WarDek is a complete compliance suite that combines an OWASP vulnerability scanner with NIS2, AI Act and GDPR compliance modules, specially designed for European SMEs.

Is my company subject to NIS2?

The NIS2 directive applies to essential and important entities in sectors such as energy, healthcare, transport, digital, etc. Use our free simulator to check.

How should I use WarDek reports in an audit?

WarDek reports provide a practical working base for your team, auditor, or compliance preparation. They are not an official certification or legal opinion.

How long does a scan take?

A complete OWASP scan typically takes between 2 and 5 minutes depending on the complexity of your website.

Absolutely. We never store your credentials. Reports are encrypted and you can delete them at any time. We are hosted in France.

Can I try before I buy?

Yes! The Free plan lets you test WarDek with 3 scans per month, no credit card required.

ISO 27001 is de internationale standaard voor Information Security Management Systems (ISMS). Het biedt een systematische aanpak voor het beheren van gevoelige informatie. De 2022-versie reorganiseerde de Annex A-controles in vier categorieen.

Wie zou ISO 27001-gecertificeerd moeten worden?

ISO 27001 is waardevol voor elke organisatie die gestructureerd informatiebeveiligingsbeheer moet aantonen, vooral SaaS-aanbieders, gezondheidszorgbedrijven, financiele dienstverleners en organisaties die met overheden werken.

Wat is ISO 27001 Annex A?

Annex A bevat 93 controles in vier categorieen: Organisatorisch (37), Persoonsgerelateerd (8), Fysiek (14) en Technologisch (34). Niet alle controles zijn verplicht — organisaties selecteren op basis van hun risicobeoordeling.

Hoe lang duurt ISO 27001-certificering?

Voor MKB-bedrijven typisch 6-12 maanden voor initiele implementatie, met 3-6 maanden voor de eerste audit. De certificering is 3 jaar geldig met jaarlijkse bewakingsaudits.

Hoe verhoudt ISO 27001 zich tot NIS2 en SOC 2?

ISO 27001 biedt een uitgebreid ISMS-framework. NIS2-compliance kan grotendeels worden afgedekt met ISO 27001-controles. SOC 2 richt zich op dienstspecifieke vertrouwenscriteria, terwijl ISO 27001 breder van opzet is.

Wat kan WarDek automatiseren voor ISO 27001?

WarDek beoordeelt automatisch 12 technische Annex A-controles via beveiligingsscanning: versleutelingscontrole, header-analyse, kwetsbaarhedendetectie, e-mailbeveiliging en meer.

ISO 27001:2022 Compliance Guide — Annex A Controls

Wat is ISO 27001:2022?

ISO 27001 is de wereldwijd erkende norm voor Informatiebeveiligingsmanagementsystemen (ISMS). Uitgegeven door ISO en IEC, definieert het hoe organisaties informatiebeveiligingsrisico's moeten beheren via een systematische, procesgebaseerde aanpak. De revisie van 2022 heeft de maatregelen gemoderniseerd om cloud computing, threat intelligence en gegevensbescherming aan te pakken.

Certificering wordt verleend door geaccrediteerde externe auditors en moet elke drie jaar worden vernieuwd met jaarlijkse surveillance-audits. Voor MKB's is ISO 27001 steeds meer een concurrentievereiste — grote opdrachtgevers eisen het vaak tijdens leveranciersbeoordeling.

De 4 controlecategorieën (Bijlage A)

ISO 27001:2022 organiseert zijn 93 maatregelen in vier thema's, ter vervanging van de eerdere structuur met 14 domeinen:

Categorie	Maatregelen	Focus
Organisatorisch	37	Beleid, rollen, verantwoordelijkheden, threat intelligence, clouddiensten, leveranciersrelaties
Personen	8	Screening, bewustzijnstraining, thuiswerken, geheimhoudingsovereenkomsten
Fysiek	14	Perimeterbeveiliging, apparatuurbescherming, beveiligde zones, bekabeling, bewaking
Technologisch	34	Toegangscontrole, cryptografie, veilige ontwikkeling, kwetsbaarheidsbeheer, logging, netwerkbeveiliging

Elke maatregel heeft bijbehorende kenmerken — controletype (preventief, detectief, correctief), informatiebeveiligingseigenschappen (CIA) en cyberbeveiligingsconcepten — waardoor het eenvoudiger is om te mappen naar andere frameworks.

12 belangrijke technische maatregelen die WarDek automatiseert

De beveiligingsscanners van WarDek beoordelen automatisch de volgende Bijlage A-maatregelen via passieve en actieve scans:

Maatregel	Naam	Wat WarDek controleert
A.5.7	Threat intelligence	Bekende kwetsbaarheidsdatabases, CVE-blootstelling, dreigingsfeeds
A.5.23	Beveiliging van clouddiensten	Cloudprovider-headers, CDN-configuratie, opslagblootstelling
A.8.9	Configuratiebeheer	Beveiligingsheaders, serverconfiguratie, standaardinstellingen
A.8.16	Monitoringactiviteiten	Loggingheaders, foutafhandeling, informatielekken
A.8.20	Netwerkbeveiliging	TLS-configuratie, ciphersuites, protocolversies, HSTS
A.8.24	Gebruik van cryptografie	Certificaatgeldigheid, sleutelsterkte, versleutelingsstandaarden
A.8.25	Veilige ontwikkelingslevenscyclus	Beveiligingsheaders die SDLC-praktijken aangeven, CSP-beleid
A.8.26	Beveiligingsvereisten voor applicaties	Invoervalidatie, CORS-beleid, authenticatiemechanismen
A.8.28	Veilige codering	XSS-bescherming, injectieafweer, uitvoercodering
A.8.8	Technisch kwetsbaarheidsbeheer	Bekende CVE's, verouderde softwareversies, patchstatus
A.8.12	Preventie van datalekken	Blootgestelde metadata, directorylijsten, informatielekken
A.8.22	Webfiltering	Content-Security-Policies, referrerbeleid, machtigingen

Implementatie-roadmap voor MKB

Een praktische aanpak in 6 fasen voor ISO 27001-certificering van kleine en middelgrote bedrijven:

Fase 1 — Gap-analyse (Weken 1–4)

Huidige beveiligingshouding beoordelen aan de hand van Bijlage A-maatregelen
Een WarDek-scan uitvoeren om een baseline voor technische maatregelen vast te stellen
Snelle successen en grote hiaten identificeren
Managementcommitment verkrijgen en ISMS-scope definiëren

Fase 2 — Risicobeoordeling (Weken 5–8)

Informatiemiddelen en hun eigenaren identificeren
Dreigingen, kwetsbaarheden en impact beoordelen
Risiconiveaus berekenen en risicobehandelingsplannen definiëren
De Verklaring van Toepasselijkheid (VvT)opstellen — documenteert welke Bijlage A-maatregelen van toepassing zijn en waarom

Fase 3 — Beleid en documentatie (Weken 9–16)

Verplichte documenten opstellen: ISMS-beleid, risicobehandelingsplan, VvT
Operationele procedures ontwikkelen voor toepasselijke maatregelen
Metrieken en monitoringbenaderingen definiëren
Documentbeheer en versiebeheer opzetten

Fase 4 — Implementatie (Weken 17–28)

Technische maatregelen implementeren (firewallregels, versleuteling, toegangsbeheer)
Beveiligingsbewustzijnstraining uitvoeren voor alle medewerkers
Incidentresponsprocedures implementeren
Monitoring- en loggingsystemen configureren

Fase 5 — Interne audit (Weken 29–32)

Een volledige interne audit uitvoeren op alle toepasselijke maatregelen
Afwijkingen en corrigerende maatregelen documenteren
Directiebeoordeling uitvoeren
Een laatste WarDek-scan uitvoeren om technische maatregelen te verifiëren

Fase 6 — Certificeringsaudit (Weken 33–40)

Fase 1: Documentatiebeoordeling — de auditor controleert de volledigheid van de ISMS-documentatie
Fase 2: Implementatie-audit — de auditor verifieert dat de maatregelen effectief werken
Auditbevindingen binnen het gestelde tijdsbestek aanpakken
Certificering ontvangen (geldig 3 jaar, jaarlijkse surveillance)

Relatie met NIS2, AVG en SOC 2

ISO 27001 bestaat niet in isolatie. Begrijpen hoe het zich verhoudt tot andere complianceframeworks helpt het rendement op uw certificeringsinvestering te maximaliseren:

Framework	Relatie met ISO 27001	Overlap
NIS2	De maatregelen van artikel 21 mappen direct op veel Bijlage A-maatregelen. ISO 27001-certificering wordt beschouwd als sterk bewijs van NIS2-naleving.	~70 %
AVG	Artikel 32 (beveiliging van verwerking) sluit aan bij de doelstellingen van ISO 27001. Bijlage A-maatregelen voor dataclassificatie, toegangscontrole en cryptografie ondersteunen direct de AVG-vereisten.	~50 %
SOC 2	De Trust Service Criteria (beveiliging, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid, privacy) overlappen aanzienlijk met Bijlage A-maatregelen. Veel organisaties streven beide certificeringen na.	~60 %

Door eerst ISO 27001 te implementeren, dekken organisaties doorgaans 50–70 % van de vereisten voor NIS2, de technische maatregelen van de AVG en SOC 2 — waardoor volgende certificeringen aanzienlijk sneller en kosteneffectiever worden.

ISO 27001:2022 — Complete Guide for SMEs