In 2005 werd de ISO/IEC 27001 gepubliceerd. Daarmee veranderde aanvankelijk amper iets aan het IT landschap. Twintig jaar later kunnen we zonder overdrijven stellen dat de impact van deze certificering wel terdege de makt op zijn kop heeft gezet.
Tot ongeveer 2013, het jaar dat eerste herziening verscheen, was er weinig aan de hand. Grotere organisaties en overheidsdiensten waren hadden oog voor deze standaard voor informatiebeveiliging, dat zorgde echter voor weinig reuring. Tekenend daarvoor is dat er tot 2017 meerdere datacenters in Nederland waren zonder ISO27001.
ISO27001 – een van velen
Dat laatste is ondertussen niet meer het geval. Je moet nu je best doen nog een colo aanbieder te vinden zonder ISO27001 certificering. Ze zijn er overigens wel, maar zijn niet meer representatief voor het aanbod in Nederland. Datacenters hebben ondertussen hele muren vol hangen met rapporten, diploma’s en certificeringen. ISO27001 is een van velen.
Lager in de keten, bij de klanten van datacenters is het beeld zeer gemengd. Grotere IT dienstverleners die colo diensten afnemen voor eigen gebruik of in opdracht van klanten zijn bekend met certificeringen. Waar ze voorheen nog wegkwamen met de opmerking dat ze gebruik maakten van een ISO gecertificeerd datacenter, lukt dat nu nog maar weinig. Onder druk van de klanten hebben ze zelf de investering in geld, tijd en kennis gedaan om zelf gecertificeerd te raken.
NIS2 / DORA
De 27001 is waarschijnlijk de bekendste, het is zeker niet de enige. Evenzo geldt dat het eisenpakket waaraan een datacenter en IT dienstverlener aan moet voldoen steeds verder wordt ingevuld. Afhankelijk van de markt die men bedient hebben de verplichtingen die NIS2 en DORA aan de klanten opleggen gevolgen voor de eigen business.
NIS2 is niet toevallig genoemd. Net als bij de 27001 is nu al duidelijk dat deze door de lengte van de hele keten zal doorwerken. Een datacenter is zelfstandig ISO27001 gecertificeerd, de IT dienstverlener die er rackspace huurt voor zijn klant idem. Die klant zelf mogelijk ook. Enzovoorts. Er hoeft maar een schakel in de lange keten zich genoodzaakt voelen voor ISO27001 te gaan en op termijn is iedereen links en rechts van hem dat ook. Dit gaan we ook meemaken met NIS2.
Het blijft echter niet bij NIS2. Wie goed kijkt naar de ontwikkelingen rond digitale soevereiniteit herkent aanzetten en eerste steppen die we ook bij ISO27001 zagen en sinds kort bij NIS2 zien. Als je klant digitale soevereiniteit wil of moet nastreven dan moet je daar als leverancier in meegaan.
(de foto van Radio Kootwijk is een verwijzing naar Bert Hubert)
