From: https://en.wikipedia.org/wiki/ISAE_3402

International Standard on Assurance Engagements 3402 (ISAE 3402), titled Assurance Reports on Controls at a Service Organization, is an international assurance standard that describes Service Organization Control (SOC) engagements, which provides assurance to an organization's customer that the service organization has adequate internal controls.^[1] ISAE 3402 was developed by the International Auditing and Assurance Standards Board (IAASB) and published by the International Federation of Accountants (IFAC) in 2009. It supersedes SAS 70. and puts more emphasis on procedures for the ongoing monitoring and evaluation of controls.

An ISAE 3402 attestation including an audit report is regarded as a quality criterion for service providers that distinguishes them from competitors.

It also pays for a customer to contract with a service provider that holds an ISAE 3402 attestation: the auditor of the customer can rely on the attestation of the service organization, resulting in a reduced necessary audit budget.

Scope, Types and SOC classification

The scope of an ISAE 3402 engagement is control set of the service organization, or to be more precise the service organizations controls over services, functions performed and applications that are likely to be relevant for the customer and its auditor to evaluate the internal control over financial reporting. It is also known as "Internal Control Framework over Financial Reporting" (ICFR). When performing an ISAE 3402 the auditor has to take the position of the customer, selecting and testing controls that are relevant for the customer.

The ISAE 3000 standard is a more general standard for assurance engagements both for financial and non-financial purposes. Assurance engagements according to ISAE 3402 require compliance of the auditor with ISAE 3000.

ISAE 3402 defines two kinds of reports:

• Type I: Documenting a "snapshot" of the organization's controls
• Type II: Documenting over a period of time (typically 12 months) showing controls have been managed over time.

ISAE 3402 is a SOC 1 engagement. SOC is an acronym coined by the American Institute of Certified Public Accountants (AICPA) for service organizations controls, and was re-coined in 2017 as system and organizational controls. AICPA has defined three types of SOC reports: SOC 1, SOC 2, and SOC 3.

• SOC 1 is an abbreviation for SOC for Service Organizations: ICFR.
• SOC 2 is an abbreviation for SOC for Service Organizations: Trust Services Criteria.
• SOC 3 is an abbreviation for SOC for Service Organizations: Trust Services Criteria for General Use Report.^[3]

SOC 2 engagements are performed on the basis of the more general ISAE 3000, whereas SOC 1 engagements are performed on the basis of ISAE 3402 (see above).

• Wij verzamelen hier uw informatieverzoeken:: Link bezoeken
• Privacy-check-nl: Bedankt dat u uw privacyopties hebt ingesteld. 

SOC 2 is applicable to all technology service providers and highlights the criteria for information security specifically focusing on the
safety and privacy of customer data. This framework is based on five trust principles which include security and availability along with processing integrity, confidentiality, and privacy.

• Wij verzamelen hier uw informatieverzoeken:: Link bezoeken
• Privacy-check-nl: Bedankt dat u uw privacyopties hebt ingesteld. 

Cyber Risk can be defined as any risk from systems or elements of a system that are part of or have a presence in
cyber space. Cyber risk can include damage to cyber systems and system elements leading to financial,
operational, data, or reputational losses.

IT Risk, on the other hand, includes any threat that may arise from a breach of security, non-compliance, lack of
availability, or poor performance of IT resources that can affect the data, processes, and systems of your
organization. IT Risk also includes the risk that may arise from the IT systems of an organization.

While the definitions of IT Risk and Cyber Risk may overlap at some places, what’s important is to understand that
the risk from a compromised IT and cyber breach extends beyond monetary and data losses and today
encompasses risks to productivity, intellectual property, and more—making the managing of IT and Cyber Risk
critical to an organization.

• Wij verzamelen hier uw informatieverzoeken:: Link bezoeken
• Privacy-check-nl: Bedankt dat u uw privacyopties hebt ingesteld. 

NIS-richtlijn
De Europese Richtlijn (EU) 2016/1148 van 6 juli 2016 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie, beter bekend als de ‘NIS-richtlijn’, was het eerste stuk EU-wetgeving op het gebied van cyberbeveiliging. In Nederland is de NIS-richtlijn geïmplementeerd in de Wet beveiliging netwerk- en informatiesystemen (Wbni) in 2018. Hoewel de NIS-richtlijn de cyberbeveiligingscapaciteiten van de EU-lidstaten sterk heeft vergroot, biedt de huidige richtlijn onvoldoende antwoord op de toenemende dreigingen die verband houden met de verdere digitalisering van de maatschappij, waaronder de sterke toename van cyberaanvallen.      

Nieuwe richtlijn: NIS2
In december 2020 heeft de Europese Commissie daarom een voorstel ingediend, dat een jaar later grotendeels door de Raad is overgenomen[2], om de NIS-richtlijn te vervangen. In de nieuwe NIS2-richtlijn moeten de beveiligingseisen aangescherpt, de beveiliging van toeleveringsketens aangepakt de rapportageverplichtingen gestroomlijnd en strengere toezichtmaatregelen en handhavingsvereisten ingevoerd worden, waaronder geharmoniseerde sancties in de hele EU. Het voorstel kent ook een uitgebreid toepassingsgebied, waarbij meer entiteiten en sectoren worden verplicht maatregelen te nemen. Dit alles zou het niveau van cyberbeveiliging in Europa op de langere termijn moeten verhogen.

Werkingssfeer uitgebreid
De huidige NIS-richtlijn heeft tot doel de cyberbeveiliging te versterken in sectoren die sterk afhankelijk zijn van informatietechnologie, met een focus op de bescherming van kritische infrastructuur (energie, vervoer, infrastructuur voor banken en de financiële markt, gezondheid, drinkwater, digitale infrastructuur) en bepaalde digitale dienstverleners in de EU-lidstaten.

De voorgestelde NIS2-richtlijn voorziet in een ruimere dekking van sectoren en diensten die van vitaal belang worden geacht voor de Europese interne markt. Naast de genoemde sectoren die al onder de huidige richtlijn vallen, worden nieuwe sectoren in het toepassingsgebied opgenomen, waaronder telecommunicatie, chemicaliën, levensmiddelen, post- en koeriersdiensten, bepaalde industrieën, overheidsdiensten, platforms voor sociale netwerken, ruimtevaart, afvalbeheer en afvalwaterbeheer.[3] Verder zullen entiteiten van het openbaar bestuur van centrale overheden onder NIS2-richtlijn vallen, en kunnen lidstaten besluiten om het toepassingsgebied uit te breiden tot soortgelijke entiteiten op regionaal en lokaal niveau.

‘Size-cap’
Voorts wordt in het voorstel, in plaats van de huidige identificatie van individuele aanbieders op nationaal niveau, een ‘size-cap’ ingevoerd die binnen de genoemde sectoren alle middelgrote en grote ondernemingen bestrijkt. Kleinere entiteiten zijn vrijgesteld, tenzij zij een hoog veiligheidsrisicoprofiel hebben. De Raad heeft bij de bespreking van het voorstel aanvullende criteria toegevoegd om te bepalen welke entiteiten onder NIS2-richtlijn moeten vallen.

Extraterritoriale werking uitgebreid
Ten slotte wordt de extraterritoriale werking van de richtlijn uitgebreid. Daardoor vallen aanbieders van digitale infrastructuur of digitale diensten die weliswaar geen Europese vestiging hebben, maar wel diensten die onder de NIS2-richlijn vallen aanbieden in de EU, ook onder het toepassingsgebied van de voorgestelde NIS2-richtlijn. Dit zal onder meer gevolgen hebben voor aanbieders van cloud computing-diensten, aanbieders van datacenterdiensten en andere online dienstverleners zoals marktplaatsen, zoekmachines en sociale netwerken.

Essentiële en belangrijke entiteiten
In de voorgestelde NIS2-richtlijn wordt niet langer een onderscheid gemaakt tussen aanbieders van essentiële diensten en aanbieders van digitale diensten, maar worden entiteiten ingedeeld in ‘Essentieel’ en ‘Belangrijk’. Voor zowel Essentiële als Belangrijke entiteiten zullen dezelfde eisen inzake cyberbeveiligingsbeheer en rapportage gelden, maar de toezichts- en sanctieregelingen zullen verschillen. Terwijl voor Essentiële entiteiten een volwaardig ex ante toezichtsregime zal gelden, geldt voor Belangrijke entiteiten een lichter ex post toezicht in het geval van bewijzen of aanwijzingen van niet-naleving.

Governance en rapportage
De nieuwe regels voeren voor het eerst expliciete governance-vereisten in, op grond waarvan het bestuur van entiteiten die vallen binnen het toepassingsbereik van de NIS2-richtlijn maatregelen voor het managen van cyberbeveiligingsrisico\'s moet goedkeuren en daarop toezicht moet houden. Ook moet het bestuur cyberbeveiligingstrainingen volgen.

Minimale beveiligingselementen
Wat het cyberbeveiligingsrisicobeheer zelf betreft, wordt in de voorgestelde herziening de open norm gehandhaafd dat, gelet op de stand van de techniek en het aanwezige risico, ‘passende’ en ‘evenredige’ maatregelen moeten worden genomen. Nieuw is dat een aantal minimale basisbeveiligingselementen wordt toegevoegd waarin in elk geval moet worden voorzien.

Belangrijk is dat de voorgestelde NIS2-richtlijn in afwijking van de huidige NIS-richtlijn expliciete eisen invoert voor het beheer van risico\'s van derden in toeleveringsketens en relaties met leveranciers. Daarmee wordt een van de belangrijkste uitdagingen op het gebied van cyberbeveiliging van dit moment aangepakt. Het voorstel bepaalt dat de Europese Commissie de technische en methodologische specificaties van de minimumeisen zal vaststellen, en voorziet dat entiteiten kunnen (en bepaalde Essentiële entiteiten: moeten) aantonen dat zij aan de eisen voldoen door een cyberbeveiligingscertificering te verkrijgen ingevolge de recente EU Cybersecurity Act.

Rapportage
Ook worden rapportageverplichtingen uitgebreid. Zo zullen alle Essentiële en Belangrijke entiteiten moeten rapporteren over incidenten die een aanzienlijke impact hebben op de levering van hun diensten. Naar aanleiding van de bezorgdheid van de lidstaten dat dit de onder de NIS2-richtlijn vallende entiteiten te zwaar zou belasten en tot ‘overrapportage’ zou leiden, is de verplichte melding van significante cyberdreigingen aan de bevoegde autoriteiten of de Computer Security Incident Response Teams (CSIRT) inmiddels uit het voorstel gehaald.

Hogere boetes
Het meest in het oog springende element van het pakket aan nieuwe maatregelen is misschien dat de EU-lidstaten aanzienlijk hogere administratieve boetes kunnen opleggen die kunnen oplopen tot ten minste 10 miljoen Euro of 2% van de totale wereldwijde omzet (op ondernemingsniveau), naargelang welk bedrag het hoogst is, met de intentie dat hierop ook strenger zal worden gehandhaafd. In overeenstemming met de strengere handhavingsregeling die op hen van toepassing is, kunnen voor Essentiële entiteiten die in gebreke blijven, ook vergunningen worden geschorst of kan het hoger management worden geschorst in de uitoefening van zijn leidinggevende functies (telkens totdat de nodige corrigerende maatregelen zijn genomen). Het is nog de vraag of dit onder Nederlands recht zal leiden tot mogelijke bestuurdersaansprakelijkheid.

Openbaarmaking van kwetsbaarheden
Belangrijk is ten slotte dat de voorgestelde NIS2-richtlijn gecoördineerde praktijken voor de openbaarmaking van kwetsbaarheden introduceert, waarbij een entiteit buitenstaanders (vaak ‘ethische hackers’) uitnodigt om kwetsbaarheden te melden op een manier die het mogelijk maakt een diagnose te stellen en de kwetsbaarheid te verhelpen voordat deze aan derden wordt bekendgemaakt (en mogelijk door derden wordt misbruikt). Daartoe zou het EU-cyberbeveiligingsagentschap ENISA een Europees kwetsbaarheidsregister moeten ontwikkelen en bijhouden om Belangrijke en Essentiële entiteiten en hun leveranciers van netwerk- en informatiesystemen in staat te stellen kwetsbaarheden in ICT-producten of ICT-diensten bekend te maken en te registreren.

Sectorspecifieke regelgeving
Wordt de voorgestelde NIS2-richtlijn goedgekeurd, dan zal deze van toepassing zijn naast sectorspecifieke wetgeving. De belangrijkste daarvan om hier te vermelden is de onlangs voorgestelde ‘DORA’-verordening inzake digitale operationele veerkracht voor de financiële sector.

Nationale wetgeving
Omdat het om een richtlijn gaat, moet deze door de EU-lidstaten in hun nationale wetgeving worden omgezet. De termijn hiervoor is twee jaar na de datum van inwerkingtreding van de richtlijn, die voorlopig niet voor medio 2023 wordt verwacht.

• Wij verzamelen hier uw informatieverzoeken:: Link bezoeken
• Privacy-check-nl: Bedankt dat u uw privacyopties hebt ingesteld.