Orange Cyberdefense: “Maak leveranciersbeveiliging inzichtelijk met een veiligheidscijfer”

Hoe weet je als organisatie of je leverancier zijn digitale veiligheid op orde heeft? Certificeringen zoals ISO 27001 of ISAE 3402 zijn waardevol, maar vaak kostbaar, complex en lastig te doorgronden. Daarom ziet Orange Cyberdefense ruimte voor een aanvulling: een veiligheidscijfer of label dat in één oogopslag laat zien of een leverancier adequate maatregelen heeft getroffen.

In de praktijk ontvangen bedrijven met de bestaande certificeringen vaak dikke rapporten of PDF’s met een keurmerk, die vooral aantonen dat processen worden nageleefd. Maar wat die certificaten precies betekenen, hoe actueel ze zijn en of ze in de praktijk ook werken, blijft vaak onduidelijk.

“Een certificaat is nuttig, maar voor veel ondernemers zegt een ISO-logo weinig”, stelt Matthijs van der Wel-ter Weel, Strategic Advisor bij Orange Cyberdefense. “Het jargon is voor niet-specialisten vaak te ingewikkeld. Ook zegt het weinig over de effectiviteit van beveiligingsmaatregelen in de praktijk. Je wilt als klant gewoon weten: is dit bedrijf veilig genoeg om mijn data aan toe te vertrouwen, ja of nee?”

Naar een eenvoudiger systeem: veiligheidscijfers en -labels
Volgens Orange Cyberdefense is het tijd voor een systeem dat complexe certificeringen vertaalt naar een resultaat dat iedereen kan begrijpen. Een model vergelijkbaar met energielabels of voedingsscores: technisch onderbouwd, maar eenvoudig in de uitkomst. Consumenten hoeven geen energie-audit te lezen om te begrijpen wat label A of D betekent, net zoals ze niet elk ingrediënt hoeven te ontleden om een nutriscore te kunnen duiden. Zo zou het ook moeten werken met digitale veiligheid: bedrijven moeten in één oogopslag zien hoe hun leverancier scoort.

Hoe werkt het?
Het idee achter een veiligheidscijfer of -label is dat de bestaande certificeringen en audits worden teruggebracht tot een duidelijk en begrijpelijk resultaat. Dat kan door drie bouwstenen te combineren:

1. Bestaande certificeringen als fundament
Normen als ISO 27001 of ISAE 3402 vormen een goede basis: ze laten zien dat een organisatie processen heeft ingericht om risico’s te managen en informatie te beveiligen. Die basis mag niet verloren gaan, want die geeft een belangrijk signaal van professionaliteit en compliance. Maar certificaten alleen vertellen niet hoe effectief de beveiliging in de praktijk is.

2. Aanvulling met actuele audits
Daarom moet dit fundament worden aangevuld met onafhankelijke toetsing die kijkt naar de dagelijkse praktijk. Hoe snel reageert een leverancier op incidenten? Worden systemen consequent gepatcht? Hoe wordt monitoring ingezet om aanvallen te detecteren? Zulke actuele audits geven een beeld van de werkelijke weerbaarheid, iets wat in certificaten vaak ontbreekt.

3. Een helder en bruikbaar resultaat
De combinatie van certificaten en actuele audits wordt vervolgens vertaald naar een score of label dat iedereen begrijpt. Dat kan een getal zijn van 1 tot 10, of een label van A tot E. Net als bij voedingslabels of energielabels gaat het er niet om dat iedere klant de onderliggende berekeningen doorgrondt. Belangrijk is dat de uitkomst betrouwbaar, onafhankelijk getoetst en direct bruikbaar is.

Een leverancier met alleen basisprocessen kan zo uitkomen op label C: acceptabel voor standaarddiensten, maar onvoldoende voor kritieke data. Een leverancier die aantoonbaar snel reageert op incidenten en meerdere internationale certificeringen combineert, krijgt label A. Met zo’n systeem worden leveranciers direct vergelijkbaar en hebben afnemers eindelijk een concreet houvast bij het beoordelen van risico’s.

Voordelen voor leveranciers en afnemers
Een systeem met veiligheidscijfers of -labels brengt voordelen voor iedereen in de keten:

1. Minder administratieve lasten
Leveranciers hoeven niet langer voor elke klant opnieuw uitgebreide vragenlijsten of audits te doorlopen. Eén transparant label volstaat om hun securityniveau zichtbaar te maken.
2. Meer transparantie en vergelijkbaarheid
Afnemers zien in één oogopslag hoe veilig een leverancier werkt, zonder stapels certificaten of technisch jargon. Dat maakt leveranciers onderling beter vergelijkbaar en keuzes eenvoudiger te onderbouwen richting bestuur en toezichthouders.
3. Groter vertrouwen in de keten
Een onafhankelijk en gestandaardiseerd label vergroot het onderlinge vertrouwen. Leveranciers kunnen laten zien dat hun security aantoonbaar op orde is, en afnemers weten dat er een objectieve toets aan ten grondslag ligt.

In de kern gaat het om vertrouwen. Maar Van der Wel-ter Weel benadrukt dat er méér op het spel staat: “Wie de digitale veiligheid van zijn leveranciers niet kan aantonen, loopt straks simpelweg opdrachten mis. Grote organisaties en overheden in de VS en de EU stellen dit nu al als harde eis. Met een helder label maken we Nederland aantrekkelijker als digitale economie en verkleinen we de kans dat internationale contracten naar landen gaan die dit beter geregeld hebben.”

Geen log systeem
“Dit hoeft geen log of bureaucratisch systeem te worden”, besluit Van der Wel-ter Weel. “Net als een energielabel kan een veiligheidslabel overzichtelijk, gestandaardiseerd en werkbaar zijn. Als sector moeten we de stap durven zetten: minder papier, meer duidelijkheid. Alleen zo bouwen we aan een keten die weerbaar en toekomstbestendig is.”