Twee jaar na de officiële opening begint Cyber Weerbaarheidscentrum Brainport (CWB) met certificering van haar leden. Daarmee kunnen participanten van de stichting aantonen hoe het is gesteld met de informatiebeveiliging van hun bedrijf.
Dit wordt onafhankelijk getoetst door TÜV. Beide partijen hebben de ambitie om hun certificeringsmodel, CYRA genaamd, door te ontwikkelen tot een landelijke standaard die ook voor andere sectoren open staat dan de hightech- & maakindustrie.
Op dit moment geldt ISO 27001 als internationale standaard voor informatiebeveiliging. “Voor veel bedrijven is deze norm niet nodig of niet haalbaar”, licht innovatiemanager Vincent Schijven van TÜV Nederland toe. Met inbreng van cybersecurity professionals en het CWB is daarom een model ontwikkeld dat zich volledig richt op concrete maatregelen die een bijdrage leveren aan zowel de informatiebeveiliging als privacy.
Er zijn drie certificaten: Basic, Intermediate en Advanced. Om daarvoor in aanmerking te komen, moet men aan maatregelen voldoen op het gebied van organisatie, techniek, personeel, privacy en fysieke beveiliging. De manier waarop ze worden uitgevoerd, bepaalt het volwassenheidsniveau. Dat kent drie gradaties: ad hoc (inconsistent), best effort (consistent en gestructureerd) of defined (formeel en gestructureerd). Samen geven ze inzicht in de cyberweerbaarheid van een organisatie en tevens handvatten om een hoger niveau te behalen.
Speciaal voor het assessment en de audit heeft TÜV Nederland een online applicatie ontwikkeld, waarmee aan de hand van vragen en stellingen bepaald kan worden wat het cyberweerbaarheidsniveau van een organisatie is. Deze applicatie komt na registratie beschikbaar voor participanten van het CWB.
CWB-directeur Paul van Nunen: “De cyberweerbaarheid verbeteren, is het doel van het CWB. Daarvoor werken participanten samen, waarschuwen ze elkaar voor kwetsbaarheden en houden we kennissessies. CYRA gaat nog een stap verder. Want nu kunnen alle ondernemers in de ketens van de hightech- & maakindustrie via de stichting achterhalen wat er moet gebeuren om echt cyberweerbaar te zijn. Daarbij mogen ze de maatregelen voor het basic-certificaat beschouwen als minimale vereisten voor een veilige organisatie. Het schept dus vertrouwen als een toeleverancier een certificaat kan tonen en dat scheelt inkoopafdelingen weer werk.”