Certificering heeft zich ontwikkeld van een administratieve verplichting tot een strategisch instrument voor CISO’s. Waar het vroeger vooral diende om audits te doorstaan of leveranciers te selecteren, speelt het nu een centrale rol in hoe organisaties aantonen dat hun cybersecurity daadwerkelijk op orde is. In een omgeving waarin wet- en regelgeving steeds strenger wordt en stakeholders kritischer zijn, is certificering een manier geworden om vertrouwen concreet en verifieerbaar te maken.
Die verschuiving is zichtbaar op bestuursniveau. Raden van bestuur en toezichthouders nemen geen genoegen meer met algemene toezeggingen over beveiliging. Zij willen inzicht in hoe cybersecurity is ingericht, hoe deze wordt toegepast in de praktijk en hoe consistent dit gebeurt binnen de organisatie. Certificering biedt hiervoor een gemeenschappelijke taal. Het maakt zichtbaar dat beveiliging niet afhankelijk is van individueel handelen, maar verankerd is in processen, systemen en besluitvorming.
Tegelijkertijd neemt de druk vanuit regelgeving toe. Nieuwe kaders zoals NIS2, DORA en de Cyber Resilience Act stellen expliciete eisen aan hoe organisaties cybersecurity integreren in hun bedrijfsvoering en productontwikkeling. Dit betekent dat organisaties moeten kunnen aantonen hoe zij voldoen aan normen en eisen van wet- en regelgeving. Certificering helpt om de vertaalslag te maken van beleid naar aantoonbare uitvoering.
De werkelijke waarde van certificering zit dan ook in het proces dat eraan ten grondslag ligt. Het dwingt organisaties om definities scherp te stellen, documentatie op orde te brengen en beveiligingsmaatregelen consequent toe te passen. Door onafhankelijke toetsing ontstaat een objectief beeld van hoe cybersecurity functioneert in de dagelijkse praktijk. Voor CISO’s is dat essentieel, omdat zij daarmee hun intenties kunnen communiceren en tegelijkertijd resultaten en onderliggende keuzes kunnen onderbouwen.
In toenemende mate wordt certificering daarom geïntegreerd in de kern van de organisatie. Het maakt deel uit van productontwikkeling, lifecycle management en het beheer van kwetsbaarheden. Deze structurele inbedding zorgt ervoor dat beveiliging schaalbaar en reproduceerbaar wordt, ook naarmate organisaties groeien of complexer worden. Het resultaat is een hoger niveau van consistentie en betrouwbaarheid, zowel intern als richting klanten en partners.
Voor bestuurders betekent deze ontwikkeling vooral meer grip. Certificering biedt inzicht in risico’s, versterkt de onderbouwing van beslissingen en vergroot de zekerheid dat aan externe eisen wordt voldaan. Bovendien speelt het een belangrijke rol in situaties waarin verantwoording moet worden afgelegd, zoals bij incidenten of toezicht. Het maakt duidelijk welke maatregelen zijn genomen, hoe deze zijn toegepast en waarom bepaalde keuzes zijn gemaakt.
Elke CISO moet werken met certificeringsnormen die per regio en branche verschillen. Verschillende markten hebben verschillende eisen, zelfs als het onderliggende doel hetzelfde is. Ondanks die complexiteit is het doel van certificering altijd hetzelfde: het leveren van onafhankelijk bewijs dat beveiliging geïntegreerd is in het ontwerp, de ontwikkeling en het onderhoud van producten.
Fortinet beschouwt certificering als een essentieel onderdeel van zijn bedrijfsvoering en past dit toe op productontwikkeling, kwetsbaarheidsbeheer, de productlevenscyclus en bedrijfscontinuïteit. We beschikken over meer dan 130 actieve certificeringen voor onze organisatie, producten en processen. Dit laat zien dat we cybersecurity systematisch benaderen.
Onze nieuwste certificering is IEC 62443-4-1 op Maturity Level 2 (ML2) voor onze Secure Product Development Lifecycle (SPDL). Dit is een wereldwijd erkende norm voor veilige engineering in industriële automatiserings- en controlesystemen (IACS). Dit bevestigt dat Fortinet beveiliging vanaf het begin in producten inbouwt. Dat geldt voor onze oplossingen voor operationele technologie (OT), kritieke infrastructuur, IT en omgevingen waar IT- en OT-systemen worden gecombineerd.
De eisen van cybersecurity die deel uitmaken van certificeringsnormen zijn geïntegreerd in productontwikkeling, vanaf ontwerp en codereview tot testen en release. Want uiteindelijk draait het om transparantie. Certificering heeft alleen waarde als deze controleerbaar is. Door inzicht te geven in de reikwijdte van certificeringen, de uitgevoerde beoordelingen en de bijbehorende documentatie, kan iedereen zelfstandig verifiëren of claims terecht zijn. In een tijd waarin vertrouwen steeds vaker ter discussie staat, is dat essentieel. Bij Fortinet is deze informatie beschikbaar via het Fortinet Trust Portal, een centraal platform voor certificeringen, beoordelingen en documentatie over beveiligingsbeheer. Vertrouwen ontstaat niet door het te beloven, maar door het aantoonbaar te maken.
Auteur: Carl Windsor, CISO bij Fortinet