Leveranciers zonder ISO 27001-certificaat
Voor organisaties waarvoor ISO nog te zwaar is, maar die wel professioneel willen aantonen wat zij al hebben geregeld.
Geen NIS2-certificaat of complianceclaim. Wel herbruikbaar bewijs voor klantvragen, SC10/SC20, vendor assessments en aanbestedingen — met antwoorden, bewijsstukken, open punten en roadmap.
Voor leveranciers met vragen over NIS2/Cbw, ISO 27001, MFA, back-ups, incidenten of leveranciersbeheer.
Alleen één concrete vragenlijst? Bekijk Securityvragenlijst Hulp vanaf €1.500.
We behandelen je aanvraag vertrouwelijk en gebruiken je informatie alleen om je situatie te beoordelen. InstantSecure is geen auditor en verstrekt geen certificaat.
Vanaf €3.950 voor een Bewijsmap Sprint
Kort gezegd: een Bewijsmap is geen certificaat, maar een praktisch dossier waarmee je als leverancier laat zien welke securitymaatregelen je hebt, welk bewijs daarbij hoort en welke verbeterpunten nog openstaan.
De Bewijsmap is vooral bedoeld voor situaties waarin klanten proportioneel bewijs willen zien: welke maatregelen zijn ingericht, welk bewijs bestaat en welke verbeterpunten staan op de roadmap. Het is geen vervanging van ISO 27001 als een certificaat formeel verplicht is.
Hoewel klanten dit vaak koppelen aan NIS2, is de Bewijsmap breder inzetbaar: voor securityvragenlijsten, vendor assessments, aanbestedingen, SC10/SC20, cyberverzekeringen en jaarlijkse leveranciersbeoordelingen. Geen ISO 27001, maar wel klantbewijs nodig?
Het doel is simpel: sneller en eerlijker kunnen antwoorden zonder meer te beloven dan je kunt onderbouwen.
Een Bewijsmap is geen auditverklaring. Het is een praktische structuur om klantbewijs op orde te brengen.
Voor leveranciers die niet steeds opnieuw willen zoeken naar documenten, screenshots en antwoorden wanneer een klant om securitybewijs vraagt.
Voor organisaties waarvoor ISO nog te zwaar is, maar die wel professioneel willen aantonen wat zij al hebben geregeld.
Voor partijen die software, cloud, beheer, support of toegang tot klantomgevingen leveren.
Voor dienstverleners die persoonsgegevens, portals of administratieve processen beheren.
Voor leveranciers die werken met zorgdata, zorgprocessen, NEN 7510-taal of hoge continuïteitseisen.
Voor organisaties die via aanbestedingen of contracten vragen krijgen over informatiebeveiliging, BIO/BIO2 of ketenrisico.
Voor leveranciers die door grote klanten of aanbestedingen steeds vaker securityvragen krijgen.
Voor organisaties die securitymaatregelen moeten onderbouwen richting verzekeraar, bank, accountant of financier.
Twijfel je of dit relevant is? Als een klant om securitybewijs vraagt, is een Bewijsmap vaak een logische eerste stap. Bekijk ook voor wie we werken.
Voor leveranciers die hun klantbewijs structureel willen ordenen en hergebruiken bij securityvragenlijsten, vendor assessments, aanbestedingen en SC10/SC20-klantvragen.
Vanaf €3.950 excl. btw
Voor één concrete vragenlijst is Securityvragenlijst Hulp vaak sneller. De Bewijsmap Sprint is bedoeld als je antwoorden en bewijs vaker wilt hergebruiken.
De inhoud verschilt per organisatie, klant en risicoprofiel. Toch bestaat een praktische Bewijsmap meestal uit dezelfde bouwblokken.
Herbruikbare antwoorden op veelvoorkomende klantvragen, afgestemd op wat je echt kunt aantonen.
Een overzicht per klantvraag of eis: welk bewijsstuk hoort erbij, waar staat het en wie is eigenaar?
Documenten, screenshots, exports, procedures en verslagen die laten zien wat is ingericht.
Wat nog niet op orde is, wordt zichtbaar gemaakt zonder het mooier te maken dan het is.
Concrete vervolgstappen met prioriteit, eigenaar en verwachte aanpak.
Een compacte uitleg die je kunt gebruiken richting klant, inkoop, securityteam of verzekeraar.
Geen certificaat, geen auditverklaring en geen score die meer belooft dan je kunt laten zien.
Als een aanbesteding of contract een geldig certificaat binnen scope verplicht stelt, vervangt een Bewijsmap dat niet.
ISO is een apart traject. Een Bewijsmap ordent wel je bestaande maatregelen en bewijs.
Assurance komt van een onafhankelijke partij — niet van InstantSecure.
Geen self-assessment die meer belooft dan je kunt laten zien.
We tonen wat aantoonbaar is — en wat nog openstaat.
Een Bewijsmap moet simpel genoeg zijn om te gebruiken en stevig genoeg om klantvragen te onderbouwen.
Securityverantwoordelijke, beleid, scope en betrokkenheid van management.
MFA, autorisaties, uitdiensttreding en periodieke rechtencontrole.
Back-upbeleid, restore-test en herstelafspraken voor kritieke systemen.
Incidentprocedure, contactpersonen, escalatie en klantcommunicatie.
Leveranciersregister, kritieke cloudpartijen en contractafspraken.
Awarenessmateriaal, phishingoefeningen en deelnamebewijs.
Logbronnen, monitoringafspraken en opvolging van meldingen.
SC10 en SC20 helpen bepalen welke maatregelen relevant zijn. Klanten stellen vaak ook eigen eisen — daarom richten we de Bewijsmap op herbruikbaar klantbewijs, niet op één checklist.
Voor leveranciers met een lager risicoprofiel kan SC10 helpen om basismaatregelen en bewijs op orde te brengen.
Als je toegang hebt tot gevoelige data, systemen of kritieke processen, kan een klant zwaardere eisen stellen.
Sommige klanten gebruiken eigen vragenlijsten of portals. De Bewijsmap helpt om ook die vragen onderbouwd te beantwoorden.
Word je als leverancier gevraagd om NIS2/Cbw, SC10/SC20 of cybersecuritymaatregelen aantoonbaar te maken? Dan helpen we eerst bepalen wat er precies gevraagd wordt: directe wettelijke verplichting, klant-/keteneis, aanbestedingseis of voorbereiding op externe toetsing. We begeleiden je bij het vertalen van eisen naar maatregelen, bewijsstukken, open punten en roadmap. Waar certificering of externe toetsing nodig is, bereiden we je praktisch voor — certificering of assurance gebeurt door een onafhankelijke partij.
Een klant wil meestal niet alleen een antwoord, maar onderbouwing. Dit zijn voorbeelden van bewijsstukken die vaak terugkomen.
| Thema | Mogelijk bewijs | Waarvoor gebruikt? |
|---|---|---|
| MFA / toegang | Screenshot of export van MFA/Conditional Access | Onderbouwing van toegangsbeveiliging |
| Back-ups | Back-upbeleid + restore-testverslag | Aantonen dat herstel is ingericht en getest |
| Incidenten | Incidentprocedure met rollen en contactpersonen | Aantonen dat incidenten worden gemeld en opgevolgd |
| Leveranciers | Leveranciersregister met risicoclassificatie | Aantonen dat ketenpartners in beeld zijn |
| Toegangsbeheer | Joiner/mover/leaver-procedure of autorisatiematrix | Aantonen dat rechten worden beheerd |
| Training | Awarenessmateriaal of deelnameoverzicht | Aantonen dat medewerkers instructie krijgen |
| Logging | Beschrijving van logging en monitoring | Aantonen dat gebeurtenissen worden vastgelegd en opgevolgd |
| Beleid | Kort informatiebeveiligingsbeleid | Aantonen dat afspraken formeel zijn vastgelegd |
MFA / toegang
Mogelijk bewijs
Screenshot of export van MFA/Conditional Access
Waarvoor gebruikt?
Onderbouwing van toegangsbeveiliging
Back-ups
Mogelijk bewijs
Back-upbeleid + restore-testverslag
Waarvoor gebruikt?
Aantonen dat herstel is ingericht en getest
Incidenten
Mogelijk bewijs
Incidentprocedure met rollen en contactpersonen
Waarvoor gebruikt?
Aantonen dat incidenten worden gemeld en opgevolgd
Leveranciers
Mogelijk bewijs
Leveranciersregister met risicoclassificatie
Waarvoor gebruikt?
Aantonen dat ketenpartners in beeld zijn
Toegangsbeheer
Mogelijk bewijs
Joiner/mover/leaver-procedure of autorisatiematrix
Waarvoor gebruikt?
Aantonen dat rechten worden beheerd
Training
Mogelijk bewijs
Awarenessmateriaal of deelnameoverzicht
Waarvoor gebruikt?
Aantonen dat medewerkers instructie krijgen
Logging
Mogelijk bewijs
Beschrijving van logging en monitoring
Waarvoor gebruikt?
Aantonen dat gebeurtenissen worden vastgelegd en opgevolgd
Beleid
Mogelijk bewijs
Kort informatiebeveiligingsbeleid
Waarvoor gebruikt?
Aantonen dat afspraken formeel zijn vastgelegd
Niet elk bewijsstuk hoeft zwaar te zijn. Het moet vooral passen bij de vraag, je risico en wat je organisatie werkelijk doet.
Welke route past bij jouw situatie?
Klanten vragen securitybewijs; je wilt antwoorden en documenten hergebruiken
Een klant vraagt expliciet om SC10, SC20 of NIS2 Supply Chain
Je markt of aanbesteding vraagt formele certificering
Een eerste interne of klantindicatie volstaat
Als externe assurance of formele controle verplicht is
InstantSecure certificeert niet en geeft geen auditverklaring. Meer trajecten? Bekijk alle diensten.
We starten niet met een dik rapport, maar met de klantvragen en bewijsstukken die voor jouw organisatie relevant zijn.
We bepalen voor welke klanten, vragenlijsten, sectoren of SC10/SC20-eisen de Bewijsmap bedoeld is.
We kijken welke documenten, screenshots, procedures en exports al beschikbaar zijn.
We koppelen vragen en eisen aan bewijsstukken, eigenaar, status en open punten.
Veelgebruikte antwoorden worden helder, veilig en herbruikbaar geformuleerd.
Wat ontbreekt, krijgt prioriteit en vervolgstap. Niet alles hoeft direct perfect te zijn.
Je krijgt een werkbare structuur die je kunt gebruiken bij klantvragen, vendor assessments en aanbestedingen.
Dat is normaal. Veel leveranciers hebben al maatregelen, maar niet alles is vastgelegd of getest. De Bewijsmap is juist bedoeld om onderscheid te maken tussen aanwezig, gedeeltelijk aanwezig, ontbreekt en roadmap.
Er is bewijs beschikbaar en het antwoord kan goed worden onderbouwd.
De maatregel bestaat deels, maar scope, bewijs of borging moet worden aangescherpt.
De maatregel of onderbouwing is er nog niet. Dit moet eerlijk worden benoemd.
Er is een concreet verbeterpunt met vervolgstap, eigenaar of planning.
Een eerlijke roadmap is vaak beter dan een harde claim zonder bewijs.
Verder lezen
Veel klanten starten met één concrete vraag. Deze pagina's helpen je sneller de juiste aanpak te kiezen.
Eén concrete vragenlijst invullen met veilige antwoorden en bewijs.
Securityvragenlijst invullenKlant beoordeelt jullie als leverancier — antwoorden en herbruikbaar klantbewijs.
Vendor assessment hulpKlant noemt ISO — bepalen wat verplicht is en wat je wél kunt tonen.
Geen ISO 27001, wel bewijsSecurity-eisen in tender beoordelen, bewijs koppelen, verdedigbaar formuleren.
Aanbesteding informatiebeveiligingGeen los rapport dat in een map verdwijnt. De output moet bruikbaar zijn bij klantvragen, interne opvolging en hergebruik.
| Klantvraag | Status | Antwoord | Bewijs | Roadmap |
|---|---|---|---|---|
| Is MFA verplicht voor alle gebruikers? | Gedeeltelijk | MFA is actief voor beheerders en Microsoft 365. Uitrol naar overige kritieke applicaties staat op de roadmap. | Conditional Access screenshot, MFA-export, uitrolplanning | MFA-scope uitbreiden naar alle kritieke applicaties |
| Worden back-ups periodiek getest? | Roadmap | Back-ups zijn ingericht. Een formele restore-test is nog niet aantoonbaar uitgevoerd. | Back-upbeleid aanwezig, restore-testverslag ontbreekt | Restore-test plannen en vastleggen |
| Is er een incidentprocedure? | Aanwezig | Er is een incidentprocedure met rollen, contactpersonen en escalatiestappen. | Incidentprocedure PDF met versiedatum | Jaarlijkse reviewdatum toevoegen |
| Worden leveranciers beoordeeld? | Gedeeltelijk | Kritieke leveranciers zijn bekend, maar risicoclassificatie en periodieke beoordeling moeten worden aangescherpt. | Leverancierslijst aanwezig | Leveranciersregister uitbreiden met classificatie en reviewdatum |
Illustratief voorbeeld — per klant en situatie verschillen vragen en bewijsstukken.
Nee. Een Bewijsmap is geen certificaat en geen auditverklaring. Het is een praktisch bewijsdossier waarmee je als leverancier laat zien welke maatregelen je hebt, welk bewijs daarbij hoort en welke punten nog openstaan.
Nee. SC10 en SC20 zijn kaders met maatregelen. De Bewijsmap helpt om antwoorden, bewijsstukken en open punten rond zulke klantvragen te ordenen.
Niet altijd. Als een klant formele certificering vraagt, is ISO 27001 een apart traject. Als een klant vooral bewijs van maatregelen wil zien, kan een Bewijsmap een logische eerste stap zijn.
Meestal bevat de Bewijsmap een evidence index, antwoordbibliotheek, bewijsstukken, open punten en een roadmap. De exacte inhoud hangt af van je klantvragen en risicoprofiel.
InstantSecure richt zich primair op antwoorden, bewijs en structuur. Technische quick wins kunnen worden afgestemd met je bestaande IT-partner, MSP of uitvoerende partij.
Dan gebruiken we de klantvraag als uitgangspunt. De Bewijsmap is niet beperkt tot één norm of checklist, maar bedoeld om klantbewijs herbruikbaar te maken.
Een eerste Bewijsmap Sprint kan vaak in enkele weken worden opgezet, afhankelijk van scope, beschikbare documenten en snelheid van aanlevering.
Voor organisaties die direct een formeel certificaat of onafhankelijke assurance nodig hebben. In dat geval is een auditor of certificerende instelling passender.
Kennisbank
Praktische uitleg bij klantvragen, bewijsstukken en veilige formuleringen.
NIS2/Cbw en leveranciersKrijg je als leverancier NIS2- of Cbw-vragen van een klant? Lees hoe je onderscheid maakt tussen wettelijke plicht, klantvraag, bewijsstukken en roadmap.
NIS2/Cbw en SC10/SC20Klant noemt SC10 of SC20? Lees hoe je als leverancier onderscheid maakt tussen voorbereiding, bewijs, toetsing en certificering.
Bewijsmap en bewijsstukkenVoorbeelden van bewijsstukken voor MFA, back-ups, incidentrespons, toegangsbeheer, logging, leveranciers en roadmap.
Stuur je klantvraag, vragenlijst of SC10/SC20-eis door. We kijken welke Bewijsmap-aanpak past en wat de eerste logische stap is.
We behandelen je aanvraag vertrouwelijk en gebruiken je informatie alleen om je situatie te beoordelen.
Alleen één concrete vragenlijst? Bekijk Securityvragenlijst Hulp vanaf €1.500