beoordeelde verwerkersovereenkomsten (VVO's).

Continue Compliance-monitoring

Compliance behalen is slechts de helft van de uitdaging. Het behouden ervan is waar de meeste organisaties vastlopen. Wij richten de doorlopende monitoring, de periodieke verzameling van bewijsmateriaal en de managementrapportages in die uw compliance-status up-to-date houden tussen de audits door. Het resultaat: een actueel compliance-statusrapport, een gevulde evidence-bibliotheek en dashboards voor de directie die de status op elk moment in de cyclus tonen.

Waarom Cyvra

Compliance-consultancy die u audit-ready maakt én houdt

Wij blijven nauw betrokken tijdens de implementatie, het verzamelen van bewijsmateriaal en de daadwerkelijke audit. Het behalen van de certificering of toetsing is het doel, niet alleen het opleveren van het document.

De specialisten binnen ons team beschikken over toonaangevende certificeringen zoals ISO 27001 Lead Auditor, CISSP, CISM, PCI DSS en CCSP.

Onafhankelijk en vendor-neutraal: wij auditen om werkelijke gaten te vinden, niet om producten te verkopen.

Een bewezen track record in het succesvol begeleiden van bedrijven naar ISO 27001-, PCI DSS- en AVG-compliance.

Heldere rapportages voor directie en bestuur: concreet, actiegericht en zonder onnodig technisch jargon.

Diepgaande ervaring in de sectoren gezondheidszorg, financiële dienstverlening en horeca.

Onze referenties

De certificeringen binnen ons team dekken elk framework waarmee we werken

CISSP

CISM

ISO 27001

CCSP

PCI DSS

CompTIA

Verder lezen

Vanuit onze inzichten

EU AI Act: wat uw bedrijf moet doen vóór de deadline van augustus 2026

Verordening

Dicht de hiaten in uw compliance en blijf aan de norm voldoen

Vertel ons op welke frameworks u zich richt. Wij brengen de huidige gaten in kaart en stippelen een helder traject uit naar certificering.

Neem contact op

Weet waar u staat. Blijf wet- en regelgeving voor.

Compliance is niet optioneel. De vraag is hoe goed u daarop bent voorbereid

Compliance-diensten die gaten dichten voordat auditors ze vinden

Compliance-consultancy die u audit-ready maakt én houdt

De certificeringen binnen ons team dekken elk framework waarmee we werken

Vanuit onze inzichten

EU AI Act: wat uw bedrijf moet doen vóór de deadline van augustus 2026

Cyber Resilience Act: dé compliancegids voor fabrikanten en distributeurs

Hoe u een DORA-gapanalyse uitvoert: een stapsgewijs raamwerk voor FinTechs

NIS2 versus ISO 27001: hebt u beide nodig, en waar begint u?

NIST CSF 2.0 en NIS2: één raamwerk dat aan beide voldoet

DORA is live: de risicokloof van derden die de meeste financiële bedrijven nog steeds hebben

ISO 27001 voor kleine en middelgrote bedrijven: een praktische implementatiegids

GDPR-compliance voor bedrijven in de EU: wat u eigenlijk moet hebben

Dicht de hiaten in uw compliance en blijf aan de norm voldoen