Normenkaders zoals ISO, NIS2 en BIO staan niet stil. Hoe zorgt TrustBound ervoor dat jouw compliance-werk beschermd blijft als een framework wordt bijgewerkt?
Compliance is geen eenmalige klus. Standaarden evolueren, Europese richtlijnen stapelen zich op, en organisaties die net hun nieuwe framework hebben ingericht, krijgen te maken met de volgende versie. Het is een patroon dat we keer op keer zien: rustige jaren, afgewisseld met pieken waarin meerdere normenkaders tegelijk worden herzien of uitgebreid.
Denk aan de ISO-families, NEN, de BIO 2.0, NIS2, en DORA. Ze bewegen vrijwel nooit op hetzelfde moment, maar ze bewegen wél. En als ze dat doen, voelt het voor veel organisaties alsof de grond onder hun GRC-inspanningen verschuift.
Update-moeheid is reëel
Veel van onze klanten herkennen het: je hebt net een norm volledig ingebed: taken belegd, bewijs verzameld, maatregelen geactiveerd. En dan verschijnt er een revisie. Of er komt een nieuwe Europese richtlijn die aanvullende controls vereist. De investering in compliance dreigt opnieuw gedaan te moeten worden. Dat noemen we update-moeheid, en het is één van de grootste praktische uitdagingen van een levend GRC-programma.
Bij TrustBound hebben we hier een duidelijke aanpak voor ontwikkeld. We negeren wijzigingen niet; we verwerken ze zo dat jouw bestaande werk zoveel mogelijk behouden blijft.
Onze aanpak: behoud wat werkt
Wanneer een norm wordt bijgewerkt, stellen we ons eerst één centrale vraag: hoe ingrijpend zijn de wijzigingen?
Twee scenario's
- Fundamentele herziening: als de structuur van een norm zo ingrijpend verandert dat continuïteit niet meer mogelijk is, brengen we een nieuwe versie uit. Dit is echter de uitzondering, niet de regel. In dat geval is het voor jou vergelijkbaar met starten met een nieuwe norm: taken, bewijs en koppelingen richt je opnieuw in.
- Incrementele wijziging: in veruit de meeste gevallen gaat het om tekstwijzigingen, een nieuwe maatregel hier, een vervallen maatregel daar. Dan verwerken we de update in de bestaande norm. Alles wat je hebt opgebouwd blijft intact.
Wat "intact blijft" concreet betekent
Bij een incrementele update in TrustBound geldt het volgende:
- Taken, maatregelen, bewijs en koppelingen blijven volledig bewaard.
- Is een maatregel verplaatst? Dan passen we het normnummer aan. Het onderliggende ID blijft hetzelfde'alles wat eraan gekoppeld was, blijft gewoon werken.
- Vervalt een maatregel? We verwijderen hem niet, maar markeren hem als [vervallen]. Vanuit die maatregel bepaald je zelf wat je ermee doet, zoals zaken uit scope halen.
- Nieuwe maatregelen voegen we toe en staan klaar om door jou geactiveerd te worden op het moment dat je eraan toe bent.
De gedachte achter deze aanpak is simpel: een normwijziging is geen reden om opnieuw te beginnen. Jouw GRC-werk is een investering en die wil je beschermen.
Snel én proactief communiceren
Naast de technische verwerking zorgen we voor heldere communicatie. Je ontvangt bericht over wat er gewijzigd is én welke acties eventueel van je worden verwacht. Zo weet je precies wat er speelt en hoef je zelf niets te monitoren.
Daarnaast streven we ernaar om nieuwe normversies binnen ongeveer een week na publicatie van de officiële tekst te verwerken. Is een norm al in concept beschikbaar? Dan delen we wijzigingen soms eerder, zodat je kunt voorsorteren, nog vóór de definitieve inwerkingtreding.
Normenkaders zullen blijven evolueren. Dat is onvermijdelijk in een wereld waarin cyberdreigingen, privacyvereisten en bestuurlijke verwachtingen constant in beweging zijn. Maar dat betekent niet dat jouw compliance-programma telkens opnieuw moet worden opgebouwd. Met de juiste aanpak is een normupdate geen verstoring, maar een verbetering die naadloos aansluit op wat al staat.