Auditgereede ISO 27001-risicobeoordeling voor NIS2 en DORA
De koffie op Sarahs bureau was koud.
Als CISO van een snelgroeiende fintech was zij gewend aan druk. Het bedrijf had net een grote bancaire partner binnengehaald, en de due-diligencevragenlijst op haar scherm had een formaliteit moeten zijn. De eerste vragen waren bekend: lever de ISO/IEC 27001:2022 Verklaring van Toepasselijkheid aan, deel het meest recente risicoregister, licht de risicobeoordelingsmethodologie toe.
Daarna veranderde de vragenlijst van toon.
Toon aan hoe uw risicobeheerprogramma DORA adresseert. Licht uw voorbereiding op de NIS2-richtlijn toe, inclusief managementverantwoordelijkheid en risicobeperkende maatregelen voor de toeleveringsketen. Lever bewijs aan dat kritieke ICT-leveranciers worden beoordeeld, gemonitord en gedekt door incidentresponsplannen en bedrijfscontinuïteitsplannen.
Op maandagochtend stond hetzelfde onderwerp op de agenda van het risicocomité van het bestuur. De ISO 27001-certificeringsaudit was over acht weken. DORA-druk kwam van klanten uit de financiële sector. NIS2-classificatievragen speelden rond een in de cloud gehoste servicelijn die naar de EU uitbreidde. Inkoop zei dat leveranciersbeoordelingen bestonden, maar het bewijs stond verspreid over e-mail, contractmappen en een leveranciersspreadsheet. Juridische zaken zei dat de regelgevingsmapping nog liep. Engineering zei dat het risicoregister grotendeels gereed was.
Het bestuur stelde de enige vraag die ertoe deed:
Kunnen wij aantonen dat onze risicobeoordeling en ons risicobehandelingsplan toereikend zijn?
Dat is het werkelijke probleem voor SaaS-, fintech-, managed-service-, cloud- en digitaleplatformbedrijven. Niet of er een risicoregister bestaat. Niet of Annex A-beheersmaatregelen in een spreadsheet zijn gekopieerd. Het gaat erom of de organisatie onder audit- en klantdruk kan aantonen dat haar ISO 27001-risicobeoordelingsproces herhaalbaar, risicogebaseerd, door risico-eigenaren goedgekeurd, gekoppeld aan behandelacties, verbonden met wettelijke verplichtingen en operationeel levend is.
Goed uitgevoerd kunnen één ISO 27001-risicobeoordeling en één risicobehandelingsplan ISO/IEC 27001:2022-certificering, NIS2 Article 21-maatregelen voor cyberbeveiligingsrisicobeheer, DORA-vereisten voor ICT-risicobeheer, GDPR-verantwoordingsplicht, leveranciersassurance, paraatheid voor incidenten en bestuursrapportage ondersteunen.
Slecht uitgevoerd wordt het een spreadsheet die auditors binnen dertig minuten uit elkaar halen.
Deze gids laat zien hoe Clarysec auditgereed bewijs voor ISO 27001-risicobeoordeling en risicobehandeling opbouwt met behulp van de Zenith Blueprint: de 30-stappenroadmap van een auditor, Clarysec-beleid en Zenith Controls: de gids voor geïntegreerde compliance.
Waarom ISO 27001-risicobeoordeling nu een complianceknooppunt is
Het EU-regelgevingslandschap convergeert rond een eenvoudig uitgangspunt: cyberbeveiligingsrisico’s moeten worden bestuurd, gedocumenteerd, getest en toegewezen aan eigenaren.
ISO/IEC 27001:2022 werkt al op die manier. Clausules 4.1 tot en met 4.4 vereisen dat de organisatie haar context, belanghebbenden, ISMS-toepassingsgebied en procesinteracties begrijpt voordat risico’s worden beoordeeld. Clausules 6.1.2 en 6.1.3 vereisen een gedefinieerd proces voor informatiebeveiligingsrisicobeoordeling en -behandeling. Clausules 8.2 en 8.3 vereisen dat de organisatie risicobeoordelingen uitvoert en het risicobehandelingsplan implementeert, met behoud van gedocumenteerde informatie.
NIS2 en DORA maken dezelfde risicogebaseerde logica urgenter.
NIS2 Article 20 vereist dat bestuursorganen van essentiële en belangrijke entiteiten cyberbeveiligingsrisicobeheersmaatregelen goedkeuren, toezicht houden op de implementatie en cyberbeveiligingstraining volgen. Article 21 vereist passende en evenredige technische, operationele en organisatorische maatregelen om risico’s voor netwerk- en informatiesystemen te beheren. Die maatregelen omvatten risicoanalyse, incidentafhandeling, bedrijfscontinuïteit, beveiliging van de toeleveringsketen, veilige ontwikkeling, kwetsbaarhedenbeheer, beoordeling van de doeltreffendheid, cyberhygiëne, cryptografie, HR-beveiliging, toegangscontrole, beheer van bedrijfsmiddelen en, waar passend, multifactorauthenticatie of beveiligde communicatie.
DORA legt vergelijkbare druk op financiële entiteiten. Articles 5 en 6 vereisen dat het leidinggevend orgaan regelingen voor ICT-risicobeheer definieert, goedkeurt, daar toezicht op houdt en daarvoor verantwoordelijk blijft. DORA verwacht een gedocumenteerd kader voor ICT-risicobeheer dat is geïntegreerd in het algemene risicobeheer, ondersteund door beleid, procedures, protocollen, tools, interne audit, herstelmaatregelen, continuïteit, testen, incidentbeheer en governance van ICT-derden.
De conclusie is praktisch en onvermijdelijk: het risicoregister is niet langer een werkblad van het technische team. Het is governancebewijs.
Clarysecs Enterprise Beleid inzake risicobeheer maakt deze verwachting expliciet:
Er moet een formeel risicobeheerproces worden onderhouden in overeenstemming met ISO/IEC 27005 en ISO 31000, dat risico-identificatie, analyse, evaluatie, behandeling, monitoring en communicatie omvat.
Uit Enterprise Beleid inzake risicobeheer, sectie “Governancevereisten”, beleidsclausule 5.1.
Hetzelfde beleid definieert het auditgereede resultaat:
Een gecentraliseerd risicoregister en risicobehandelingsplan onder versiebeheer moeten worden onderhouden, waarin de actuele risicostatus, dekking van beheersmaatregelen en voortgang van risicobeperking worden weergegeven.
Uit Enterprise Beleid inzake risicobeheer, sectie “Doelstellingen”, beleidsclausule 3.3.
Die formulering, “actuele risicostatus, dekking van beheersmaatregelen en voortgang van risicobeperking”, markeert het verschil tussen een statisch compliancedossier en een verdedigbaar risicoprogramma.
Begin met toepassingsgebied, verplichtingen en risicocriteria
Veel zwakke ISO 27001-risicobeoordelingen beginnen met een checklist van beheersmaatregelen. Dat is de omgekeerde volgorde.
ISO 27001 vereist dat de organisatie context, eisen van belanghebbenden, ISMS-toepassingsgebied, leiderschapsverantwoordelijkheden en risicoplanning vaststelt voordat beheersmaatregelen worden geselecteerd. ISO/IEC 27005:2022 versterkt dit door organisaties te adviseren de basisvereisten van belanghebbenden te identificeren voordat risico’s worden beoordeeld. Die vereisten kunnen voortkomen uit ISO-normen, sectorregelgeving, nationale wetgeving, klantcontracten, intern beleid, eerdere risicobehandelingsactiviteiten en leveranciersverplichtingen.
Voor een SaaS- of fintechbedrijf dat zich op de EU richt, moet het risicoproces beginnen met een inventaris van complianceverplichtingen.
| Bron van vereisten | Waarom dit de ISO 27001-risicobeoordeling beïnvloedt | Bewijsartefact |
|---|---|---|
| ISO/IEC 27001:2022 clausules 4, 5, 6, 8, 9 en 10 | Definieert context, leiderschap, risicobeoordeling, risicobehandeling, operationele beheersing, prestatie-evaluatie en verbetering | ISMS-toepassingsgebied, risicomethodologie, risicoregister, risicobehandelingsplan, SoA, registraties van managementbeoordelingen |
| NIS2 Articles 20, 21 en 23 | Voegt managementverantwoordelijkheid, cyberbeveiligingsmaatregelen voor alle risico’s en verwachtingen voor incidentmelding toe | Goedkeuring door het bestuur, Article 21-mapping, draaiboek voor incidentmelding, continuïteitsbewijs |
| DORA Articles 5, 6, 11, 12, 17, 18, 19, 24, 28 en 30 | Vereist ICT-risicogovernance, continuïteit, back-up en herstel, incidentlevenscyclus, testen en beheersmaatregelen voor ICT-risico’s van derde partijen | ICT-risicokader, BCP-tests, incidentregister, registraties van weerbaarheidstests, ICT-leveranciersregister |
| GDPR Articles 3, 4, 5, 6, 9, 10, 25, 32, 33 en 34 | Vereist verantwoordingsplicht, rechtmatige verwerking, gegevensbescherming door ontwerp, passende beveiliging en beoordeling van inbreuken | Gegevensinventaris, mapping van rechtsgronden, privacyrisico-items, koppelingen naar DPIA’s, registraties van inbreukbeoordelingen |
| Leveranciers- en klantcontracten | Zet commerciële toezeggingen om in risicocriteria, beheersmaatregelen, bewijs en termijnen | Contractregister, registraties van due diligence, auditrechten, SLA’s, exitclausules |
Voor mkb-organisaties bepaalt Clarysecs Beleid inzake juridische en regelgevende naleving - mkb het startpunt:
De algemeen directeur moet een eenvoudig, gestructureerd nalevingsregister onderhouden waarin het volgende is opgenomen:
Uit Beleid inzake juridische en regelgevende naleving - mkb, sectie “Governancevereisten”, beleidsclausule 5.1.1.
Dat eenvoudige register vormt de brug tussen compliance en risicobeheer. Als daarin staat dat GDPR van toepassing is omdat persoonsgegevens uit de EU worden verwerkt, dat NIS2 van toepassing kan zijn omdat de organisatie digitale of beheerde diensten levert, of dat DORA relevant is via klanten uit de financiële sector, dan moeten die verplichtingen invloed hebben op risicocriteria en behandelprioriteiten.
De Zenith Blueprint is hierover expliciet in de risicobeheerfase, stap 10, “Risicocriteria en impactmatrix vaststellen”:
Neem ook wettelijke en regelgevende vereisten mee in uw acceptatiecriteria. Sommige risico’s kunnen ongeacht de waarschijnlijkheid onaanvaardbaar zijn op grond van wetgeving.
Uit Zenith Blueprint, risicobeheerfase, stap 10.
De Blueprint geeft ook een praktische regel voor workshops:
“Elk risico dat kan leiden tot niet-naleving van toepasselijke wetgeving (GDPR, enz.) is niet aanvaardbaar en moet worden gemitigeerd.”
Uit Zenith Blueprint, risicobeheerfase, stap 10.
Voor Sarahs fintech verandert dit het scoringsmodel. Een kwetsbaarheid in een leveranciers-API kan een lage waarschijnlijkheid hebben, maar als exploitatie een groot DORA ICT-gerelateerd incident, een significant NIS2-incident, een GDPR-inbreukbeoordeling, het niet halen van een klant-SLA of escalatie naar bestuursniveau kan veroorzaken, is de impact hoog of kritiek. Blootstelling aan compliancerisico’s wordt onderdeel van de risicologica, geen afzonderlijke spreadsheet.
Bouw een risicoregister dat auditors kunnen toetsen
Auditors vragen niet alleen wat uw grootste risico’s zijn. Zij toetsen of uw methode is gedefinieerd, herhaalbaar, traceerbaar en gevolgd.
Zij zullen vragen:
- Hoe hebt u deze risico’s geïdentificeerd?
- Welke bedrijfsmiddelen, diensten, leveranciers, gegevenstypen en processen vielen binnen het toepassingsgebied?
- Welke criteria zijn gebruikt voor waarschijnlijkheid en impact?
- Wie is eigenaar van elk risico?
- Welke bestaande beheersmaatregelen verlagen het risico?
- Waarom is het behandelbesluit gekozen?
- Waar is het bewijs dat de behandeling is uitgevoerd?
- Wie heeft het restrisico goedgekeurd?
- Wanneer wordt het risico opnieuw beoordeeld?
Clarysecs Beleid inzake risicobeheer - mkb legt vast wat minimaal nodig is voor een auditgereed risico-item:
Elk risico-item moet het volgende bevatten: beschrijving, waarschijnlijkheid, impact, score, eigenaar en risicobehandelingsplan.
Uit Beleid inzake risicobeheer - mkb, sectie “Governancevereisten”, beleidsclausule 5.1.2.
Voor enterpriseprogramma’s breidt de Zenith Blueprint in de risicobeheerfase, stap 11, “Het risicoregister opbouwen en documenteren”, de structuur uit. De Blueprint beveelt kolommen aan zoals risico-ID, bedrijfsmiddel, dreiging, kwetsbaarheid, risicobeschrijving, waarschijnlijkheid, impact, risiconiveau, huidige beheersmaatregelen, risico-eigenaar, behandelbesluit, behandelplan of beheersmaatregelen en status.
Een sterk risico-item ziet er als volgt uit:
| Veld | Voorbeelditem |
|---|---|
| Risico-ID | R-042 |
| Bedrijfsmiddel of proces | Verwerking van klantgegevens via een betaal-API van een derde partij en productiedatabase |
| Dreiging | Exploitatie van een kritieke kwetsbaarheid in de leveranciers-API of ondersteunende clouddatabasedienst |
| Kwetsbaarheid | Beperkte zichtbaarheid op het kwetsbaarhedenbeheer van de leverancier, onvolledige hersteltesten en geen getest draaiboek voor leveranciersinbreuken |
| Risicobeschrijving | Een compromittering van een leverancier of clouddienst kan financiële gegevens blootstellen, dienstverlening verstoren, regelgevende meldingen activeren en klantcontracten schenden |
| Huidige beheersmaatregelen | SSO, rolgebaseerde toegang, leverancierscontract, productielogging, dagelijkse back-ups, kwartaalgewijze toegangsbeoordeling |
| Waarschijnlijkheid | Gemiddeld |
| Impact | Kritiek |
| Risiconiveau | Kritiek |
| Risico-eigenaar | CTO en hoofd Platform Engineering |
| Behandelbesluit | Mitigeren |
| Regelgevingsmapping | ISO 27001 Annex A-beheersmaatregelen voor leveranciers, cloud, incidenten, logging, toegang, continuïteit, back-up en naleving van wettelijke vereisten; NIS2 Articles 20, 21 en 23; DORA Articles 5, 6, 11, 12, 17, 18, 19, 24, 28 en 30; GDPR Articles 32, 33 en 34 |
| Bewijs | Leveranciers-due diligence, verzoek om auditrechten, hersteltestrapport, SIEM-monitoringregel, tabletopoefening voor incidenten, bijgewerkte SoA, notulen van de managementbeoordeling |
Dit verschilt wezenlijk van “Risico derde partij, Hoog, mitigeren.” De auditgereede versie koppelt bedrijfsmiddel, dreiging, kwetsbaarheid, gevolg, huidige beheersmaatregelen, eigenaar, regelgeving, bewijs en governance.
Zet risicobehandeling om in een bewijsplan
Een risicobehandelingsplan moet vier operationele vragen beantwoorden:
- Wat gaan we doen?
- Wie is eigenaar?
- Wanneer is het gereed?
- Hoe tonen we aan dat het risico is verlaagd?
ISO/IEC 27001:2022 clausule 6.1.3 vereist dat de organisatie behandelopties selecteert, noodzakelijke beheersmaatregelen bepaalt, deze vergelijkt met Annex A om omissies te voorkomen, een Verklaring van Toepasselijkheid opstelt, een risicobehandelingsplan formuleert en goedkeuring verkrijgt van risico-eigenaren voor het plan en de restrisico’s. Clausule 8.3 vereist vervolgens implementatie van het risicobehandelingsplan en bewaarde gedocumenteerde informatie over de resultaten.
Het Enterprise Beleid inzake risicobeheer maakt dit praktisch:
De risicomanager moet waarborgen dat risicobehandelingen realistisch en tijdgebonden zijn en zijn gekoppeld aan ISO/IEC 27001 Annex A-beheersmaatregelen.
Uit Enterprise Beleid inzake risicobeheer, sectie “Vereisten voor beleidsimplementatie”, beleidsclausule 6.4.2.
Het mkb-beleid verduidelijkt ook dat acceptatie geen sluiproute is:
Accepteren: motiveer waarom geen verdere actie vereist is en registreer het restrisico.
Uit Beleid inzake risicobeheer - mkb, sectie “Vereisten voor beleidsimplementatie”, beleidsclausule 6.1.1.
Acceptatie moet worden gerechtvaardigd aan de hand van criteria, worden goedgekeurd door de juiste eigenaar en worden gevolgd. Onder NIS2 en DORA kan een niet-goedgekeurd restrisico een governancefout worden.
Een volledig risicobehandelingsplan moet deze velden bevatten:
| Behandelveld | Auditdoel |
|---|---|
| Risico-ID | Koppelt de behandeling terug aan het beoordeelde risico |
| Behandeloptie | Toont de onderbouwing: mitigeren, vermijden, overdragen of accepteren |
| Geselecteerde beheersmaatregelen | Verbindt het risico met Annex A, beleid en technische waarborgen |
| Regelgevende driver | Toont relevantie voor NIS2, DORA, GDPR, contracten of klanten |
| Actie-eigenaar | Toont verantwoordingsplicht aan |
| Vervaldatum | Maakt de behandeling tijdgebonden |
| Implementatiebewijs | Toont aan dat de actie is afgerond |
| Doeltreffendheidsmaatstaf | Toont of waarschijnlijkheid of impact is verlaagd |
| Restrisico | Toont de resterende blootstelling |
| Goedkeuring door risico-eigenaar | Toont acceptatie en governance aan |
Voor Sarahs R-042 wordt het risicobehandelingsplan een actielijst voor geïntegreerde compliance.
| Risico-ID | Behandelactie | ISO/IEC 27001:2022 Annex A-referentie | NIS2-relevantie | DORA-relevantie | Eigenaar | Bewijs |
|---|---|---|---|---|---|---|
| R-042 | Oefen auditrechten bij de leverancier uit en vraag bewijs over kwetsbaarhedenbeheer op | 5.19, 5.20, 5.21, 5.22, 5.31 | Article 21(2)(d) beveiliging van de toeleveringsketen | Articles 28 en 30 ICT-risico’s van derde partijen en contracten | CTO en inkoopverantwoordelijke | Auditverzoek, leveranciersreactie, contractbeoordeling |
| R-042 | Implementeer versterkte monitoring op afwijkende API-activiteit en geprivilegieerde activiteit | 8.15, 8.16, 5.16, 5.17, 5.18 | Article 21(2)(i) toegangscontrole en beheer van bedrijfsmiddelen | Articles 6 en 17 ICT-risico en incidentbeheer | SOC-manager | SIEM-regel, waarschuwingstest, toegangsbeoordeling |
| R-042 | Test back-upherstel en definieer RTO en RPO op serviceniveau | 5.30, 8.13, 8.14 | Article 21(2)(c) bedrijfscontinuïteit en back-up | Articles 11 en 12 respons, herstel, back-up en herstelactiviteiten | Hoofd Platform Engineering | Herstelrapport, goedkeuring van RTO en RPO |
| R-042 | Voer een tabletopoefening voor een leveranciersinbreuk uit | 5.24, 5.26, 5.27, 5.29 | Articles 21(2)(b) en 23 incidentafhandeling en melding | Articles 17, 18, 19 en 24 incidentbeheer, classificatie, rapportage en testen | CISO | Registratie van de tabletopoefening, geleerde lessen, tracker voor herstelmaatregelen |
| R-042 | Werk de SoA bij en keur het restrisico goed | 5.4, 5.31, 5.35 | Article 20 managementverantwoordelijkheid | Articles 5 en 6 governance en ICT-risicokader | CISO en risico-eigenaar | Bijgewerkte SoA, goedkeuringsregistratie, notulen van de managementbeoordeling |
Dit plan is krachtig omdat het een directe lijn legt van één risicoscenario naar ISO 27001-beheersmaatregelen, NIS2-verplichtingen, DORA-artikelen, eigenaren en bewijs.
Laat de Verklaring van Toepasselijkheid harder werken
De Verklaring van Toepasselijkheid wordt vaak behandeld als een certificeringsartefact. Zij moet meer zijn dan dat.
ISO/IEC 27001:2022 clausule 6.1.3 vereist dat de SoA de noodzakelijke beheersmaatregelen, de motivering voor opname, de implementatiestatus en de motivering voor uitsluitingen bevat. De richtlijnen in ISO/IEC 27005:2022 versterken de noodzaak om geselecteerde beheersmaatregelen te vergelijken met ISO/IEC 27001 Annex A om omissies te voorkomen.
In een auditgereed programma vormt de SoA de brug tussen risicobehandeling en bewijs voor geïntegreerde compliance. Als een risicobehandelingsplan MFA, logging, leveranciersmonitoring, back-upherstel, veilige ontwikkeling, incidentescalatie of cloudexitplanning vereist, moet de SoA laten zien dat de relevante Annex A-beheersmaatregelen zijn opgenomen, gemotiveerd, geïmplementeerd of gepland en onderbouwd met bewijs.
Dit helpt ook een veelvoorkomende auditbevinding te voorkomen: het risicoregister zegt het ene, het risicobehandelingsplan zegt iets anders en de SoA zwijgt. Wanneer deze artefacten niet op elkaar aansluiten, verliezen auditors snel vertrouwen.
ISO 27001-risicobehandeling koppelen aan NIS2, DORA en GDPR
ISO 27001 vervangt NIS2, DORA of GDPR niet. Het biedt een gestructureerd mechanisme om bewijs voor deze regimes te produceren.
De sleutel is om mapping in het risicoproces in te bouwen in plaats van die er later aan vast te schroeven.
| Bewijs voor ISO 27001-risicobehandeling | NIS2-relevantie | DORA-relevantie | GDPR-relevantie |
|---|---|---|---|
| Risicocriteria met score voor regelgevende impact | Ondersteunt Article 21 evenredige maatregelen voor cyberbeveiligingsrisicobeheer | Ondersteunt Articles 4, 5 en 6 proportionaliteit, governance en ICT-risicokader | Ondersteunt verantwoordingsplicht en passende beveiliging |
| Risicoregister met eigenaren en CIA-impact | Ondersteunt Article 20 managementtoezicht en Article 21 risicoanalyse | Ondersteunt gedocumenteerd ICT-risicobeheer en eigenaarschap | Ondersteunt aantoonbaar bewustzijn van risico’s voor persoonsgegevens |
| Risicobehandelingsplan gekoppeld aan Annex A | Ondersteunt Article 21-maatregelen over incidenten, continuïteit, leveranciers, toegang, kwetsbaarheden en veilige ontwikkeling | Ondersteunt ICT-beheersmaatregelen, incidentbeheer, continuïteit, testen en weerbaarheid bij derde partijen | Ondersteunt technische en organisatorische maatregelen onder Article 32 |
| Leveranciersrisico-items en contractuele beheersmaatregelen | Ondersteunt Article 21(2)(d) beveiliging van de toeleveringsketen | Ondersteunt Articles 28 en 30 ICT-risico’s van derde partijen en contractvereisten | Ondersteunt waarborgen voor verwerkers en doorgiften waar van toepassing |
| Incidentscenario’s en rapportagedraaiboeken | Ondersteunt de meldingsworkflow voor significante incidenten onder Article 23 | Ondersteunt Articles 17, 18 en 19 incidentbeheer, classificatie en rapportage | Ondersteunt Articles 33 en 34 beoordeling van meldplicht bij inbreuken |
| Behandelingen voor BCP, back-up en herstel | Ondersteunt Article 21(2)(c) continuïteit, back-up, herstel na verstoringen en crisisbeheer | Ondersteunt Articles 11 en 12 respons, herstel, back-up en herstelactiviteiten | Ondersteunt beschikbaarheid en weerbaarheid wanneer persoonsgegevens betrokken zijn |
| Beoordelingen van doeltreffendheid van beheersmaatregelen | Ondersteunt Article 21(2)(f) beoordeling van de doeltreffendheid | Ondersteunt Article 24 verwachtingen rond testen en herstelmaatregelen | Ondersteunt voortdurende verantwoordingsplicht |
Deze mapping is vooral belangrijk waar regelgeving overlapt. DORA is het sectorspecifieke regime voor ICT-weerbaarheid voor veel financiële entiteiten, terwijl NIS2 rechtstreeks relevant kan blijven voor bepaalde aanbieders, coördinatie of entiteiten buiten de reikwijdte van DORA. Een fintech kan DORA nodig hebben als primair kader voor ICT-weerbaarheid, terwijl een managed service provider die die fintech ondersteunt zelf direct onder NIS2-verplichtingen kan vallen.
Het risicoregister moet beide kanten van die afhankelijkheid kunnen laten zien.
Gebruik Zenith Controls als kompas voor geïntegreerde compliance
Clarysec gebruikt Zenith Controls als gids voor geïntegreerde compliance om te voorkomen dat ISO-beheersmaatregelen, regelgevingsartikelen en auditvragen in gescheiden werelden leven. Het creëert geen afzonderlijk beheersmaatregelenkader. Het koppelt beheersmaatregelgebieden uit ISO/IEC 27001:2022 en ISO/IEC 27002:2022 aan andere normen, auditverwachtingen en complianceperspectieven.
Voor ISO 27001-risicobeoordeling en risicobehandeling zijn deze referenties bijzonder belangrijk:
| ISO/IEC 27001:2022 Annex A-referentie gebruikt in Zenith Controls | Waarom dit belangrijk is voor risicobeoordeling en risicobehandeling | Attributen vastgelegd in Zenith Controls |
|---|---|---|
| 5.4 Managementverantwoordelijkheden | Verbindt eigenaarschap van risicobehandeling met governance, rolduidelijkheid en verantwoordingsplicht | Preventieve beheersmaatregel, ondersteunt vertrouwelijkheid, integriteit en beschikbaarheid, mapped naar Identify, Governance, Governance and Ecosystem |
| 5.31 Wettelijke, statutaire, regelgevende en contractuele vereisten | Verbindt het nalevingsregister met risicocriteria, behandelbesluiten en opname in de SoA | Preventieve beheersmaatregel, ondersteunt vertrouwelijkheid, integriteit en beschikbaarheid, mapped naar Identify, Legal and Compliance, Governance, Ecosystem en Protection |
| 5.35 Onafhankelijke beoordeling van informatiebeveiliging | Verbindt interne audit, externe audit en managementassurance met de doeltreffendheid van risicobehandeling | Preventieve en corrigerende beheersmaatregel, ondersteunt vertrouwelijkheid, integriteit en beschikbaarheid, mapped naar Identify and Protect, Information Security Assurance, Governance and Ecosystem |
De les voor geïntegreerde compliance is eenvoudig. Als wettelijke verplichtingen niet in de risicobeoordelingsmethode zitten, is uw scoring onvolledig. Als de scoring onvolledig is, kunnen behandelprioriteiten verkeerd zijn. Als prioriteiten verkeerd zijn, worden de SoA en bestuursrapportage onbetrouwbaar.
De Zenith Blueprint maakt hetzelfde punt in de risicobeheerfase, stap 14, “Beleid voor risicobehandeling en regelgevende kruisverwijzingen”. De Blueprint adviseert organisaties een mappingtabel te maken met belangrijke regelgevende beveiligingsvereisten en bijbehorende beheersmaatregelen of beleidsdocumenten in het ISMS. Dit is niet verplicht voor ISO 27001-certificering, maar het is zeer nuttig om aan te tonen dat beveiliging wordt beheerd binnen de wettelijke en contractuele context.
Wat verschillende auditors zullen vragen
Een certificeringsauditor, NIS2-beoordelaar, DORA-georiënteerde klant, GDPR-beoordelaar, NIST-assessor of COBIT-practitioner kan hetzelfde bewijs onderzoeken, maar andere vragen stellen.
| Auditorperspectief | Typische auditvraag | Verwacht bewijs |
|---|---|---|
| ISO 27001-auditor | Is de risicobeoordelingsmethode gedefinieerd, herhaalbaar, toegepast en gekoppeld aan risicobehandeling en de SoA? | Risicomethodologie, criteria, register, SoA, risicobehandelingsplan, goedkeuringen van restrisico’s |
| NIS2-georiënteerde beoordelaar | Dekken cyberbeveiligingsmaatregelen de Article 21-gebieden en managementverantwoordelijkheid af? | Goedkeuringen door het bestuur, Article 21-mapping, incidentdraaiboek, continuïteitsbewijs, bewijs voor leveranciersrisico’s |
| DORA-georiënteerde beoordelaar | Is ICT-risicobeheer gedocumenteerd, onder governance gebracht, getest en uitgebreid naar ICT-derden? | ICT-risicokader, proces voor incidentclassificatie, BCP-tests, weerbaarheidstesten, ICT-leveranciersregister |
| GDPR-beoordelaar | Kan de organisatie passende beveiliging en verantwoordingsplicht voor risico’s rond persoonsgegevens aantonen? | Gegevensinventaris, mapping van rechtsgronden, procedure voor inbreukbeoordeling, bewijs voor behandeling van privacyrisico’s |
| NIST-georiënteerde assessor | Worden risico’s geïdentificeerd, beschermd, gedetecteerd, beantwoord en hersteld via meetbare beheersmaatregelen? | Risicoscenario’s, inventaris van bedrijfsmiddelen, implementatie van beheersmaatregelen, monitoring, respons- en herstelregistraties |
| COBIT- of ISACA-auditor | Is risicogovernance afgestemd op ondernemingsdoelstellingen, rollen, prestaties, assurance en managementrapportage? | Governancenotulen, RACI, KRI’s, interne-auditbevindingen, opvolging van herstelmaatregelen, managementdashboards |
Daarom is bewijsarchitectuur belangrijk. Hetzelfde risico-item moet traceerbaar zijn van bedrijfsdoelstelling naar bedrijfsmiddel, dreiging, kwetsbaarheid, beheersmaatregel, eigenaar, regelgevende driver, behandelactie, testresultaat en managementbesluit.
Clarysec-beleid is ontworpen om die architectuur te ondersteunen. Het Enterprise Beleid inzake risicobeheer vermeldt onder de sectie “Referentienormen en -raamwerken”:
Article 5: vereist een gedocumenteerd kader voor ICT-risicobeheer, volledig afgedekt door de structuur van dit beleid, inclusief SoA-mapping en KRI’s.
Dit verandert het beleid van een statisch document in auditbewijs dat laat zien dat ICT-risicogovernance bewust is ontworpen met DORA in gedachten.
Veelvoorkomende bevindingen die risicoprogramma’s ondermijnen
Wanneer Clarysec bewijs voor ISO 27001-risicobeoordeling en risicobehandeling beoordeelt, komen dezelfde bevindingen telkens terug.
Ten eerste negeren risicocriteria wettelijke, regelgevende, contractuele, leveranciers- en privacy-impact. Dit leidt tot zwakke scoring. Een datalek rond persoonsgegevens of het falen van een kritieke leverancier kan als Gemiddeld worden beoordeeld omdat de waarschijnlijkheid laag is, terwijl GDPR-, NIS2-, DORA- of klantimpact het risico Hoog of Kritiek zou moeten maken.
Ten tweede zijn risico-eigenaren generiek. “IT” is geen risico-eigenaar. Een risico-eigenaar moet een rol of persoon zijn die verantwoordelijk is voor behandelbesluiten, budget, timing en restrisico.
Ten derde zijn risicobehandelingsplannen niet tijdgebonden. “Monitoring verbeteren” is geen plan. “Waarschuwingen voor geprivilegieerde sessies in de SIEM uitrollen voor productiebeheerdersaccounts uiterlijk 30 juni, eigenaarschap bij de SOC-manager, getest via een gesimuleerde beheerdersaanmelding, met bijgevoegd waarschuwingsbewijs” is wel een plan.
Ten vierde staat de SoA los van de risicobehandeling. Als het behandelplan leveranciersmonitoring, back-uptesten, incidentescalatie, MFA of logging vereist, moet de SoA de relevante beheersmaatregelen en implementatiestatus weerspiegelen.
Ten vijfde is restrisico niet goedgekeurd. ISO 27001 vereist goedkeuring door risico-eigenaren van het risicobehandelingsplan en de restrisico’s. NIS2 en DORA maken dit nog belangrijker omdat managementverantwoordelijkheid expliciet is.
Ten zesde wordt leveranciersrisico behandeld als inkoopadministratie. Onder NIS2 Article 21(2)(d) en DORA Articles 28 en 30 moeten leveranciersrisico’s en ICT-risico’s van derde partijen onderdeel zijn van risicobeheer, geen jaarlijkse vragenlijst die geïsoleerd wordt opgeslagen.
Ten zevende ontbreekt bewijs voor doeltreffendheid. ISO 27001 clausule 6.1.1 vereist dat geplande acties op doeltreffendheid worden geëvalueerd. NIS2 omvat een beoordeling van de doeltreffendheid in Article 21(2)(f). DORA verwacht testen en herstelmaatregelen. Een beheersmaatregel die bestaat maar nooit wordt getest, is zwak bewijs.
Het mkb-Beleid inzake risicobeheer - mkb formuleert de verwachting duidelijk:
De algemeen directeur en risicocoördinator moeten waarborgen dat risicobeheeractiviteiten gereed zijn voor audits. Het risicoregister en gerelateerde acties zijn onderworpen aan interne en externe audit.
Uit Beleid inzake risicobeheer - mkb, sectie “Handhaving en naleving”, beleidsclausule 8.2.1.
Rapportage aan het bestuur zonder bestuurders te overspoelen
NIS2, DORA en ISO 27001 wijzen allemaal richting managementverantwoordelijkheid, maar besturen hebben niet elke risicoregel nodig. Zij hebben rapportage nodig die besluitvorming ondersteunt.
Een goed risicopakket voor het bestuur moet het volgende tonen:
- Hoge en kritieke risico’s per domein
- Achterstallige behandelacties
- Regelgevende risico’s rond NIS2, DORA, GDPR of contracten
- Leveranciersrisico’s die kritieke of belangrijke diensten raken
- Trends in incidenten en bijna-incidenten
- Restrisico’s die op acceptatie wachten
- Testresultaten voor de doeltreffendheid van beheersmaatregelen
- Materiële wijzigingen in toepassingsgebied, leveranciers, technologie of wetgeving
- Interne-auditbevindingen en corrigerende maatregelen
Clarysec beveelt doorgaans maandelijkse operationele risicobeoordelingen en kwartaalgewijze managementbeoordelingen aan. Maandelijkse beoordelingen richten zich op de oplevering van behandelacties. Kwartaalgewijze beoordelingen richten zich op acceptatie, financiering, prioritering, regelgevende blootstelling en strategische risicobesluiten.
Dit ritme ondersteunt ook voortdurende verbetering. Risicobeoordelingen moeten worden bijgewerkt wanneer incidenten optreden, kwetsbaarheden ontstaan, nieuwe bedrijfsmiddelen worden geïntroduceerd, technologie verandert, leveranciers veranderen, wetgeving wijzigt, klantverplichtingen wijzigen of de risicobereidheid verandert.
Het Clarysec-implementatiepad
Een geïntegreerd risicoprogramma voorkomt losstaande spreadsheets voor ISO, NIS2, DORA, GDPR en klantassurance. Het praktische pad is:
- Bevestig het ISMS-toepassingsgebied, diensten, bedrijfsmiddelen, leveranciers, jurisdicties en klantverplichtingen.
- Bouw of actualiseer het nalevingsregister met behulp van het Beleid inzake juridische en regelgevende naleving - mkb waar passend.
- Definieer de risicomethodologie, acceptatiecriteria, waarschijnlijkheidsschalen, impactschalen en regels voor regelgevende impact.
- Bouw het risicoregister met behulp van de risicobeheerfase van de Zenith Blueprint en Clarysecs aanpak voor Risk Register en SoA Builder.
- Identificeer op bedrijfsmiddelen gebaseerde en op scenario’s gebaseerde risico’s, waaronder scenario’s rond leveranciers, cloud, privacy, continuïteit, incidenten, kwetsbaarheden, veilige ontwikkeling en toegang.
- Scoor risico’s aan de hand van criteria die wettelijke, regelgevende, contractuele, operationele, privacy-, leveranciers- en financiële impact omvatten.
- Selecteer behandelopties: mitigeren, vermijden, overdragen of accepteren.
- Koppel noodzakelijke beheersmaatregelen aan ISO/IEC 27001:2022 Annex A en ISO/IEC 27002:2022-richtlijnen.
- Maak of actualiseer de Verklaring van Toepasselijkheid.
- Koppel behandelingen aan NIS2 Article 21, ICT-risicobeheer en verwachtingen voor derde partijen onder DORA, GDPR-verantwoordingsplicht en contractuele klantverplichtingen.
- Verzamel bewijs, valideer de doeltreffendheid van beheersmaatregelen en verkrijg goedkeuring van restrisico’s.
- Bereid een auditpakket voor, geordend naar risico, beheersmaatregel, regelgeving en bewijsartefact.
- Voed resultaten terug in managementbeoordeling, interne audit, corrigerende maatregelen en voortdurende verbetering.
Dit is geen papierwerk om het papierwerk. Het is het besturingssysteem voor verdedigbare cybergovernance.
Bouw een auditgereed risicobehandelingspakket
Sarahs verhaal loopt goed af omdat zij ISO 27001, NIS2 en DORA niet langer als afzonderlijke complianceprojecten behandelde. Zij gebruikte ISO 27001-risicobeoordeling als centrale motor, verankerde regelgevende verplichtingen in risicocriteria, koppelde behandelacties aan Annex A en EU-vereisten en verzamelde bewijs dat klanten, auditors en het bestuur konden begrijpen.
Uw organisatie kan hetzelfde doen.
Gebruik Zenith Blueprint: de 30-stappenroadmap van een auditor om risicocriteria te definiëren, het risicoregister op te bouwen, het risicobehandelingsplan te maken en regelgevende vereisten via kruisverwijzingen te koppelen.
Gebruik Zenith Controls: de gids voor geïntegreerde compliance om ISO/IEC 27001:2022 Annex A-beheersmaatregelgebieden te verbinden met governance, naleving van wettelijke vereisten, assurance en auditperspectieven.
Gebruik Clarysecs Beleid inzake risicobeheer, Beleid inzake risicobeheer - mkb en Beleid inzake juridische en regelgevende naleving - mkb om eigenaarschap, registers, behandelbesluiten en auditgereed bewijs te standaardiseren.
De snelste praktische volgende stap is om uw top tien risico’s langs vijf vragen te leggen:
- Is de regelgevende impact zichtbaar?
- Is het risicobehandelingsplan tijdgebonden en toegewezen aan een eigenaar?
- Is elke behandeling gekoppeld aan Annex A en de SoA?
- Is de relevantie voor NIS2, DORA, GDPR of klanten gedocumenteerd waar van toepassing?
- Is er bewijs dat de beheersmaatregel werkt?
Als het antwoord nee is, kan Clarysec helpen uw risicoregister om te zetten in een verdedigbaar programma voor geïntegreerde risicobehandeling waarop auditors, toezichthouders, klanten en besturen kunnen vertrouwen.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
