CYBERSECURITY BEWIJSMAP VOOR LEVERANCIERS

Klant vraagt om securitybewijs? Zet alles klaar in één Cybersecurity Bewijsmap.

Geen NIS2-certificaat of complianceclaim. Wel herbruikbaar bewijs voor klantvragen, SC10/SC20, vendor assessments en aanbestedingen — met antwoorden, bewijsstukken, open punten en roadmap.

Voor leveranciers met vragen over NIS2/Cbw, ISO 27001, MFA, back-ups, incidenten of leveranciersbeheer.

Alleen één concrete vragenlijst? Bekijk Securityvragenlijst Hulp vanaf €1.500.

We behandelen je aanvraag vertrouwelijk en gebruiken je informatie alleen om je situatie te beoordelen. InstantSecure is geen auditor en verstrekt geen certificaat.

Voorbeeld inhoud Bewijsmap

  • Antwoorden op klantvragen
  • Evidence index
  • MFA / back-up / incidentbewijs
  • Open punten en roadmap
  • Klantklare samenvatting

Vanaf €3.950 voor een Bewijsmap Sprint

Snelle uitleg

Wat is een Cybersecurity Bewijsmap?

Kort gezegd: een Bewijsmap is geen certificaat, maar een praktisch dossier waarmee je als leverancier laat zien welke securitymaatregelen je hebt, welk bewijs daarbij hoort en welke verbeterpunten nog openstaan.

De Bewijsmap is vooral bedoeld voor situaties waarin klanten proportioneel bewijs willen zien: welke maatregelen zijn ingericht, welk bewijs bestaat en welke verbeterpunten staan op de roadmap. Het is geen vervanging van ISO 27001 als een certificaat formeel verplicht is.

Hoewel klanten dit vaak koppelen aan NIS2, is de Bewijsmap breder inzetbaar: voor securityvragenlijsten, vendor assessments, aanbestedingen, SC10/SC20, cyberverzekeringen en jaarlijkse leveranciersbeoordelingen. Geen ISO 27001, maar wel klantbewijs nodig?

Het doel is simpel: sneller en eerlijker kunnen antwoorden zonder meer te beloven dan je kunt onderbouwen.

Een Bewijsmap is geen auditverklaring. Het is een praktische structuur om klantbewijs op orde te brengen.

Voor wie is een Bewijsmap bedoeld?

Voor leveranciers die niet steeds opnieuw willen zoeken naar documenten, screenshots en antwoorden wanneer een klant om securitybewijs vraagt.

Leveranciers zonder ISO 27001-certificaat

Voor organisaties waarvoor ISO nog te zwaar is, maar die wel professioneel willen aantonen wat zij al hebben geregeld.

IT-, SaaS- en MSP-leveranciers

Voor partijen die software, cloud, beheer, support of toegang tot klantomgevingen leveren.

HR, payroll en backoffice

Voor dienstverleners die persoonsgegevens, portals of administratieve processen beheren.

Zorgleveranciers

Voor leveranciers die werken met zorgdata, zorgprocessen, NEN 7510-taal of hoge continuïteitseisen.

Gemeente- en overheidsleveranciers

Voor organisaties die via aanbestedingen of contracten vragen krijgen over informatiebeveiliging, BIO/BIO2 of ketenrisico.

Logistiek, techniek en facilitair

Voor leveranciers die door grote klanten of aanbestedingen steeds vaker securityvragen krijgen.

Cyberverzekering en financiering

Voor organisaties die securitymaatregelen moeten onderbouwen richting verzekeraar, bank, accountant of financier.

Twijfel je of dit relevant is? Als een klant om securitybewijs vraagt, is een Bewijsmap vaak een logische eerste stap. Bekijk ook voor wie we werken.

Hoofdaanbod

Bewijsmap Sprint

Voor leveranciers die hun klantbewijs structureel willen ordenen en hergebruiken bij securityvragenlijsten, vendor assessments, aanbestedingen en SC10/SC20-klantvragen.

Vanaf €3.950 excl. btw

Voor één concrete vragenlijst is Securityvragenlijst Hulp vaak sneller. De Bewijsmap Sprint is bedoeld als je antwoorden en bewijs vaker wilt hergebruiken.

Inclusief

  • Intake op klantvragen en risicoprofiel
  • Evidence index
  • Antwoordbibliotheek v1
  • Basisdocumenten
  • Bewijsstukken per thema
  • Gaps en open punten
  • Roadmap
  • Klantklare samenvatting

Wat zit er in de Bewijsmap?

De inhoud verschilt per organisatie, klant en risicoprofiel. Toch bestaat een praktische Bewijsmap meestal uit dezelfde bouwblokken.

Antwoordbibliotheek

Herbruikbare antwoorden op veelvoorkomende klantvragen, afgestemd op wat je echt kunt aantonen.

Evidence index

Een overzicht per klantvraag of eis: welk bewijsstuk hoort erbij, waar staat het en wie is eigenaar?

Bewijsstukken

Documenten, screenshots, exports, procedures en verslagen die laten zien wat is ingericht.

Gaps en open punten

Wat nog niet op orde is, wordt zichtbaar gemaakt zonder het mooier te maken dan het is.

Roadmap

Concrete vervolgstappen met prioriteit, eigenaar en verwachte aanpak.

Klantklare samenvatting

Een compacte uitleg die je kunt gebruiken richting klant, inkoop, securityteam of verzekeraar.

Wat is de Bewijsmap niet?

Geen certificaat, geen auditverklaring en geen score die meer belooft dan je kunt laten zien.

Geen vervanging van verplicht ISO 27001-certificaat

Als een aanbesteding of contract een geldig certificaat binnen scope verplicht stelt, vervangt een Bewijsmap dat niet.

Geen ISO 27001-certificering

ISO is een apart traject. Een Bewijsmap ordent wel je bestaande maatregelen en bewijs.

Geen auditverklaring

Assurance komt van een onafhankelijke partij — niet van InstantSecure.

Geen scoretool

Geen self-assessment die meer belooft dan je kunt laten zien.

Geen compliance-claim

We tonen wat aantoonbaar is — en wat nog openstaat.

Voorbeeldstructuur van een Bewijsmap

Een Bewijsmap moet simpel genoeg zijn om te gebruiken en stevig genoeg om klantvragen te onderbouwen.

Organisatie & verantwoordelijkheid

Securityverantwoordelijke, beleid, scope en betrokkenheid van management.

Toegang & identiteit

MFA, autorisaties, uitdiensttreding en periodieke rechtencontrole.

Back-ups & continuïteit

Back-upbeleid, restore-test en herstelafspraken voor kritieke systemen.

Incidenten & meldingen

Incidentprocedure, contactpersonen, escalatie en klantcommunicatie.

Leveranciers & cloud

Leveranciersregister, kritieke cloudpartijen en contractafspraken.

Training & bewustwording

Awarenessmateriaal, phishingoefeningen en deelnamebewijs.

Logging & monitoring

Logbronnen, monitoringafspraken en opvolging van meldingen.

Hoe sluit de Bewijsmap aan op SC10 en SC20?

SC10 en SC20 helpen bepalen welke maatregelen relevant zijn. Klanten stellen vaak ook eigen eisen — daarom richten we de Bewijsmap op herbruikbaar klantbewijs, niet op één checklist.

SC10 als basis

Voor leveranciers met een lager risicoprofiel kan SC10 helpen om basismaatregelen en bewijs op orde te brengen.

SC20 bij meer risico

Als je toegang hebt tot gevoelige data, systemen of kritieke processen, kan een klant zwaardere eisen stellen.

Klantvraag blijft leidend

Sommige klanten gebruiken eigen vragenlijsten of portals. De Bewijsmap helpt om ook die vragen onderbouwd te beantwoorden.

NIS2/Cbw en SC10/SC20 leveranciersroute

Word je als leverancier gevraagd om NIS2/Cbw, SC10/SC20 of cybersecuritymaatregelen aantoonbaar te maken? Dan helpen we eerst bepalen wat er precies gevraagd wordt: directe wettelijke verplichting, klant-/keteneis, aanbestedingseis of voorbereiding op externe toetsing. We begeleiden je bij het vertalen van eisen naar maatregelen, bewijsstukken, open punten en roadmap. Waar certificering of externe toetsing nodig is, bereiden we je praktisch voor — certificering of assurance gebeurt door een onafhankelijke partij.

  • Scope: directe NIS2/Cbw-plicht of klant-/keteneis
  • Kader: SC10, SC20, vragenlijst of klantportaal
  • Gap en bewijs op maatregelen
  • Technische quick wins via MSP of InstantIT
  • Voorbereiding op externe toetsing — geen certificering door ons
Bespreek NIS2/SC10/SC20 leveranciersroute

Voorbeelden van bewijsstukken

Een klant wil meestal niet alleen een antwoord, maar onderbouwing. Dit zijn voorbeelden van bewijsstukken die vaak terugkomen.

  • MFA / toegang

    Mogelijk bewijs

    Screenshot of export van MFA/Conditional Access

    Waarvoor gebruikt?

    Onderbouwing van toegangsbeveiliging

  • Back-ups

    Mogelijk bewijs

    Back-upbeleid + restore-testverslag

    Waarvoor gebruikt?

    Aantonen dat herstel is ingericht en getest

  • Incidenten

    Mogelijk bewijs

    Incidentprocedure met rollen en contactpersonen

    Waarvoor gebruikt?

    Aantonen dat incidenten worden gemeld en opgevolgd

  • Leveranciers

    Mogelijk bewijs

    Leveranciersregister met risicoclassificatie

    Waarvoor gebruikt?

    Aantonen dat ketenpartners in beeld zijn

  • Toegangsbeheer

    Mogelijk bewijs

    Joiner/mover/leaver-procedure of autorisatiematrix

    Waarvoor gebruikt?

    Aantonen dat rechten worden beheerd

  • Training

    Mogelijk bewijs

    Awarenessmateriaal of deelnameoverzicht

    Waarvoor gebruikt?

    Aantonen dat medewerkers instructie krijgen

  • Logging

    Mogelijk bewijs

    Beschrijving van logging en monitoring

    Waarvoor gebruikt?

    Aantonen dat gebeurtenissen worden vastgelegd en opgevolgd

  • Beleid

    Mogelijk bewijs

    Kort informatiebeveiligingsbeleid

    Waarvoor gebruikt?

    Aantonen dat afspraken formeel zijn vastgelegd

Niet elk bewijsstuk hoeft zwaar te zijn. Het moet vooral passen bij de vraag, je risico en wat je organisatie werkelijk doet.

Bewijsmap, SC10/SC20, ISO 27001 of audit?

Welke route past bij jouw situatie?

Bewijsmap

Klanten vragen securitybewijs; je wilt antwoorden en documenten hergebruiken

SC10/SC20

Een klant vraagt expliciet om SC10, SC20 of NIS2 Supply Chain

ISO 27001

Je markt of aanbesteding vraagt formele certificering

Self-assessment

Een eerste interne of klantindicatie volstaat

Audit

Als externe assurance of formele controle verplicht is

InstantSecure certificeert niet en geeft geen auditverklaring. Meer trajecten? Bekijk alle diensten.

Zo bouwen we je Bewijsmap op

We starten niet met een dik rapport, maar met de klantvragen en bewijsstukken die voor jouw organisatie relevant zijn.

1

Intake & scope

We bepalen voor welke klanten, vragenlijsten, sectoren of SC10/SC20-eisen de Bewijsmap bedoeld is.

2

Bestaand bewijs verzamelen

We kijken welke documenten, screenshots, procedures en exports al beschikbaar zijn.

3

Evidence index opzetten

We koppelen vragen en eisen aan bewijsstukken, eigenaar, status en open punten.

4

Antwoorden normaliseren

Veelgebruikte antwoorden worden helder, veilig en herbruikbaar geformuleerd.

5

Gaps en roadmap bepalen

Wat ontbreekt, krijgt prioriteit en vervolgstap. Niet alles hoeft direct perfect te zijn.

6

Oplevering en hergebruik

Je krijgt een werkbare structuur die je kunt gebruiken bij klantvragen, vendor assessments en aanbestedingen.

Wat als nog niet alles op orde is?

Dat is normaal. Veel leveranciers hebben al maatregelen, maar niet alles is vastgelegd of getest. De Bewijsmap is juist bedoeld om onderscheid te maken tussen aanwezig, gedeeltelijk aanwezig, ontbreekt en roadmap.

Aanwezig

Er is bewijs beschikbaar en het antwoord kan goed worden onderbouwd.

Gedeeltelijk

De maatregel bestaat deels, maar scope, bewijs of borging moet worden aangescherpt.

Ontbreekt

De maatregel of onderbouwing is er nog niet. Dit moet eerlijk worden benoemd.

Roadmap

Er is een concreet verbeterpunt met vervolgstap, eigenaar of planning.

Een eerlijke roadmap is vaak beter dan een harde claim zonder bewijs.

Voorbeeld-output

Voorbeeld van wat we opleveren

Geen los rapport dat in een map verdwijnt. De output moet bruikbaar zijn bij klantvragen, interne opvolging en hergebruik.

KlantvraagStatusAntwoordBewijsRoadmap
Is MFA verplicht voor alle gebruikers?GedeeltelijkMFA is actief voor beheerders en Microsoft 365. Uitrol naar overige kritieke applicaties staat op de roadmap.Conditional Access screenshot, MFA-export, uitrolplanningMFA-scope uitbreiden naar alle kritieke applicaties
Worden back-ups periodiek getest?RoadmapBack-ups zijn ingericht. Een formele restore-test is nog niet aantoonbaar uitgevoerd.Back-upbeleid aanwezig, restore-testverslag ontbreektRestore-test plannen en vastleggen
Is er een incidentprocedure?AanwezigEr is een incidentprocedure met rollen, contactpersonen en escalatiestappen.Incidentprocedure PDF met versiedatumJaarlijkse reviewdatum toevoegen
Worden leveranciers beoordeeld?GedeeltelijkKritieke leveranciers zijn bekend, maar risicoclassificatie en periodieke beoordeling moeten worden aangescherpt.Leverancierslijst aanwezigLeveranciersregister uitbreiden met classificatie en reviewdatum

Illustratief voorbeeld — per klant en situatie verschillen vragen en bewijsstukken.

Veelgestelde vragen over de Cybersecurity Bewijsmap

Nee. Een Bewijsmap is geen certificaat en geen auditverklaring. Het is een praktisch bewijsdossier waarmee je als leverancier laat zien welke maatregelen je hebt, welk bewijs daarbij hoort en welke punten nog openstaan.

Kennisbank

Verder lezen in de kennisbank

Praktische uitleg bij klantvragen, bewijsstukken en veilige formuleringen.

Klaar om je klantbewijs herbruikbaar te maken?

Stuur je klantvraag, vragenlijst of SC10/SC20-eis door. We kijken welke Bewijsmap-aanpak past en wat de eerste logische stap is.

We behandelen je aanvraag vertrouwelijk en gebruiken je informatie alleen om je situatie te beoordelen.

Alleen één concrete vragenlijst? Bekijk Securityvragenlijst Hulp vanaf €1.500