Hightech-toeleveranciers · Brainport-keten

Bewijs één keer, van AVG tot uw OEM-keten.

Compliance die u kunt aantonen. Eén maatregel telt in ISO 27002, IEC 62443, NIST CSF én AVG tegelijk: u bewijst het één keer en gebruikt dat bewijs bij elke uitvraag opnieuw. Geen tientallen uren per ronde, maar één dossier dat klaarligt.

Gratis scope-check→Plan een gesprek

Specialist verifieert, geen zelf-scoreVast aanspreekpunt in BrainportEU-hosting & versleuteldIntake tot rapport in 14 werkdagen of gratis

Fase 01 · Analyse5 deliverables

Directeursrapport

Gedetailleerd rapport

Verwerkingsregister

Prioriteiten-roadmap

Bevindingenregister

Bevindingen · geprioriteerd

Fase 02 · Bewijs-dossierOEM-klaar

Elke maand completer32/40 geborgd

Illustratie. Uw werkelijke dossier komt uit de analyse en uw portaal.

01Het probleem

Elke OEM-uitvraag opnieuw, en de klok tikt.

Uw opdrachtgevers scherpen hun security-eisen aan en geven ze via de keten aan u door. Zonder herbruikbaar dossier kost elke ronde opnieuw uren, en een zwak antwoord kan een order kosten.

Steeds dezelfde vragenlijst

Elke OEM stuurt zijn eigen supplier-security-uitvraag. Zonder centraal dossier begint u telkens opnieuw, al snel tientallen uren per ronde.

ISO 9001 dekt het niet

Uw kwaliteitssysteem is sterk, maar informatiebeveiliging, incident-melding en uw ketenpositie zitten er niet automatisch in.

Een zwak antwoord is orderrisico

Een trager of zwakker security-antwoord dan uw concurrent kan een contract vertragen of kosten, ook bij gelijke prijs en kwaliteit.

De keten duwt door

Ook als u zelf niet onder de wet valt, leggen OEMs zoals ASML, VDL en NXP de eisen contractueel bij u neer.

02De keten

De eis stroomt naar u toe.

Ook als u zelf niet onder de wet valt, geven uw opdrachtgevers hun security-eisen contractueel aan u door. De keten eindigt niet bij u: ook uw eigen toeleveranciers moeten meekomen.

OEM's

zoals ASML, VDL, NXP

security-eisen

Uw bedrijf

u moet aantoonbaar voldoen

doorgifte

Uw toeleveranciers

u geeft de eisen door

03IT én OT

Compliance stopt niet bij uw kantoor-IT.

Een securityvragenlijst van een OEM gaat allang niet meer alleen over e-mail en laptops. Uw machines, besturingssystemen en testopstellingen, uw operationele technologie (OT), vormen een eigen wereld, met eigen risico's. Juist daar kijkt een leveranciersaudit steeds nauwkeuriger.

OT is geen IT

Een machine op de vloer updatet of herstart u niet zoals een laptop. Beveiliging daar vraagt een andere aanpak: netwerkscheiding, toegang en monitoring die de productie niet stilleggen.

ISO 9001 dekt dit niet vanzelf

Kwaliteitsborging en kantoor-IT raken de productievloer zelden, terwijl IEC 62443 en uw OEM daar wél naar vragen.

Kantoor én vloer, één dossier

Wij brengen beide samen in dezelfde onderbouwing, zodat u één antwoord klaar heeft als de uitvraag over OT gaat.

04Eenmalig vs doorlopend

Een vragenlijst invullen is een momentopname. Een dossier is altijd klaar.

De meeste toeleveranciers vullen elke OEM-uitvraag opnieuw in, als los project. Het antwoord klopt op de dag van versturen en veroudert daarna stilletjes, tot de volgende audit.

Eenmalig invullen

Een momentopname

Elke uitvraag begint van nul
Het antwoord veroudert zodra er iets verandert
Geen spoor van wat wanneer is aangepast

Doorlopend dossier

Altijd klaar

Eén onderbouwing, elke uitvraag opnieuw bruikbaar
Verandert er iets, dan herijkt u dát, niet het hele dossier
Onveranderbaar spoor van elke wijziging

05Waarom borging

Eén maatregel, vier kaders gedekt.

Toegangsbeheer goed inrichten telt tegelijk mee voor ISO 27002, IEC 62443, NIST CSF én de AVG. U bewijst één keer; het portaal vertaalt dat bewijs naar elke uitvraag. Dat is audit-grade bewijs voor leveranciersaudits.

Meervoudige dekking1 maatregel · 4 kaders

Eén maatregel

Toegangsbeheer & MFA

Eén keer goed ingericht.

ISOISO 27002A.5 · toegangsbeleid

IECIEC 62443SR 1.1 · identificatie

CSFNIST CSFPR.AC · access control

AVGAVGart. 32 · beveiliging

Eén maatregel, vier kaders gedekt, onveranderbaar vastgelegd.

Bewijs één keer, toon overal
U onderbouwt een maatregel één keer. Het portaal koppelt dat bewijs aan elk kader dat een OEM uitvraagt.
Onderbouwd voor leveranciersaudits
Elk antwoord is herleidbaar naar de onderliggende maatregel en het bewijs, dus u kunt het toelichten als een auditor doorvraagt.
Geen dubbel werk per uitvraag
Een nieuwe vragenlijst is een hergebruik-oefening, geen project. Tientallen uren worden minuten.

06De tijdlijn

U bent de regelgeving vóór.

AVG geldt al. De Cyberbeveiligingswet (NIS2) wordt medio 2026 verwacht (inwerkingtreding bij koninklijk besluit), met de keten- en productregels in het kielzog. Wij zorgen dat u klaar bent voordat het moet, niet erna.

AVGGeldt sinds 2018Geldt nu

AI Act · art. 5 + geletterdheidGeldt sinds 2025Geldt nu

Cyberbeveiligingswet (NIS2)Beoogd medio 2026Komt eraan

Cyber Resilience ActMeldplicht sep 2026, eisen dec 2027Komt eraan

AI Act · hoog-risicoGefaseerd 2027 en 2028Op de horizon

Valt u er zelf onder? Dat hangt af van twee dingen: uw sector en uw omvang. De directe plicht begint rond 50 medewerkers. Kleinere metaaltoeleveranciers vallen vaak niet rechtstreeks onder de Cyberbeveiligingswet. Maar uw grote OEM-klant wél, en die is wettelijk verplicht zijn toeleverketen te toetsen. Zo bereikt de eis u via het contract, ook zonder dat de wet u direct aanwijst. De AVG geldt hoe dan ook, ongeacht uw omvang.

07Het groeipad

Van nulmeting naar aantoonbaar, in een haalbaar tempo.

U hoeft niet op dag één gecertificeerd te zijn. Via een MKB-haalbaar tussenstation groeit u naar de normen die OEMs vragen.

Analyse

De nulmeting: waar staat u nu, per norm.

CYRA

Een haalbaar MKB-tussenstation met vier niveaus, mede-ontwikkeld door de Brainport-community en TÜV NORD, beheerd door het CCV. Richt zich op dezelfde control-domeinen die OEMs vragen.

Richting ISO 27001

Als u verder wilt, groeit u door naar het certificeerbare managementsysteem.

ASML eist de normen (ISO 27002, IEC 62443, NIST CSF), niet CYRA op zichzelf. CYRA is een haalbare route ernaartoe. Het certificaat geeft een certificerende instelling, niet Codex.

08In de praktijk

Eén plek voor uw keten-dossier.

Registers, leveranciers en bewijs op één plek. Eén maatregel-eigenaar, één reviewcyclus, en een export die in de taal van uw OEM spreekt.

Registers

Leveranciers & data op orde

Uw eigen toeleveranciers met VWO-status, documenten met versiebeheer. De keten loopt door tot achter u.

Werklijst

Borging die zichzelf bewaakt

Elke maatregel heeft een eigenaar, een deadline en een reviewcyclus. Eén taak dekt vaak meerdere kaders tegelijk.

Rapporten

OEM-antwoord in één klik

Een bewijs-uittreksel in de taal van wie erom vraagt, onveranderbaar onderbouwd, elke uitvraag opnieuw.

09Bewijs, geen belofte

Bewijs dat een auditor kan natrekken.

Elke wijziging in uw dossier wordt onveranderbaar vastgelegd: achteraf iets aanpassen breekt het spoor zichtbaar. Bij een leveranciersaudit toont u niet alleen wát er staat, maar ook dat het niet stilletjes is bijgesteld.

Onveranderbaar auditspoor van elke actie
EU-datacenter · Ierland: uw data blijft in Europa
TLS 1.3 onderweg, AES-256 in opslag: standaard
Isolatie per organisatie (Row-Level Security) + MFA

Audit-trail · hash-chainintact

#0061Toegangsbeheer & MFA onderbouwd

#0062OT-segmentatie vastgelegd

#0063Incident-meldproces getoetst

#0064OEM-uittreksel geëxporteerd

elke regel onweerlegbaar gekoppeld aan de vorige

10Eerlijk

Wat wij wel en niet doen.

Vertrouwen begint met eerlijk zijn over de grenzen.

Wij leveren de onderbouwing en het bewijs-dossier, geen certificaat. Dat geeft een certificerende instelling.

ASML eist de normen (ISO 27002, IEC 62443, NIST CSF), niet CYRA op zichzelf. CYRA is een haalbare route ernaartoe.

Wij vervangen uw kwaliteits- of IT-team niet. Wij geven ze een werkomgeving en houden het dossier compleet.

De verantwoordelijkheid voor wat u aan uw OEM verklaart, blijft bij u en uw bestuur.

Klaar voor de volgende OEM-uitvraag

Bewijs één keer. Lever bij elke uitvraag.

Begin met de gratis scope-check: in twee minuten weet u welke kaders en eisen voor u gelden. Daarna bouwen we het dossier waarmee u een OEM-uitvraag onderbouwd beantwoordt.