WarDek is a complete compliance suite that combines an OWASP vulnerability scanner with NIS2, AI Act and GDPR compliance modules, specially designed for European SMEs.

Is my company subject to NIS2?

The NIS2 directive applies to essential and important entities in sectors such as energy, healthcare, transport, digital, etc. Use our free simulator to check.

How should I use WarDek reports in an audit?

WarDek reports provide a practical working base for your team, auditor, or compliance preparation. They are not an official certification or legal opinion.

How long does a scan take?

A complete OWASP scan typically takes between 2 and 5 minutes depending on the complexity of your website.

Absolutely. We never store your credentials. Reports are encrypted and you can delete them at any time. We are hosted in France.

Can I try before I buy?

Yes! The Free plan lets you test WarDek with 3 scans per month, no credit card required.

SOC 2 is een auditframework ontwikkeld door de AICPA dat beoordeelt hoe serviceorganisaties klantgegevens beschermen. In tegenstelling tot ISO 27001 is SOC 2 specifiek ontworpen voor technologie- en cloudserviceproviders.

Wat is het verschil tussen SOC 2 Type I en Type II?

SOC 2 Type I beoordeelt het ontwerp van controles op een specifiek moment. SOC 2 Type II beoordeelt de operationele effectiviteit over een periode (typisch 6-12 maanden). Type II heeft meer gewicht omdat het daadwerkelijke prestaties bewijst.

Wat zijn de vijf Trust Service Criteria?

De vijf TSC zijn: Beveiliging (altijd inbegrepen), Beschikbaarheid (uptime en prestaties), Verwerkingsintegriteit (nauwkeurige verwerking), Vertrouwelijkheid (bescherming vertrouwelijke gegevens) en Privacy (bescherming persoonsgegevens).

Hoe lang duurt SOC 2-certificering?

Type I: 3-6 maanden. Type II: 6-12 maanden (inclusief observatieperiode). De meeste bedrijven beginnen met Type I en gaan binnen een jaar over naar Type II.

Hoe verhoudt SOC 2 zich tot ISO 27001 en NIS2?

SOC 2 is VS-gericht en dienstspecifiek. ISO 27001 is internationaal en branche-overstijgend. NIS2 is EU-cyberbeveiligingsregelgeving. Ze vullen elkaar aan: ISO 27001-controles vormen de basis, SOC 2 richt zich op dienstspecifieke vertrouwenscriteria.

Wat kan WarDek automatiseren voor SOC 2?

WarDek beoordeelt automatisch 8 Trust Service Criteria-controles via beveiligingsscanning: versleutelingscontrole, TLS-analyse, header-evaluatie, kwetsbaarhedendetectie en meer.

SOC 2 Type II Compliance Guide — Trust Service Criteria

Wat is SOC 2 en waarom het belangrijk is

SOC 2 (System and Organization Controls 2) is een auditframework opgesteld door het AICPA (American Institute of Certified Public Accountants). Het definieert criteria voor het beheer van klantgegevens op basis van vijf Vertrouwenscriteria (Trust Service Criteria, TSC): Beveiliging, Beschikbaarheid, Verwerkingsintegriteit, Vertrouwelijkheid en Privacy.

In tegenstelling tot certificeringen zoals ISO 27001 levert SOC 2 een attestatierapportop dat wordt uitgebracht door een onafhankelijk accountantskantoor. Dit rapport wordt steeds vaker gevraagd door zakelijke inkopers tijdens aanbestedingen, met name in de Verenigde Staten en het Verenigd Koninkrijk. Voor SaaS-bedrijven is een SOC 2 Type II-rapport het standaard vertrouwenssignaal geworden — zonder dit rapport stagneren zakelijke deals of verdwijnen ze volledig.

De marktcontext is duidelijk: volgens de Cloud Security Alliance vereisen meer dan 80 % van de zakelijke aanbestedingen inmiddels SOC 2 of gelijkwaardig nalevingsbewijs. Organisaties die proactief SOC 2 nastreven, sluiten deals 40 % sneller dan organisaties die bewijs op aanvraag moeten produceren.

SOC 2 Type I vs Type II

SOC 2 kent twee rapporttypen, elk met een ander doel in uw nalevingstraject:

Aspect	Type I	Type II
Scope	Ontwerp van beheersmaatregelen op een bepaald moment	Ontwerp + operationele effectiviteit over een periode
Duur	Enkele datum (momentopname)	Observatieperiode van 6–12 maanden
Kosten	$ 20.000–$ 60.000	$ 30.000–$ 100.000+
Tijdlijn	3–6 maanden voorbereiding	9–18 maanden totaal
Zakelijke acceptatie	Acceptabel als tussentijds bewijs	Voorkeur en vaak vereist
Verlenging	Niet terugkerend	Jaarlijkse her-audit vereist

De meeste organisaties beginnen met Type I om aan te tonen dat beheersmaatregelen bestaan, en stappen vervolgens over naar Type II om te bewijzen dat deze maatregelen consistent functioneren. Sommige bedrijven slaan Type I volledig over als hun beheersingsniveau al hoog is.

De vijf Vertrouwenscriteria

SOC 2 beoordeelt organisaties aan de hand van vijf Vertrouwenscriteria. Beveiliging (Common Criteria) is verplicht voor alle SOC 2-rapporten. De andere vier zijn optioneel maar worden doorgaans opgenomen afhankelijk van de bedrijfscontext:

1. Beveiliging (CC-reeks) — Verplicht

Het Beveiligingscriterium, ook wel Common Criteriagenoemd, vormt de basis van elk SOC 2-rapport. Het omvat de bescherming van informatie en systemen tegen ongeautoriseerde toegang, ongeautoriseerde openbaarmaking van informatie en schade aan systemen. De CC-reeks omvat 9 categorieën (CC1 tot en met CC9) met meer dan 30 individuele beheerspunten op het gebied van governance, risicobeoordeling, monitoring, logische toegang, systeembeheer en wijzigingsbeheer.

2. Beschikbaarheid (A-reeks)

Het Beschikbaarheidscriterium betreft of systemen operationeel en bruikbaar zijn zoals afgesproken. Het omvat disaster recovery-planning, bedrijfscontinuïteit, incidentrespons en systeemmonitoring. Belangrijke beheersmaatregelen zijn A1.1 (capaciteitsplanning), A1.2 (omgevingsbescherming en herstel) en A1.3 (hersteltests). Dit criterium is essentieel voor SaaS-bedrijven met beschikbaarheids-SLA's.

3. Verwerkingsintegriteit (PI-reeks)

Verwerkingsintegriteit waarborgt dat systeemverwerking volledig, geldig, nauwkeurig, tijdig en geautoriseerd is. Het is bijzonder relevant voor fintech, healthtech en elke dienst die transacties of gevoelige berekeningen verwerkt. Beheersmaatregelen omvatten PI1.1 (gedefinieerde verwerkingsdoelstellingen), PI1.2 (invoervalidatie), PI1.3 (verwerkingsnauwkeurigheid), PI1.4 (outputcontrole) en PI1.5 (foutafhandeling).

4. Vertrouwelijkheid (C-reeks)

Het Vertrouwelijkheidscriterium beschermt informatie die als vertrouwelijk is aangemerkt (handelsgeheimen, bedrijfsplannen, intellectueel eigendom, contractueel beschermde persoonsgegevens). Beheersmaatregelen omvatten C1.1 (identificatie van vertrouwelijke informatie), C1.2 (verwijdering van vertrouwelijke informatie) en versleutelingsvereisten voor data in rust en in transit.

5. Privacy (P-reeks)

Het Privacycriterium betreft het verzamelen, gebruiken, bewaren, openbaar maken en verwijderen van persoonsgegevens. Het sluit nauw aan bij privacywetgeving zoals de AVG en de CCPA. De P-reeks omvat 8 categorieën die melding, keuze en toestemming, verzameling, gebruik/bewaring/verwijdering, toegang, openbaarmaking, kwaliteit en monitoring bestrijken. Het opnemen van dit criterium versterkt uw AVG-nalevingsverhaal aanzienlijk.

8 belangrijke beheersmaatregelen die WarDek automatiseert

De geautomatiseerde beveiligingsscan van WarDek sluit direct aan op de Vertrouwenscriteria-beheersmaatregelen van SOC 2. Eén enkele scan beoordeelt 8 kritieke beheersgebieden en genereert bewijs dat u aan uw auditor kunt presenteren:

Beheersreferentie	Naam beheersmaatregel	Wat WarDek controleert
CC6.1	Logische toegangscontroles	Authenticatiemechanismen, sessiebeheer, cookie-beveiligingsflags (Secure, HttpOnly, SameSite), toegangscontrole-headers
CC6.6	Systeemgrenzen	Beveiligingsheaders (CSP, X-Frame-Options, X-Content-Type-Options), CORS-configuratie, resource-isolatie, clickjacking-bescherming
CC6.7	Transmissiebeveiliging	TLS-configuratie (protocolversie, cipher suites, certificaatgeldigheid), HSTS-handhaving, detectie van gemengde inhoud, validatie van de certificaatketen
CC7.1	Monitoring en detectie	Aanwezigheid van beveiligingsheaders als indicator van monitoringcapaciteit, configuratie van foutafhandeling, preventie van informatielekken, blootstelling van serverversie
CC7.2	Anomaliedetectie	Rate limiting-headers, botbeschermingsindicatoren, misbruikpreventiemechanismen, detectiecapaciteiten voor verdachte patronen
CC8.1	Wijzigingsbeheer	Subresource Integrity (SRI) op scripts en stylesheets, aanwijzingen voor versiepinning, deployment-configuratie-indicatoren, verificatie van asset-integriteit
A1.2	Beschikbaarheidsmaatregelen	CDN- en cachingconfiguratie, redundantie-indicatoren, DNS-configuratie (meerdere nameservers, DNSSEC), referentiemeting van responstijd
C1.1	Vertrouwelijkheidspositie	Gegevensblootstelling in HTML-broncode, gevoelige informatie in headers, preventie van directorylijsting, blootstelling van back-upbestanden, detectie van API-sleutellekken

Na de scan genereert WarDek een beoordeling van de Vertrouwenscriteriadie elk bevinding koppelt aan de bijbehorende SOC 2-beheersmaatregel. Dit dient als gereedheidsbasislijn — het helpt u hiaten te identificeren voordat u een auditor inschakelt, en levert doorlopend bewijs tijdens het Type II-observatievenster.

SOC 2-routekaart voor SaaS-bedrijven

Het bereiken van SOC 2-naleving is een gestructureerd proces. Hier is een praktische routekaart op maat voor SaaS-organisaties:

Fase 1: Scopebepaling en kloofanalyse (Weken 1–4)

Bepalen welke Vertrouwenscriteria van toepassing zijn (Beveiliging is verplicht; de meeste SaaS-bedrijven nemen Beschikbaarheid en Vertrouwelijkheid op)
Systeemgrenzen identificeren — welke infrastructuur, applicaties en diensten van derden binnen de scope vallen
Een geautomatiseerde baselinescan (WarDek) uitvoeren om technische hiaten ten opzichte van SOC 2-beheersmaatregelen te identificeren
Uw huidige beheersomgeving documenteren en ontbrekend beleid identificeren

Fase 2: Herstel en implementatie van beheersmaatregelen (Weken 5–16)

Ontbrekende technische maatregelen implementeren (versleuteling, toegangsbeheer, monitoring, logging)
Vereist beleid opstellen: Informatiebeveiligingsbeleid, Toegangscontrolebeleid, Incidentresponsplan, Wijzigingsbeheerbeleid, Bedrijfscontinuïteitsplan, Risicobeoordelingsmethodologie
Monitoring- en waarschuwingssystemen implementeren voor doorlopende bewijsverzameling
Geautomatiseerde kwetsbaarheidsscans configureren op een terugkerend schema
Medewerkers trainen in beveiligingsbewustzijn en incidentmelding

Fase 3: Type I-audit (Weken 17–24)

Een accountantskantoor inschakelen met ervaring in SOC 2 voor technologiebedrijven
Bewijs leveren van het ontwerp van beheersmaatregelen (beleid, configuraties, architectuurdiagrammen)
De auditor beoordeelt of de maatregelen passend ontworpenzijn om aan de TSC-criteria te voldoen
Bevindingen of uitzonderingen die in het conceptrapport zijn geïdentificeerd, adresseren
Uw SOC 2 Type I-rapport ontvangen — direct deelbaar met prospects

Fase 4: Observatieperiode en Type II (Maanden 7–18)

Beheersmaatregelen 6–12 maanden consistent uitvoeren terwijl u bewijs verzamelt
Regelmatige WarDek-scans uitvoeren om doorlopend nalevingsbewijs te genereren
Incidenten en hun oplossing documenteren (ook perioden zonder incidenten vereisen documentatie)
Interne audits en directiebeoordelingen minstens elk kwartaal uitvoeren
De auditor test operationele effectiviteit door middel van steekproeven en onderzoek
Uw SOC 2 Type II-rapport ontvangen — de gouden standaard voor zakelijk vertrouwen

Relatie met ISO 27001, NIS2 en AVG

SOC 2 staat niet op zichzelf. Moderne nalevingsprogramma's omvatten doorgaans meerdere frameworks, en het begrijpen van hun overlap vermindert dubbel werk:

Framework	Oorsprong	Focus	Overlap met SOC 2
ISO 27001	Internationaal (ISO)	Informatiebeveiligingsmanagementsysteem (ISMS)	~60–70 % overlap in beheersmaatregelen. Bijlage A van ISO 27001 sluit goed aan op de CC-reeks.
NIS2	Europese Unie	Netwerk- en informatiebeveiliging voor kritieke sectoren	~50 % overlap in technische maatregelen (Artikel 21 komt overeen met CC6, CC7, A1).
AVG	Europese Unie	Bescherming van persoonsgegevens en privacyrechten	~40 % overlap. Het Privacycriterium van SOC 2 (P-reeks) ondersteunt direct de naleving van Artikel 32 van de AVG.
OWASP Top 10	OWASP Foundation	Kritieke beveiligingsrisico's voor webapplicaties	Ondersteunt direct de bewijsverzameling voor CC6 (toegangscontrole) en CC7 (monitoring).

Het belangrijkste inzicht: het opbouwen van één nalevingsprogramma versnelt alle andere. Een organisatie met ISO 27001-certificering kan SOC 2 in ongeveer de helft van de tijd behalen, omdat het managementsysteem, het beleid en veel technische maatregelen al aanwezig zijn. Evenzo ondersteunt SOC 2-bewijs rechtstreeks de vereisten van NIS2 Artikel 21 voor technische en operationele maatregelen.

De multi-framework scanmethode van WarDek erkent deze realiteit. Eén enkele scan genereert bevindingen die gelijktijdig worden gekoppeld aan SOC 2, NIS2 en OWASP — waardoor afzonderlijke beoordelingen per framework overbodig worden en een uniform nalevingsdashboard wordt geboden.

Veelvoorkomende SOC 2-valkuilen om te vermijden

Te laat beginnen:zakelijke prospects verwachten SOC 2-bewijs tijdens de evaluatie. Starten nadat een deal op het spel staat betekent 6–18 maanden vertraging.
Te breed scopen: neem alleen systemen op die klantgegevens verwerken, opslaan of verzenden. Een te brede scope verhoogt kosten en tijdlijn zonder evenredig voordeel.
Het als een afvinklijst behandelen: SOC 2 is een doorlopend programma, geen eenmalig project. Beheersmaatregelen moeten continu functioneren, niet alleen tijdens auditperioden.
Leveranciersbeheer negeren: uw SOC 2-scope omvat kritieke subservice-organisaties (hostingproviders, betalingsverwerkers). Zorg ervoor dat zij hun eigen SOC 2-rapporten hebben.
Handmatige bewijsverzameling:handmatig screenshots en logbestanden verzamelen voor meer dan 100 beheersmaatregelen is onhoudbaar. Automatiseer de bewijsverzameling vanaf dag één met tools zoals WarDek.
De verkeerde auditor kiezen: selecteer een accountantskantoor met ervaring in technologie en SaaS. Branche-expertise vermindert wrijving en heen-en-weer-communicatie tijdens de audit aanzienlijk.

SOC 2 Type II — Complete Guide for SaaS Companies