SOC2+: Het antwoord op verhoogde compliance druk in 2025
SOC2+: Het antwoord op verhoogde compliance druk in 2025
Het gebruik van AI (voor zowel aanvallen als verdediging), de gevolgen van Quantum Computing en het belang van Security Resilience, zero-trust security en (supply chain) third party risk management lijken de belangrijkste cyber security trends voor 2025. In lijn met voorgaande jaren zullen overheden wereldwijd in 2025 hun inspanningen intensiveren om de informatiebeveiliging en privacy van burgers te blijven waarborgen. Met de invoering van NIS2 en DORA zullen toezichthouders actiever monitoren op naleving van wet- en regelgeving.
De technologiesector wordt dubbel geraakt door de toenemende compliance-druk. Omdat wetgeving zoals NIS2 en DORA steeds meer de nadruk legt op ketenverantwoordelijkheid, moeten IT-leveranciers niet alleen voldoen aan hun eigen complianceverplichtingen, maar hebben zij ook een compliance-aantoonbaarheidsverplichting naar hun klanten.
Dit artikel bespreekt waarom SOC2+ het antwoord is op de toenemende compliance-druk waarmee IT-leveranciers te maken krijgen. SOC2+ biedt een geïntegreerde aanpak om aan meerdere standaarden te voldoen met beperkte compliance-inspanning, waardoor IT-leveranciers zich efficiënt kunnen aanpassen aan het evoluerende dreigingslandschap.
Het belang van ketenverantwoordelijkheid werd in 2024 bevestigd door verstoringen bij grote IT-leveranciers welke in meerdere landen het nieuws haalde. Naast dat deze verstoringen grote financiële schade veroorzaakten, maakte het organisaties ook weer bewuster van kwetsbaarheid van netwerken die direct verbonden zijn met andere (niet zelf beheerde) netwerken.
IT-leveranciers hebben vaak bevoorrechte toegang tot gevoelige bedrijfsgegevens. Om de veerkracht te verbeteren en DORA en NIS2 compliant te zijn, zullen organisaties hun IT-leveranciers nauwlettend in de gaten houden, met een focus op zwakke plekken in hun cyberbeleid en uitvoering. De Nederlandse Bank (DNB) heeft aangegeven dat huidige assurance rapportages niet in alle gevallen zullen voldoen aan de aantoonbaarheidsvereisten vanuit DORA. IT-leveranciers zullen hun huidige externe rapportages moeten evalueren en in overleg met hun klanten moeten bepalen waar aanvullende Assurance gewenst is.
Om organisaties op weg te helpen, heeft de beroepsorganisatie van IT-auditors (NOREA) het DORA in Control Framework uitgebracht. Aanvullend op onderwerpen die in veel huidige SOC2 en ISAE3402 assurance rapportages al zijn opgenomen, is er ook aandacht voor:
Service Organization Control (SOC) 2 stelt organisaties in staat om beheersingsmaatregelen met betrekking tot de Security, Availability, Processing Integrity, Confidentiality en Privacy van data aantoonbaar te maken op basis van de Trust Service Criteria (TSC). SOC 2-rapporten hebben zich bewezen als een belangrijk middel om bij te dragen aan klantvertrouwen en de verbetering van het interne risicobeheer.
SOC2+ werkt op een vergelijkbare manier, waarbij de SOC2 Trust Service Criteria worden aangevuld met criteria vanuit andere standaarden. Beheersingsmaatregelen worden ontworpen om aan de volledige set van vaak overlappende criteria te voldoen. Net als bij SOC2 omvat het behalen van SOC2+-compliance het uitvoeren van een risicobeoordeling, het vaststellen van beheersingsmaatregelen en het ondergaan van een audit door externe auditors.
In Nederland is SOC2+ nog relatief onbekend, terwijl het als compliance instrument uitstekende mogelijkheden biedt. Doordat beheersingsmaatregelen één keer door de auditor worden getoetst om aan verschillende standaarden te voldoen, voorkomt u:
Neem contact op
De technologiesector wordt dubbel geraakt door de toenemende compliance-druk. Omdat wetgeving zoals NIS2 en DORA steeds meer de nadruk legt op ketenverantwoordelijkheid, moeten IT-leveranciers niet alleen voldoen aan hun eigen complianceverplichtingen, maar hebben zij ook een compliance-aantoonbaarheidsverplichting naar hun klanten.
Dit artikel bespreekt waarom SOC2+ het antwoord is op de toenemende compliance-druk waarmee IT-leveranciers te maken krijgen. SOC2+ biedt een geïntegreerde aanpak om aan meerdere standaarden te voldoen met beperkte compliance-inspanning, waardoor IT-leveranciers zich efficiënt kunnen aanpassen aan het evoluerende dreigingslandschap.
Ketenverantwoordelijkheid
Vanaf 17 januari 2025 zal DORA het wettelijke kader voor operationele weerbaarheid zijn voor financiële instellingen, ter vervanging van de Good Practice Informatiebeveiliging 2023. Een belangrijke pijler van DORA is het waarborgen van informatiebeveiliging en privacy in de gehele waardeketen.Het belang van ketenverantwoordelijkheid werd in 2024 bevestigd door verstoringen bij grote IT-leveranciers welke in meerdere landen het nieuws haalde. Naast dat deze verstoringen grote financiële schade veroorzaakten, maakte het organisaties ook weer bewuster van kwetsbaarheid van netwerken die direct verbonden zijn met andere (niet zelf beheerde) netwerken.
IT-leveranciers hebben vaak bevoorrechte toegang tot gevoelige bedrijfsgegevens. Om de veerkracht te verbeteren en DORA en NIS2 compliant te zijn, zullen organisaties hun IT-leveranciers nauwlettend in de gaten houden, met een focus op zwakke plekken in hun cyberbeleid en uitvoering. De Nederlandse Bank (DNB) heeft aangegeven dat huidige assurance rapportages niet in alle gevallen zullen voldoen aan de aantoonbaarheidsvereisten vanuit DORA. IT-leveranciers zullen hun huidige externe rapportages moeten evalueren en in overleg met hun klanten moeten bepalen waar aanvullende Assurance gewenst is.
Om organisaties op weg te helpen, heeft de beroepsorganisatie van IT-auditors (NOREA) het DORA in Control Framework uitgebracht. Aanvullend op onderwerpen die in veel huidige SOC2 en ISAE3402 assurance rapportages al zijn opgenomen, is er ook aandacht voor:
- Software & System development (waaronder lifecycle management en digitale transformatie projecten)
- Resilience Testing
- Asset Management
- Internal (ICT) Audit
- Third Party Risk Management (waaronder Due Diligence, (sub)contract management en registers).
SOC2+
Voor IT-leveranciers betekent het DORA in Control Framework een nieuwe (in de markt gevraagde) standaard op het gebied van informatiebeveiliging, die naast bestaande in de markt geaccepteerde standaarden zoals SOC2, ISO27001 en NIST kan worden geïmplementeerd. Dit leidt tot nog meer compliance druk. In de Verenigde Staten, waar naast deze standaarden ook markt specifieke standaarden zoals HITRUST en FEDRAMP van toepassing zijn, heeft het American Institute of CPAs (AICPA) een mogelijkheid ontwikkeld om verschillende raamwerken efficiënt te integreren: SOC2+ (SOC2plus).Service Organization Control (SOC) 2 stelt organisaties in staat om beheersingsmaatregelen met betrekking tot de Security, Availability, Processing Integrity, Confidentiality en Privacy van data aantoonbaar te maken op basis van de Trust Service Criteria (TSC). SOC 2-rapporten hebben zich bewezen als een belangrijk middel om bij te dragen aan klantvertrouwen en de verbetering van het interne risicobeheer.
SOC2+ werkt op een vergelijkbare manier, waarbij de SOC2 Trust Service Criteria worden aangevuld met criteria vanuit andere standaarden. Beheersingsmaatregelen worden ontworpen om aan de volledige set van vaak overlappende criteria te voldoen. Net als bij SOC2 omvat het behalen van SOC2+-compliance het uitvoeren van een risicobeoordeling, het vaststellen van beheersingsmaatregelen en het ondergaan van een audit door externe auditors.
In Nederland is SOC2+ nog relatief onbekend, terwijl het als compliance instrument uitstekende mogelijkheden biedt. Doordat beheersingsmaatregelen één keer door de auditor worden getoetst om aan verschillende standaarden te voldoen, voorkomt u:
- Onnodig veel interviews over vergelijkbare onderwerpen
- Overlappende documentatieverzoeken
- Overlappende rapportages die u aan uw klanten moet toelichten
Meer informatie
Heeft u vragen over dit artikel of wilt u geheel vrijblijvend eens doorpraten met één van onze specialisten? Neem dan gerust contact op via onderstaande button.Neem contact op