Compliance is een vloer, geen plafond
De beste complianceprogramma’s stellen niet alleen auditors tevreden — ze geven organisaties een duidelijk, eerlijk beeld van hun werkelijke beveiligingsstatus. Een goede audit is geen kwestie van vakjes afvinken. Het is een gestructureerd, op bewijs gebaseerd proces dat echte hiaten aan het licht brengt, prioriteiten stelt voor het verhelpen ervan en documentatie oplevert die kritische toetsing doorstaat.
Nomios zet bij elke opdracht onafhankelijke, ervaren auditors en beveiligingsconsultants in — waarbij diepgaande technische kennis wordt gecombineerd met expertise op het gebied van regelgeving om audits te leveren die grondig en bruikbaar zijn, en die zijn afgestemd op de Europese regelgeving waarbinnen jouw organisatie opereert.
Vijf vakgebieden
Ze richten zich elk op een andere factor die van invloed is op de naleving — van wettelijke voorschriften tot technische zekerheid tot risico’s in de toeleveringsketen.
- Een gestructureerde lacuneanalyse aan de hand van de verplichtingen uit artikel 21 van de NIS2 en de vereisten voor ICT-risicobeheer uit de DORA — om vast te stellen waar je nu staat, wat er moet veranderen en hoe je aan je toezichthouder kunt aantonen dat je aan de regels voldoet.
- Ondersteuning bij interne audits, gap-analyses en certificeringsvoorbereiding voor alle controles uit bijlage A van ISO 27001 — van het vaststellen van de reikwijdte van je ISMS tot ondersteuning bij je certificeringsaudit en jaarlijkse evaluaties.
- Praktische technische beoordelingen van je beveiligingsmaatregelen — architectuurbeoordelingen, configuratiecontroles, penetratietests, red team-oefeningen en kwetsbaarheidsanalyses — die je team voorzien van onderbouwde bevindingen waarop ze direct kunnen reageren.
- Het beoordelen van de beveiligingsstatus van cruciale leveranciers en partners — via vragenlijsten, documentcontrole en audits ter plaatse — zodat je aantoonbaar kunt aantonen dat je toeleveringsketen risico’s op de juiste manier beheert.
NIS2 & DORA compliance audits
ISO 27001 audits & certification support
Technical security audits
Third-party & supplier audits
We controleren aan de hand van de relevante kaders
Onze auditors beschikken over diepgaande expertise op het gebied van de Europese regelgeving — waardoor je beoordelingen krijgt die voldoen aan de eisen van toezichthouders, en niet alleen bedoeld zijn voor je eigen gemoedsrust.
NIS2
- Artikel 21: in kaart brengen van controles, evaluatie van de bestuursstructuur, beoordeling van de incidentresponscapaciteit en ondersteuning bij de rapportage aan toezichthouders voor exploitanten van essentiële en belangrijke entiteiten.
DORA
- Beoordeling van ICT-risicobeheerkaders, het testen van de paraatheid op het gebied van operationele veerkracht en beoordeling van ICT-risicoprogramma’s van derden voor financiële instellingen in heel Europa.
ISO 27001
- Interne audit, controlebeoordeling volgens bijlage A, ISMS-kloofanalyse en certificeringsgereedheid — ondersteuning bij de eerste certificering en bij de doorlopende controlecycli.
GDPR
- Audit op naleving van de gegevensbeschermingswetgeving, beoordeling van de effectbeoordeling (DPIA), evaluatie van de registratie van verwerkingsactiviteiten en beoordeling van de procedure voor het reageren op inbreuken — afgestemd op de verwachtingen van de toezichthoudende autoriteit.
IEC 62443
- Beveiligingsaudit van OT- en industriële besturingssystemen volgens de internationale norm — met aandacht voor het ontwerp van zones en leidingen, beveiligingsniveaus en een volwassenheidsbeoordeling voor OT-omgevingen.
Custom frameworks
- Sectorspecifieke eisen, interne beleidsrichtlijnen en contractuele verplichtingen jegens klanten — onze auditors werken volgens de norm die het meest relevant is voor jouw organisatie en belanghebbenden.
Een strikt en consistent audit proces
01 — REIKWIJDTE: Reikwijdte en doelstellingen vaststellen
We spreken af wat er onder de reikwijdte valt, welk raamwerk van toepassing is en wat de audit moet aantonen — aan auditors, toezichthouders of je raad van bestuur.
02 — BEOORDELING: Bewijs verzamelen en testen
Documentbeoordeling, interviews, configuratieanalyse en technische tests — afhankelijk van het type audit. We verzamelen bewijs, niet alleen garanties.
03 — RAPPORTAGE: Bevindingen & gap-analyse
Een gestructureerd rapport met bevindingen op basis van risicobeoordeling, tekortkomingen in de controlemaatregelen en context — geschreven voor zowel technische teams als de raad van bestuur of de auditor die het zal beoordelen.
04 — HERSTEL: Roadmap & follow-up
Een roadmap met prioriteiten voor herstelmaatregelen — en, waar nodig, ondersteuning bij het doorvoeren van de veranderingen die je in compliance brengen.
Wat onze auditpraktijk zo bijzonder maakt
Technische diepgang, niet alleen checklists
- Tot onze auditors behoren praktijkgerichte beveiligingsingenieurs en penetratietesters — waardoor we de technische expertise hebben om verder te gaan dan alleen het doornemen van documenten en te testen of de beveiligingsmaatregelen ook echt werken.
Onafhankelijk en echt objectief
- We zijn niet uit op het vinden van meer werk om te verkopen. Onze auditbevindingen geven weer wat we daadwerkelijk aantreffen — zodat je een eerlijk beeld krijgt waarop je kunt vertrouwen en waarop je kunt handelen.
Europese expertise op het gebied van regelgeving
- NIS2, DORA, ISO 27001, BIO, AVG — wij hebben door in het regelgevingslandschap waarin Europese organisaties opereren, en we stellen auditrapporten op die voldoen aan de verwachtingen van de toezichthouders.
Van audit tot implementatie bij één partner
- Als er bij een audit blijkt dat er verbeteringen nodig zijn, kan ons Professional Services-team die meteen uitvoeren – er zit geen vertraging tussen het ontdekken van het probleem en het oplossen ervan.
What would an honest audit reveal about your security posture?
Talk to our team about what you need to demonstrate — to your regulator, your board, or yourself — and we will design the right audit engagement.
