ISO 27001 als blauwdruk voor digitale soevereiniteit
Als je klant beweegt kun je niet stil blijven zitten
ISO 27001 als blauwdruk voor digitale soevereiniteit
Als je klant beweegt kun je niet stil blijven zitten
De laatste maanden van 2025 was digitale soevereiniteit een hot topic voor de Tweede Kamer en de pers. Wat de Belastingdienst doet, wat er zal gebeuren nu Solvinity onderdeel wordt van een Amerikaans beursgenoteerd bedrijf, daarover was veel te doen. Iets meer op de achtergrond was er nog de SIDN.
TEKST: RASHID NIAMAT BEELD: ENVATO
ITchannelPRO en andere titels van LuteijnMedia hebben over deze en andere onderwerpen geschreven. Naast het aandacht besteden aan de actualiteit is ook stil gestaan bij processen en ontwikkelingen die raakvlakken hebben. Zo zijn er overeenkomsten tussen ISO/IEC 27001 en digitale soevereiniteit.
Op zijn kop gezet
In 2005 werd de ISO/IEC 27001 gepubliceerd. Daarmee veranderde aanvankelijk amper iets aan het IT-landschap. Twintig jaar later kunnen we zonder overdrijven stellen dat de impact van deze certificering wel terdege de makt op zijn kop heeft gezet.
Tot ongeveer 2013, het jaar dat de eerste herziening verscheen, was er weinig aan de hand. Grotere organisaties en overheidsdiensten waren hadden oog voor deze standaard voor informatiebeveiliging, dat zorgde echter voor weinig reuring. Tekenend daarvoor is dat er tot 2017 meerdere datacenters in Nederland waren zonder ISO 27001.
ISO 27001 – een van velen
Dat laatste is ondertussen niet meer het geval. Je moet nu je best doen nog een colo-aanbieder te vinden zonder ISO 27001-certificering. Ze zijn er overigens wel, maar zijn niet meer representatief voor het aanbod in Nederland. Datacenters hebben ondertussen hele muren vol hangen met rapporten, diploma’s en certificeringen. ISO 27001 is een van velen.
Er hoeft maar een schakel in de lange keten zich genoodzaakt te voelen voor ISO 27001 te gaan en op termijn is iedereen links en rechts van hem dat ook
Lager in de keten, bij de klanten van datacenters is het beeld zeer gemengd. Grotere IT-dienstverleners die colo-diensten afnemen voor eigen gebruik of in opdracht van klanten, zijn bekend met certificeringen. Waar ze voorheen nog wegkwamen met de opmerking dat ze gebruikmaakten van een ISO-gecertificeerd datacenter, lukt dat nu nog maar weinig. Onder druk van klanten hebben ze de investering in geld, tijd en kennis gedaan om zelf gecertificeerd te raken.
NIS2 / DORA
De 27001 is waarschijnlijk de bekendste, het is zeker niet de enige. Evenzo geldt dat het eisenpakket waaraan een datacenter en IT-dienstverlener moet voldoen steeds verder wordt ingevuld. Afhankelijk van de markt die men bedient hebben de verplichtingen die NIS2 en DORA aan klanten opleggen gevolgen voor de eigen business.
NIS2 is niet toevallig genoemd. Net als bij de 27001 is nu al duidelijk dat deze door de lengte van de hele keten zal doorwerken. Een datacenter is zelfstandig ISO 27001 gecertificeerd, de IT-dienstverlener die er rackspace huurt voor zijn klant idem. Die klant zelf mogelijk ook. Enzovoorts. Er hoeft maar een schakel in de lange keten zich genoodzaakt te voelen voor ISO 27001 te gaan en op termijn is iedereen links en rechts van hem dat ook. Dit gaan we ook meemaken met NIS2.
In meegaan
Het blijft echter niet bij NIS2. Wie goed kijkt naar de ontwikkelingen rond digitale soevereiniteit herkent aanzetten en eerste stappen die we ook bij ISO 27001 zagen en sinds kort bij NIS2 zien. Als je klant digitale soevereiniteit wil of moet nastreven dan moet je daar als leverancier in meegaan. 