Waarom een geïntegreerd HSMS hét antwoord is op certificatie-overlap
Organisaties die tegelijk moeten voldoen aan ISO 27001, ISO 9001, NIS2, DORA én – straks – de Cyber Resilience Act (CRA) dreigen verstrikt te raken in parallelle audits en dubbel werk. Het in MPbv’s recente studiedocument beschreven Holistic Security Management System (HSMS) laat zien dat dit niet hoeft. Het systeem bundelt alle baselines in één raamwerk en legt een “cross-walk” tussen de verschillende wet- en normkaders. Daarmee wordt elke control nog maar één keer uitgevoerd en toch op meerdere certificaten afgerekend.
Objectief – DRY (Don’t Repeat Yourself): leg elk beleid, proces en control in het HSMS precies één keer vast en hergebruik dit vervolgens voor ISO 27001, NIS2, DORA en de CRA. Zo vermijd je redundante documentatie én dubbele audit-inspanning, terwijl de consistentie en traceerbaarheid juist toenemen.
1. Bewijs: 80 % van de CRA-eisen al afgedekt
Uit de cross-walk-analyse blijkt dat circa 80 % van de nieuwe CRA-verplichtingen rechtstreeks kan worden ingevuld met bestaande controls uit ISO 27001, NIS2 en (optioneel) EUCC.
De HSMS-tabel toont bovendien welke structuren al “groen” zijn en waar alleen nog een beperkte GAP resteert – bijvoorbeeld een ontbrekende SBOM-procedure bij Assetbeheer.
Resultaat: één geconsolideerd audit-programma volstaat om tegelijk de NIS2-zorgplicht, ISO-certificatie en (straks) de CRA-conformiteitsverklaring te onderbouwen.
2. Sleutelmaatregelen in het HSMS
| Maatregel | Waarom relevant | Bron in HSMS / CRA |
|---|---|---|
| SBOM-beleid opstellen en automatiseren | Cruciaal voor supply-chain-transparantie en verplichte onderdeling in de CRA | |
| 24-uurs meldplicht formaliseren in het incident-responseplan | Harmoniseert ISO A.6.8 met de kortere CRA- en NIS2-termijnen | |
| Patch-lifecycles verankeren in H7.2 | Voorkomt losse “security updates” en koppelt aan lifecycle-support ≥ 5 jaar | |
| Secure-by-design eisen toevoegen aan het ontwerpbeleid | Slaat de brug tussen ISO-controls en CRA Art. 10 |
Samen vormen deze maatregelen de “quick wins” waarmee overlapping in audits drastisch daalt én het risicoprofiel verbetert.
3. Risicobeheersing als rode draad
Het HSMS hanteert één risico-methodiek (B | I | V) voor álle kaders. Daardoor worden nieuwe CRA-risico’s – zoals ontbrekende SBOM-processen of te trage patching – automatisch meegewogen in de bestaande risicomatrix.
Een geïntegreerd dashboard bespreekt deze risico’s elk kwartaal in het security-overleg en stuurt verbetermaatregelen direct door naar de directie.
4. Management & continu verbeteren
Iedere actie in de actielijst is toegewezen aan een eigenaar, voorzien van een deadline en gekoppeld aan het juiste CRA-artikel. Die aanpak voorkomt “ownerless controls” en maakt planning audit-proof.
Conclusie
Door ISO 27001, ISO 9001, NIS2, DORA en de aankomende CRA in één HSMS te orkestreren – en daarbij de DRY-filosofie strikt toe te passen –
- Verdwijnen dubbele controles en audit-thuiswerk
- Versnelt het oplossen van GAP’s dankzij één heldere actielijst
- Versterkt de governance omdat risico’s centraal gemonitord worden
Voor NIS2-plichtige organisaties is zo’n geïntegreerde aanpak niet alleen efficiënt, maar ook de snelste route naar aantoonbare compliance in 2026 en daarna.
