Ga naar de inhoud

CYRA-IT voor opdrachtgevers

Laatst gewijzigd op: 30-03-2026

CYRA-IT helpt je grip te krijgen op de digitale weerbaarheid van je eigen organisatie en de informatiebeveiliging van je leveranciers.

Man achter beeldscherm kijkt naar Cyra keurmerk van het CCV.

Grip op digitale risico’s in je leveranciersketen 

Steeds meer opdrachtgevers stellen eisen aan de informatiebeveiliging van hun leveranciers. In een tijd waarin organisaties sterk afhankelijk zijn van digitale ketens en externe partijen, vormt een zwakke schakel bij een leverancier direct een risico voor de opdrachtgever. Met CYRA-IT stel je duidelijke en proportionele eisen aan de digitale weerbaarheid van leveranciers die bovendien toetsbaar zijn. 

Wat bedoelen we met opdrachtgevers? 

Met opdrachtgevers bedoelen wij organisaties die: 

  • IT-diensten, software of digitale dienstverlening inkopen.
  • Leveranciers toegang geven tot systemen, data of netwerken.
  • Afhankelijk zijn van externe partijen voor hun bedrijfsprocessen.
  • Verantwoordelijkheid dragen voor de bescherming van informatie en continuïteit van dienstverlening. 

Dit kunnen bijvoorbeeld overheidsorganisaties, financiële instellingen, dienstverleners, productiebedrijven of andere organisaties zijn. 

Wat betekent CYRA-IT concreet voor jou? 

CYRA-IT bied je als opdrachtgever een praktisch instrument om grip te krijgen op de digitale weerbaarheid in je leveranciersketen. 

Met CYRA-IT kun je: 

  1. Heldere en proportionele eisen stellen aan je leverancier
    Je bepaalt welk CYRA-niveau (Entry, Basic, Intermediate of Advanced) passend is bij: 
    • De gevoeligheid van informatie
    • De impact bij uitval van systemen of dienstverlening; 
    • De mate van toegang tot jouw IT-omgeving; 
    • Het risicoprofiel van de leverancier. 
      Dit niveau kun je opnemen in aanbestedingen, contracten en inkoopvoorwaarden. 
  2. Digitale weerbaarheid laten aantonen door leveranciers.
    Leveranciers vullen de CYRA-IT vragenlijst in via de CYRA-tool en kunnen: 
    • Een zelfverklaring downloaden en delen; 
    • Kiezen voor onafhankelijke beoordeling door een geaccrediteerde certificatie-instelling. 
      Zo ontvang je een uniforme en toetsbare onderbouwing van het gekozen niveau. 
  3. Aansluiten op een internationaal normenkader 
    CYRA-IT is gebaseerd op de ISO/IEC 27001 en ISI/IEC 27701. Hiermee sluit je aan bij een internationaal erkend kader voor informatiebeveiliging, zonder direct implementatie van de volledige norm te eisen van de leverancier.
Schema CYRA-IT

Waarom is CYRA-IT belangrijk voor opdrachtgevers? 

Organisaties werken steeds intensiever samen met digitale leveranciers. Software-as-a-Service, cloudplatformen en externe beheerders zijn vaak essentieel voor de bedrijfsvoering. Daardoor verschuiven risico’s naar de leveranciersketen. Een incident bij een leverancier kan leiden tot datalekken, verstoring van dienstverlening, financiële schade en reputatieschade van jouw organisatie. 

Tegelijkertijd nemen de wettelijke eisen toe, onder andere vanuit de Cyberbeveiligingswet. Deze wet verplicht essentiële en belangrijke entiteiten om passende maatregelen te nemen om hun digitale weerbaarheid te versterken. Voor opdrachtgevers betekent dit dat je aantoonbaar grip moet houden op digitale risico’s. Niet alleen binnen de eigen organisatie, maar ook binnen de leveranciersketen. Ketenverantwoordelijkheid is hierbij een belangrijk onderdeel. Denk aan het maken van duidelijke afspraken met leveranciers over hun digitale weerbaarheid. 

CYRA-IT helpt hierbij. Leveranciers kunnen hun volwassenheid aantonen met een CYRA-zelfverklaring of een externe beoordeling via een geaccrediteerde certificatie-instelling. Zo kun je samen afspraken maken over het gewenste CYRA-niveau. Bovendien helpt CYRA-IT leveranciers om stapsgewijs de digitale weerbaarheid te verhogen, in lijn met de uitgangspunten van de ISO/IEC 27001. 

Geen vervanging van de ISO/IEC 27001, maar een praktisch groeimodel 

CYRA-IT is geen volledige ISO/IEC 27001. Het is een instap- en groeimodel dat: 

  • De kern van ISO/IEC 27001 vertaalt naar een praktische online vragenlijst in de CYRA-tool
  • Toepasbaar is voor organisaties van verschillende groottes en volwassenheid
  • Een laagdrempelige manier biedt om de digitale weerbaarheid aantoonbaar te maken. 

Voor jou als opdrachtgever betekent dit: een werkbaar, schaalbaar en normatief onderbouwd instrument om grip te krijgen en houden op de digitale risico’s in jouw leveranciersketen. 

Meer weten over CYRA? 

Heb je vragen of wil je meer informatie? Lees dan meer over de CYRA-methode of mail naar cyra@hetccv.nl.