Security &
Compliance
CaaS Consultancy levert hands-on informatiebeveiliging en compliance-advies aan organisaties in de financiële sector, energiesector en technologie. We helpen je navigeren door DORA, NIS2/Cbw en ISO 27001 zonder afhankelijkheid te creëren. Of je nu een vCISO nodig hebt, een gestructureerd compliance-traject of een TPRM-programma. Wij werken naast je team aan oplossingen die stand houden in de praktijk.
Virtual CISO (vCISO)
De meeste organisaties hebben behoefte aan senior beveiligingsleiderschap, maar weinigen kunnen een fulltime CISO rechtvaardigen. Een virtual CISO vult die lacune en levert het strategisch eigenaarschap dat je organisatie nodig heeft.
Wat CaaS vCISO-opdrachten omvatten: het opstellen en onderhouden van je informatiebeveiligingsstrategie, het bouwen of volwassen maken van je ISMS, het overzien van risicobeheer en beveiligingsreviews, optreden als aanspreekpunt voor toezichthouders en auditors, en het begeleiden van je team door compliance-trajecten en incidenten.
In tegenstelling tot puur adviesgerichte vCISO-modellen is CaaS standaard hands-on. We produceren geen strategiedocument en vertrekken. We werken met je team om het te implementeren.
Voor wie: Financiële entiteiten onder DORA zonder toegewijde CISO. Energie- en kritieke infrastructuuroperators. SaaS-bedrijven en digitale platforms die hun beveiligingsprogramma opschalen. Organisaties die zich voorbereiden op ISO 27001-certificering.
DORA-compliance
De Digital Operational Resilience Act (DORA) is van toepassing op financiële entiteiten in de EU, waaronder banken, verzekeraars, beleggingsondernemingen, aanbieders van cryptodiensten en betaalinstellingen, en hun kritieke ICT-derde partijen.
Wat DORA vereist: een ICT-risicobeheerkader, incidentclassificatie en -rapportage, testen van digitale operationele weerbaarheid, ICT-risicobeheerprogramma voor derde partijen (TPRM) en informatiedelingsregelingen.
CaaS benadert DORA pragmatisch: we beginnen met een gap-analyse op basis van de reguleringstechnische standaarden, prioriteren de gaps die het meeste risico opleveren, en bouwen een programma dat past bij de omvang en complexiteit van jouw organisatie. We verkopen DORA-compliance niet als one-size-fits-all pakket.
Voor wie: Financiële entiteiten onder DORA die actief zijn in Nederland of de EU. ICT-aanbieders aan financiële entiteiten. PE-portfoliobedrijven met blootstelling aan financiële diensten.
NIS2 / Cyberbeveiligingswet (Cbw)
De NIS2-richtlijn is in Nederlands recht omgezet via de Cyberbeveiligingswet (Cbw). De wet is van toepassing op essentiële en belangrijke entiteiten in kritieke sectoren, waaronder energie, transport, water, digitale infrastructuur, ICT-dienstverlening en meer.
Wat NIS2/Cbw vereist: bestuursaansprakelijkheid op bestuursniveau, risicobeheermaatregelen, incidentmeldingsverplichtingen, supply chain-beveiliging en regelmatige cybersecurityreviews.
CaaS helpt je bepalen of en hoe NIS2 op jouw organisatie van toepassing is, beoordeelt je huidige situatie ten opzichte van de vereisten en bouwt een praktisch compliance-programma. We besteden bijzondere aandacht aan OT-security governance voor klanten in de energiesector.
Voor wie: Netbeheerders, energieproducenten, wind- en zonne-energieoperators. Waterbeheerorganisaties. Aanbieders van digitale infrastructuur en ICT-diensten. Elke organisatie die vermoedt dat ze in scope valt maar dit niet zeker weet.
ISO 27001 / ISMS
ISO 27001-certificering laat klanten, partners en toezichthouders zien dat jouw organisatie informatiebeveiliging serieus neemt. Maar de weg naar certificering is vaak langer en zwaarder dan verwacht, zeker als je ISMS alleen op papier bestaat.
CaaS benadert ISO 27001 pragmatisch: we helpen je een ISMS bouwen dat werkt in je dagelijkse operaties, niet alleen een dat een audit doorstaat. Dat betekent beleid en procedures die aansluiten op jouw werkelijke risicoprofiel, realistische risicobehandelplannen, en medewerkersbetrokkenheid die geen oogballen doet draaien.
Wat we leveren: gap-analyse, risicoregister, ISMS-documentatie, ondersteuning bij controlemplementatie, voorbereiding op interne audit en begeleiding door de certificering. We ondersteunen ook organisaties die bestaande certificeringen onderhouden via een vCISO- of adviesretainer.
Third-Party Risk Management (TPRM)
Je leveranciers en partners maken deel uit van jouw risicolandschap. Toezichthouders, via DORA, NIS2 en DNB-richtlijnen, eisen steeds vaker formeel risicobeheer van derde partijen. Maar de meeste TPRM-programma's zijn óf te licht om auditors te overtuigen, óf zo zwaar dat ze niet zijn bij te houden.
CaaS bouwt TPRM-programma's die zijn afgestemd op jouw organisatie en regelgevende context. We maken gebruik van Riskly, ons eigen TPRM-platform, om het proces efficiënt en auditeerbaar te maken zonder dat je inkoopteam compliance-officer hoeft te worden.
Wat we leveren: leveranciersoverzicht en -classificatie, risicobeoordelingskader, due diligence-vragenlijsten, opzet van continue monitoring, contractclausuletoetsing en ondersteuning bij regelgevingsrapportage.
Security Awareness
De meeste beveiligingsincidenten hebben menselijk gedrag als factor. Bewustwordingsprogramma's die bestaan uit jaarlijkse e-learning en een phishingsimulatie veranderen dat zelden. We ontwerpen bewustwordingsprogramma's die gedrag écht veranderen, gebaseerd op wat jouw teams dagelijks doen en waar de werkelijke risico's zitten.
Wat we leveren: risicogebaseerd bewustwordingsprogramma, gerichte training voor hoogrisicofuncties, phishingsimulatie en -analyse, communicatiemateriaal en integratie met je ISMS en incidentresponsproces.
Veelgestelde vragen
Hoe lang duurt DORA-compliance?
Voor de meeste financiële entiteiten die onder DORA vallen, duurt het behalen van een solide compliance-basis 3 tot 6 maanden. De tijdlijn hangt sterk af van je startpunt, de complexiteit van je ICT-supply chain en de volwassenheid van je bestaande informatiebeveiligingspraktijken. CaaS begint doorgaans met een gap-analyse om een realistische roadmap op te stellen, waarna we met je team de kritieke gaps als eerste dichten.
Moeten micro-ondernemingen volledig aan DORA voldoen?
Micro-ondernemingen (minder dan 10 medewerkers en een jaaromzet of balanstotaal onder €2 miljoen) vallen onder een vereenvoudigd DORA-regime. Ze zijn vrijgesteld van bepaalde verplichtingen, waaronder onafhankelijke ICT-risicobeoordelingen en bepaalde incidentrapportageverplichtingen, maar moeten wel voldoen aan de kernbeginselen van ICT-risicobeheer en bedrijfscontinuïteit. Wij helpen je precies te bepalen wat op jouw organisatie van toepassing is.
Wat doet een vCISO precies?
Een virtual CISO (vCISO) levert het strategisch beveiligingsleiderschap dat de meeste organisaties nodig hebben, maar waarvoor ze geen fulltime CISO kunnen rechtvaardigen. In de praktijk betekent dit: het opstellen en bewaken van je informatiebeveiligingsstrategie, het bouwen en onderhouden van je ISMS, optreden als aanspreekpunt voor toezichthouders en auditors, het overzien van risicobeheer, en het begeleiden van je team door compliance-trajecten en incidenten. CaaS vCISO-opdrachten zijn altijd hands-on. We overhandigen geen framework en laten je ermee zitten.
Wat onderscheidt CaaS van een big four kantoor?
De big four brengen schaal en naamsbekendheid. Ze brengen ook hoge dagtarieven mee, grote teams van junior consultants en deliverables die vaak in een la belanden. CaaS brengt seniorexpertise direct naar je project, zonder junior buffers en opgeblazen teams. We werken naast jouw mensen, bouwen oplossingen die passen bij jouw context, en laten je sterker achter dan we aantroffen. Geen afhankelijkheid is een kenmerk, geen bug.
In welke sectoren werken jullie op het gebied van security en compliance?
Onze primaire focusgebieden zijn finance (private equity, vermogensbeheerders, banken, betaalinstellingen die onder DORA vallen), energietransitie (netbeheerders, energieproducenten, wind- en zonne-energieoperators die onder NIS2/Cbw vallen) en online technologie (SaaS-bedrijven, digitale platforms, scale-ups die ISO 27001 of SOC 2 nastreven). We werken ook in andere sectoren waar relevante regelgeving of risicogestuurde behoefte bestaat.
Laten we het hebben over jouw compliance-situatie
Of je nu een concrete vraag hebt of een vaag gevoel van zorg, de beste eerste stap is een direct gesprek. Geen verplichtingen, geen verkoopverhaal.