De lessen van ISO 27001 als blauwdruk voor digitale soevereiniteit

In dit artikel:

Sinds de publicatie van ISO/IEC 27001 in 2005 is informatiebeveiliging uitgegroeid van vakterrein voor enkelen tot een dwangmiddel in de IT-keten. De standaard bleef aanvankelijk relatief onopgemerkt (eerste herziening in 2013), maar in de jaren erna veranderde dat ingrijpend: waar rond 2017 nog Nederlandse datacenters zonder ISO27001-bestaan waren, is dat aanbod inmiddels marginale uitzondering. Datacenters tonen nu vaak een wand vol certificaten; ISO27001 is daarvan een prominente, maar niet de enige.

Ook lager in de keten is de impact voelbaar. Grote IT-dienstverleners die vroeger volstonden met het gebruik van een gecertificeerd colo-datacenter, voelen onder druk van hun klanten de noodzaak zelf te certificeren. De ontwikkeling illustreert hoe eisen zich via leveranciersrelaties voortplanten: zodra één schakel certificering of naleving van regels verplicht wordt, volgen geleidelijk de buren in de keten.

Nieuwe wet- en regelgeving zoals NIS2 en DORA speelt precies hetzelfde spel: deze EU-regels leggen extra plichten op voor digitale weerbaarheid en zullen doorwerken langs ketens van datacenter tot eindklant. Ook het thema digitale soevereiniteit zet leveranciers onder druk om mee te bewegen met klantvragen. Conclusie: veranderen klanten hun eisen, dan kunnen aanbieders niet stil blijven zitten. (Fotoverwijzing naar Radio Kootwijk en Bert Hubert in het origineel.)