ISO 27001 ISMS-scope voor NIS2, DORA en GDPR
Maria, de CISO van een snelgroeiende Europese fintech, dacht dat de ISO 27001-surveillance-audit onder controle was.
Het certificaat was nieuw. De Verklaring van Toepasselijkheid oogde volwassen. De scopeverklaring omvatte “het organisatiebrede managementsysteem voor informatiebeveiliging ter ondersteuning van SaaS-platformactiviteiten.” De productieomgeving in de cloud was gedocumenteerd. De incidentresponsprocedure bestond. Het risicoregister bevatte eigenaren, datums en restrisicoclassificaties.
Toen stelde de auditor één eenvoudige vraag:
“Welke onderdelen van dit SaaS-platform vallen ook binnen de scope voor NIS2-registratie, welke uitbestede diensten ondersteunen DORA kritieke of belangrijke functies voor uw financiële klanten, en waar worden GDPR-persoonsgegevens precies verwerkt?”
Het werd stil in de vergaderruimte.
Juridische Zaken opende een spreadsheet met wettelijke verplichtingen. Product opende een architectuurdiagram. De DPO opende het verwerkingsregister. Inkoop opende de leverancierslijst. Operations opende het plan voor herstel na verstoringen. Geen van deze documenten sloot op elkaar aan.
De ISMS-scope vermeldde “SaaS-platform.” De NIS2-beoordeling identificeerde digitale-infrastructuurdiensten in meerdere lidstaten. Klantcontracten beschreven het platform als ondersteuning voor gereguleerde financiële activiteiten. De GDPR-registers omvatten identiteitsgegevens, telemetrie, IP-adressen, betalingsmetadata, supporttickets en uitbestede analytics. Het plan voor herstel na verstoringen dekte productie, maar niet het klantondersteuningsplatform dat werd gebruikt voor communicatie over inbreuken. De leveranciers-due diligence dekte de hostingprovider, maar niet de managed detection-dienst die was gekoppeld aan productielogboeken.
Dit is het ISMS-scopingprobleem van 2026. ISO 27001-certificering blijft waardevol, maar een beperkte “minimaal haalbare scope” kan een aansprakelijkheid worden wanneer toezichthouders, klanten en auditors verwachten dat hetzelfde managementsysteem NIS2 essentiële diensten, DORA kritieke of belangrijke functies en GDPR-verwerkingsgrenzen kan onderbouwen.
Voor ISO/IEC 27001:2022, NIS2, DORA en GDPR is een zwakke scope geen administratieve tekortkoming. Het is de eerste dominosteen. Als de scope onjuist is, is de risicobeoordeling onvolledig, is de SoA misleidend, missen leveranciersbeheersmaatregelen kritieke providers, worden termijnen voor incidentmelding onzeker en raakt privacyverantwoordelijkheid versnipperd over teams.
Waarom de ISO 27001 ISMS-scope nu een regelgevende grens is
ISO/IEC 27001:2022 Clause 4.3 vereist dat een organisatie de grenzen en toepasselijkheid van het ISMS bepaalt, rekening houdend met interne en externe kwesties, eisen van belanghebbenden en interfaces en afhankelijkheden met andere organisaties ISO/IEC 27001:2022.
Die formulering is in 2026 belangrijker dan in eerdere certificeringscycli. NIS2, DORA, GDPR, cloudoutsourcing, klantcontracten, groepsbrede technologiediensten en managed service providers zijn geen bijzaken. Het zijn inputfactoren voor de ISMS-grens.
NIS2 verhoogt de governancevereisten voor essentiële en belangrijke entiteiten. De richtlijn vereist dat bestuursorganen maatregelen voor cyberbeveiligingsrisicobeheer goedkeuren, toezicht houden op de implementatie en training ontvangen. NIS2 Article 21 vereist passende en evenredige technische, operationele en organisatorische maatregelen, waaronder risicoanalyse, incidentafhandeling, bedrijfscontinuïteit, beveiliging van de toeleveringsketen, veilige verwerving en ontwikkeling, beoordeling van doeltreffendheid, cyberhygiëne, cryptografie, HR-beveiliging, toegangscontrole, assetmanagement en, waar passend, multifactorauthenticatie.
DORA verandert de scopediscussie voor financiële entiteiten. De verordening is van toepassing vanaf 17 januari 2025 en stelt uniforme eisen aan ICT-risicobeheer, melding van ICT-gerelateerde incidenten, testen van digitale operationele weerbaarheid, informatie-uitwisseling en beheer van ICT-risico’s van derden. DORA Article 6 vereist een gedocumenteerd ICT-risicobeheerkader. DORA Article 8 vereist identificatie, classificatie en documentatie van door ICT ondersteunde bedrijfsfuncties, informatieactiva en ICT-activa, inclusief afhankelijkheden. DORA Article 28 vereist beheer van ICT-risico’s van derden.
GDPR voegt de as van persoonsgegevens toe. De verordening is van toepassing op geautomatiseerde of gestructureerde verwerking van persoonsgegevens, waaronder verwerking door vestigingen in de EU en bepaalde niet-EU-verwerkingsverantwoordelijken of verwerkers die goederen of diensten aanbieden aan personen in de Unie of hun gedrag monitoren. GDPR Article 30 vereist registers van verwerkingsactiviteiten, Article 32 vereist beveiliging van de verwerking en Article 33 stelt verwachtingen voor melding van inbreuken.
Een verdedigbare ISMS-scope wordt daarom niet rond afdelingen geschreven. Zij wordt geschreven rond gereguleerde diensten, kritieke of belangrijke functies, verwerking van persoonsgegevens, ondersteunende activa en afhankelijkheden van derden.
De fout: ISO 27001, NIS2, DORA en GDPR behandelen als afzonderlijke programma’s
In veel organisaties ontstaat een bekend patroon:
- Security stelt de ISO 27001-scope op.
- Juridische Zaken beoordeelt de toepasselijkheid van NIS2.
- Risk of compliance beheert DORA-verplichtingen.
- Privacy onderhoudt de GDPR-registers van verwerkingsactiviteiten.
- Inkoop is eigenaar van de leverancierslijst.
- Operations is eigenaar van bedrijfscontinuïteit en herstel na verstoringen.
Elk team kan op zichzelf degelijk werk leveren. Het probleem is dat de gereguleerde werkelijkheid dwars door al deze domeinen heen loopt.
Een klantidentiteitsdienst die in de cloud wordt gehost, kan tegelijkertijd NIS2-dienstverlening, DORA-gereguleerde klantactiviteiten en GDPR-verwerking van persoonsgegevens ondersteunen. Een managed detection-provider kan een beveiligingsleverancier zijn, een afhankelijkheid voor incidentrespons, een verwerker of subverwerker van loggegevens en een belangrijke input voor besluiten over meldingen aan toezichthouders. Een ondersteuningsplatform kan als “niet-productie” worden beschouwd, terwijl het toch communicatie over inbreuken in verband met persoonsgegevens en verzoeken van klanten om bewijsmateriaal verwerkt.
Het ISMS is de beste plaats om deze verplichtingen te integreren, omdat ISO 27001 één gedisciplineerde vraag afdwingt: wat valt binnen de grens, wat valt erbuiten, en waarom?
Clarysec’s Zenith Blueprint: een 30-stappenroadmap voor auditors Zenith Blueprint behandelt dit in de fase ISMS Foundation & Leadership, stap 2: behoeften van belanghebbenden en ISMS-scope:
“Wanneer de context is begrepen en de eisen van belanghebbenden zijn geïdentificeerd, vraagt Clause 4.3 u om de grenzen en toepasselijkheid van het ISMS te bepalen om de scope vast te stellen. De ISMS-scope is een cruciale definitie die bepaalt wat onder uw beveiligingsmanagementprogramma valt (en wat niet).”
De Zenith Blueprint benadrukt ook een punt dat in veel scopeverklaringen nog steeds ontbreekt:
“Als u uw IT-infrastructuur uitbesteedt aan een cloudprovider, sluit dat deze niet uit van de scope; u neemt juist het beheer van die relatie en de cloudactiva op als onderdeel van de scope.”
Uitbesteding verplaatst de uitvoering. Zij heft de verantwoordingsplicht niet op.
Het viergrenzenmodel voor ISO 27001-scope in 2026
Voor organisaties die door NIS2, DORA en GDPR worden geraakt, adviseert Clarysec om de ISO 27001 ISMS-scope te definiëren aan de hand van vier samenhangende grenzen.
| Grens | Kernvraag voor scoping | Typisch bewijsmateriaal | Relevantie voor regelgeving |
|---|---|---|---|
| Dienstengrens | Welke diensten worden geleverd aan klanten, burgers, patiënten, financiële entiteiten of andere gereguleerde stakeholders? | Dienstencatalogus, NIS2-toepasselijkheidsbeoordeling, klantcontracten, architectuurdiagrammen | NIS2-classificatie als essentiële of belangrijke entiteit en analyse van dienstimpact |
| Functiegrens | Welke bedrijfsprocessen of ICT-diensten ondersteunen kritieke of belangrijke functies? | BIA, mapping van DORA-kritieke functies, weerbaarheidsstrategie, RTO- en RPO-registraties | DORA ICT-risicobeheer, testen van operationele weerbaarheid en risico’s van derden |
| Verwerkingsgrens | Waar worden persoonsgegevens verzameld, opgeslagen, gebruikt, overgedragen, gelogd, ondersteund of verwijderd? | RoPA, gegevensstroomdiagrammen, DPIA’s, verwerkerslijst, bewaarschema | GDPR-verantwoordingsplicht, beveiliging van de verwerking en respons op inbreuken |
| Afhankelijkheidsgrens | Welke leveranciers, clouddiensten, onderaannemers en interne gedeelde diensten ondersteunen het bovenstaande? | Leveranciersregister, contracten, cloudinventaris, exitplannen, monitoringregistraties | NIS2-beveiliging van de toeleveringsketen, DORA ICT-risico’s van derden en ISO 27001-leveranciersbeheersmaatregelen |
Een zwakke scopeverklaring zegt alleen “het SaaS-platform.” Een sterkere verklaring vermeldt welke bedrijfsdiensten, systemen, omgevingen, locaties, gegevensverwerkingsactiviteiten, personeelsgroepen, leveranciersrelaties en beheerprocessen zijn opgenomen.
Een beter verdedigbare versie kan als volgt luiden:
“Het ISMS omvat de governance, het risicobeheer, de werking en de continue verbetering van informatiebeveiliging voor het EU SaaS-platform voor betalingsanalyses van de organisatie, inclusief productie- en niet-productieomgevingen in de cloud, klantidentiteitsdiensten, beheerinterfaces, supportactiviteiten, logging- en monitoringplatformen, incidentrespons, bedrijfscontinuïteit, leveranciersmanagement en alle activiteiten voor verwerking van persoonsgegevens die de dienst ondersteunen. Het ISMS omvat het beheer van uitbestede cloudhosting, managed detection en klantondersteuningstools die worden gebruikt voor dienstverlening, weerbaarheid, beveiligingsmonitoring of GDPR-gerelateerde communicatie.”
Die scope is niet alleen langer. Zij is beter auditeerbaar omdat zij diensten, activa, verwerking en afhankelijkheden met elkaar verbindt.
Hoe Clarysec-beleid scope omzet in governancetaal
Scope hoort niet in een op zichzelf staand document te leven. Zij moet aansluiten op informatiebeveiligingsbeleid, juridische en regelgevende naleving, risicobeheer, privacy, leveranciersgovernance, auditcriteria en continuïteitsplanning.
Het Enterprise Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid voorkomt ambiguïteit rond uitsluitingen:
“Alle uitsluitingen of beperkingen van deze scope moeten worden gedocumenteerd in de ISMS-scopeverklaring en worden gerechtvaardigd met formele goedkeuring van Topmanagement.”
Deze clausule is belangrijk wanneer een bedrijfseenheid stelt dat klantondersteuning buiten het platform valt, ook al hebben supportmedewerkers toegang tot klantidentificatoren en behandelen zij communicatie over inbreuken. Uitsluiting is alleen toegestaan als deze is gedocumenteerd, gerechtvaardigd en goedgekeurd.
Het Enterprise Beleid inzake juridische en regelgevende naleving Beleid inzake juridische en regelgevende naleving maakt juridische mapping operationeel:
“Alle juridische en regelgevende verplichtingen moeten worden gekoppeld aan specifieke beleidslijnen, beheersmaatregelen en eigenaren binnen het Informatiebeveiligingsmanagementsysteem (ISMS).”
Dit is de brug tussen juridische toepasselijkheid en de Verklaring van Toepasselijkheid. NIS2 Article 21 mag niet in een juridisch memo blijven staan. DORA ICT-verplichtingen voor derden mogen niet alleen in inkooprichtlijnen blijven staan. GDPR Article 30- en Article 32-verplichtingen horen niet uitsluitend in het privacyregister te staan. Zij vereisen gekoppelde eigenaren, beheersmaatregelen en bewijsmateriaal.
Het Enterprise Beleid inzake risicobeheer Beleid inzake risicobeheer verbreedt de scope naar derden:
“Dit beleid is van toepassing op alle organisatie-eenheden, bedrijfsprocessen, systemen, personeel en betrokkenheid van derden die betrokken zijn bij de behandeling, ontwikkeling, opslag of het beheer van informatieactiva.”
Die formulering sluit aan op NIS2-beveiliging van de toeleveringsketen, DORA ICT-risico’s van derden en GDPR-verantwoordingsplicht van verwerkingsverantwoordelijken of verwerkers.
Het Enterprise Beleid inzake gegevensbescherming en privacy Beleid inzake gegevensbescherming en privacy verankert de privacyscope in verwerking:
“Dit beleid is van toepassing op alle organisatie-eenheden, personeel en systemen die betrokken zijn bij de verwerking van persoonlijk identificeerbare informatie (PII), waaronder:”
Het principe is doorslaggevend. Als een systeem PII verwerkt, mag het niet onzichtbaar zijn voor het ISMS omdat het “alleen ondersteuning” is, “niet-productie” is of “eigendom van marketing” is.
Het Enterprise Beleid voor bedrijfscontinuïteit en herstel na verstoringen Beleid voor bedrijfscontinuïteit en herstel na verstoringen koppelt scope aan BIA-resultaten:
“Dit beleid is van toepassing op alle organisatie-eenheden, informatiesystemen, bedrijfsprocessen, personeel en diensten van derden die op basis van de resultaten van de Business Impact Analysis (BIA) als kritiek of essentieel zijn geclassificeerd.”
Die clausule sluit vanzelfsprekend aan op DORA kritieke of belangrijke functies en NIS2-dienstcontinuïteit.
Voor kleinere organisaties houden Clarysec’s mkb-beleidsdocumenten de formulering beknopt, terwijl dezelfde logica behouden blijft. Het mkb-Beleid voor audit en toezicht op naleving-sme Beleid voor audit en toezicht op naleving-sme - SME definieert auditdekking als:
“Alle beheersmaatregelen en systemen binnen de scope van het Informatiebeveiligingsmanagementsysteem (ISMS)”
Het mkb-Beleid inzake gegevensbescherming en privacy-sme Beleid inzake gegevensbescherming en privacy-sme - SME definieert privacyscope als:
“Elk systeem, elke applicatie of elke locatie waarin persoonsgegevens worden opgeslagen of verzonden”
Het mkb-Beleid inzake risicobeheer-sme Beleid inzake risicobeheer-sme - SME houdt uitbestede diensten zichtbaar:
“Alle informatie, diensten en activa die intern of via derden worden beheerd”
Korte clausules als deze zijn krachtig omdat zij voorkomen dat een certificeringsgrens gereguleerde gegevens, clouddiensten of door leveranciers beheerde activa uitsluit.
De inventaris van bedrijfsmiddelen is waar scope concreet wordt
Een scopeverklaring is alleen geloofwaardig als zij herleidbaar is tot activa, eigenaren, leveranciers, gegevensstromen en bewijsmateriaal.
De Zenith Blueprint instrueert organisaties in de fase Risicobeheer, stap 9: bedrijfsmiddelen, dreigingen en kwetsbaarheden identificeren, om bedrijfsmiddelen binnen de ISMS-scope op te nemen en eigenaar, locatie en classificatie vast te leggen. De gids geeft een praktisch voorbeeld:
“Klantendatabase – eigendom van IT-afdeling – gehost op AWS – bevat persoonlijke en financiële gegevens (hoge gevoeligheid).”
Dezelfde stap voegt een scopingherinnering toe die direct relevant is voor NIS2 en GDPR:
“Zorg ervoor dat bedrijfsmiddelen met persoonsgegevens worden gemarkeerd (voor GDPR-relevantie) en dat kritieke dienstactiva worden genoteerd (voor mogelijke NIS2-toepasselijkheid als u in een gereguleerde sector actief bent).”
Clarysec’s Zenith Controls: de cross-compliancegids Zenith Controls behandelt ISO/IEC 27002:2022 beheersmaatregel 5.9, inventaris van informatie en andere bijbehorende bedrijfsmiddelen, als een fundamentele cross-compliancebeheersmaatregel. De attributen classificeren de beheersmaatregel als preventief, ondersteunend aan vertrouwelijkheid, integriteit en beschikbaarheid, afgestemd op het cybersecurityconcept Identify, de operationele capaciteit voor assetmanagement en de domeinen governance, ecosysteem en bescherming.
Zenith Controls legt de relevantie voor GDPR en NIS2 helder uit:
“Zonder een nauwkeurige en actuele inventaris van bedrijfsmiddelen kunnen organisaties passende beschermingsmaatregelen niet beoordelen of implementeren.”
Voor NIS2 ondersteunt de inventaris van bedrijfsmiddelen de identificatie van kritieke systemen en componenten die essentiële of belangrijke diensten dragen. Voor DORA maakt DORA Article 8 de identificatie van ICT-activa en informatieactiva centraal voor operationele weerbaarheid. Voor GDPR ondersteunt de inventaris van bedrijfsmiddelen de mapping van gegevensstromen, de kwaliteit van de RoPA en de respons op inbreuken.
Ondersteunende ISO-normen versterken dezelfde logica. ISO/IEC 27005:2024 versterkt identificatie van bedrijfsmiddelen in informatiebeveiligingsrisicobeoordelingen. ISO 22301:2019 ondersteunt het identificeren van middelen die nodig zijn voor bedrijfscontinuïteit. ISO/IEC 19770-1:2017 ondersteunt de volwassenheid van IT-assetmanagement. ISO/IEC 27017:2015 en ISO/IEC 27018:2019 ondersteunen cloudspecifieke beheersmaatregelen en bescherming van PII in publieke clouds. ISO/IEC 27701:2019 breidt privacy-informatiemanagement uit. ISO/IEC 29100:2011 draagt privacyprincipes bij, zoals transparantie, minimalisatie en beveiligingswaarborgen.
Een praktische scopingoefening voor SaaS- en fintechteams
Begin met één gereguleerde dienst, niet met de hele organisatie. Bijvoorbeeld: “EU SaaS voor betalingsanalyses voor financiële instellingen.”
Maak vervolgens een mapping van dienst naar bedrijfsmiddel naar verwerking.
| Scope-element | Voorbeeldvermelding | Waarom dit binnen de scope hoort |
|---|---|---|
| Gereguleerde dienst | EU SaaS voor betalingsanalyses | Kan NIS2-classificatie als digitale dienst en regelgevende klantverplichtingen ondersteunen |
| Kritieke of belangrijke functie | Dashboard voor transactiemonitoring voor gereguleerde financiële klanten | Kan door klanten worden behandeld als ondersteuning van DORA kritieke of belangrijke functies |
| Verwerking van persoonsgegevens | Gebruikersidentiteit, contactgegevens van klanten, IP-adressen, supporttickets, auditlogboeken | GDPR is van toepassing op geautomatiseerde of gestructureerde verwerking van persoonsgegevens |
| Kernactiva | Productie-cloudtenant, databasecluster, API-gateway, IAM, CI/CD-pijplijn, monitoringstack | Vereist voor ISO 27001-risicobeoordeling, NIS2-assetmanagement en DORA ICT-zichtbaarheid |
| Belangrijke leveranciers | Cloudprovider, managed detection-provider, klantondersteunings-SaaS, e-maildienst, back-upprovider | Vereist voor NIS2-beveiliging van de toeleveringsketen en DORA ICT-risico’s van derden |
| Continuïteitsafhankelijkheden | Back-upkluis, regio voor herstel na verstoringen, supportcommunicatie, incidentbridge | Vereist voor DORA-weerbaarheid en NIS2-bedrijfscontinuïteit |
| Eigenaren van bewijsmateriaal | CISO, DPO, Head of Engineering, Procurement Lead, Service Owner | Vereist voor auditverantwoordingsplicht en directiebeoordeling |
Een gedetailleerder voorbeeld van bedrijfsmiddelen kan er als volgt uitzien.
| Naam of beschrijving van bedrijfsmiddel | Eigenaar | Ondersteunde bedrijfsdienst | Relevantie voor regelgeving | Binnen ISMS-scope? | Rechtvaardiging |
|---|---|---|---|---|---|
| Customer Auth Service | Head of Platform | Gebruikerslogin en MFA | DORA, GDPR, NIS2 | Ja | Kritiek voor platformtoegang en verwerkt persoonsgegevens |
| Stagingdatabase | DevOps Team | Pre-productietesten | GDPR | Ja | Verwerkt gepseudonimiseerde persoonsgegevens en kan productiebeveiliging beïnvloeden |
| Betalings-API van derde partij | Head of Product | Kernbetalingverwerking | DORA, GDPR | Ja, leveranciersbeheer | Ondersteunt kritieke dienstverlening en verwerkt persoonlijke of financiële gegevens |
| Interne wiki | IT-manager | Interne documentatie | ISO 27001 | Ja | Bevat configuratiedetails, procedures en beveiligingsdocumentatie |
| Geïsoleerd R&D-netwerk | Head of R&D | Toekomstig onderzoek | Momenteel niet van toepassing | Nee | Air-gapped, geen productiegegevens, geen PII, geen kritieke functie, uitsluiting formeel goedgekeurd |
Gebruik vervolgens Zenith Blueprint stap 13: risicobehandelingsplanning en Verklaring van Toepasselijkheid. De gids instrueert gebruikers om de SoA op te bouwen met de template waarin alle Annex A-beheersmaatregelen staan, en toepasselijkheid te bepalen op basis van risicobehandeling, wettelijke of contractuele vereisten, scoperelevantie en organisatiecontext. De gids stelt:
“Bepaal voor elke beheersmaatregel (rij) in het SoA-blad of deze van toepassing is op uw ISMS.”
Voor het bovenstaande voorbeeld moet de SoA beheersmaatregelen overwegen voor leveranciersbeveiliging, clouddiensten, incidentbeheer, continuïteit, juridische en regelgevende vereisten, privacy, kwetsbaarhedenbeheer, back-ups, logging, monitoring, cryptografie, veilige ontwikkeling, beveiligingstesten en wijzigingsbeheer.
Een praktische werkwijze is:
- Maak een tabblad “ISMS-scope mapping” in het risicoregister en de SoA Builder.
- Voeg één rij toe per gereguleerde dienst of productlijn.
- Koppel elke dienst aan bedrijfsmiddelen, gegevenstypen, leveranciers, locaties en bedrijfseigenaren.
- Markeer NIS2-relevantie, DORA-relevantie en relevantie voor GDPR-verwerking.
- Voeg risicoscenario’s toe voor onbeschikbare dienstverlening, inbreuk in verband met persoonsgegevens, leveranciersfalen, cloudmisconfiguratie, kritieke kwetsbaarheid en falende incidentmelding.
- Selecteer SoA-beheersmaatregelen op basis van die risico’s en verplichtingen.
- Documenteer uitsluitingen, compenserende beheersmaatregelen en risicoacceptatie.
- Verkrijg goedkeuring van topmanagement voor de definitieve grenzen en uitsluitingen.
- Voer de definitieve grens door naar interne audit, directiebeoordeling en leveranciersmonitoring.
Het resultaat is niet alleen een betere scopeverklaring. Het is een verdedigbare keten van gereguleerde dienst naar bedrijfsmiddel, leverancier, gegevens, beheersmaatregel, eigenaar en bewijsmateriaal.
Cross-compliancemapping: één scope, veel verplichtingen
Een goed afgebakend ISO 27001 ISMS wordt de operationele laag waarin verwachtingen uit NIS2, DORA, GDPR, NIST CSF en COBIT met elkaar kunnen worden verzoend.
| ISO/IEC 27002:2022 beheersmaatregel | Primaire scopingswaarde | NIS2-relevantie | DORA-relevantie | GDPR-relevantie | Relevantie voor NIST CSF en COBIT |
|---|---|---|---|---|---|
| 5.9 Inventaris van informatie en andere bijbehorende bedrijfsmiddelen | Identificeert bedrijfsmiddelen, eigenaren, locaties, classificatie en dienstafhankelijkheden | Ondersteunt Article 21-assetmanagement en identificatie van systemen die diensten ondersteunen | Ondersteunt Article 8-identificatie van ICT-activa, informatieactiva en functies | Ondersteunt RoPA-nauwkeurigheid, beveiliging van de verwerking en onderzoek naar inbreuken | Mapt naar NIST CSF ID.AM en COBIT 2019 BAI09 Manage Assets |
| 5.31 Wettelijke, statutaire, regelgevende en contractuele vereisten | Koppelt verplichtingen aan beleid, beheersmaatregelen, eigenaren en bewijsmateriaal | Ondersteunt governance van NIS2-verplichtingen en naleving in de toeleveringsketen | Ondersteunt ICT-risicobeheer, rapportage en verplichtingen van derden | Ondersteunt verantwoordingsplicht en naleving van wet- en regelgeving | Mapt naar NIST CSF GOVERN en COBIT 2019 MEA03 Managed Compliance with External Requirements |
| 5.34 Privacy en bescherming van PII | Zorgt dat verwerking van persoonsgegevens zichtbaar en beschermd is | Ondersteunt bescherming van gegevens van dienstontvangers waar relevant | Ondersteunt integriteit, beveiliging en vertrouwelijkheid van gegevens in ICT-diensten | Ondersteunt GDPR Article 32 en verwachtingen inzake gegevensbescherming door ontwerp | Ondersteunt privacygovernance en operationeel privacybeheer |
Voor ISO/IEC 27002:2022 beheersmaatregel 5.31, wettelijke, statutaire, regelgevende en contractuele vereisten, koppelt Zenith Controls nalevingsverplichtingen aan privacy, PII-bescherming, bewaartermijnen voor registraties, onafhankelijke beoordeling en naleving van intern beleid. Dit sluit natuurlijk aan op GDPR-verantwoordingsplicht, NIS2-naleving in de toeleveringsketen, DORA ICT-risicobeheer en naleving, NIST CSF-governance en COBIT 2019-monitoring van externe naleving.
Voor ISO/IEC 27002:2022 beheersmaatregel 5.34, privacy en bescherming van PII, verbindt Zenith Controls privacy met de inventaris van bedrijfsmiddelen, clouddiensten, classificatie, informatieoverdracht, toegangscontrole, identiteitsbeheer en beoordelingen van projectwijzigingen. De GDPR-mapping dekt beveiliging van de verwerking en gegevensbescherming door ontwerp. De DORA-mapping ondersteunt gegevensintegriteit, beveiliging en vertrouwelijkheid, inclusief persoonsgegevens die in ICT-diensten worden verwerkt.
Het principe is eenvoudig: creëer geen vier losstaande nalevingsprogramma’s. Creëer één afgebakend ISMS dat kan uitleggen hoe verplichtingen worden nageleefd, met bewijsmateriaal worden onderbouwd en worden geaudit.
Scope voor incidentmelding: waar grenzen invloed hebben op regelgevende termijnen
Een onjuiste scope wordt pijnlijk zichtbaar tijdens incidenten.
NIS2 Article 23 vereist gefaseerde melding van significante incidenten, waaronder een vroege waarschuwing binnen 24 uur, een incidentmelding binnen 72 uur, tussentijdse rapportages wanneer daarom wordt verzocht en een eindrapport binnen één maand. Communicatie aan getroffen ontvangers kan ook vereist zijn.
DORA vereist dat financiële entiteiten majeure ICT-gerelateerde incidenten detecteren, beheren, classificeren en melden aan de hand van criteria zoals getroffen cliënten of tegenpartijen, duur, uitvaltijd, geografische spreiding, gegevensverlies, criticaliteit van getroffen diensten en economische impact. Cliënten moeten zonder onnodige vertraging worden geïnformeerd wanneer een majeur ICT-incident hun financiële belangen raakt.
GDPR-melding van een inbreuk in verband met persoonsgegevens hangt af van de vraag of een inbreuk leidt tot accidentele of onrechtmatige vernietiging, verlies, wijziging, ongeoorloofde verstrekking van of ongeoorloofde toegang tot persoonsgegevens.
Als het ondersteuningsplatform, de logomgeving, de identiteitsdienst, het klantmeldingskanaal of de managed detection-provider buiten de ISMS-scope valt, weten incidentteams mogelijk niet of een gebeurtenis NIS2, DORA, GDPR, klantcontractuele meldingen of allemaal triggert. Die onzekerheid verbruikt de meldingstermijn.
Een volwassen scope omvat incidentrelevante afhankelijkheden: detectietools, logopslagplaatsen, forensische repositories, klantcommunicatiekanalen, supporttools, back-upomgevingen, incidentbridges en leveranciers die betrokken zijn bij triage of herstel.
Hoe auditors en toezichthouders uw ISMS-scope testen
Een sterke scope doorstaat steekproeven. Een zwakke scope valt uiteen wanneer auditors documenten vergelijken met de werkelijkheid.
| Auditperspectief | Wat de auditor test | Typisch gevraagd bewijsmateriaal |
|---|---|---|
| ISO 27001-auditor | Of de scope rekening houdt met context, eisen van belanghebbenden, interfaces, afhankelijkheden en gedocumenteerde uitsluitingen | ISMS-scopeverklaring, register van belanghebbenden, juridisch register, inventaris van bedrijfsmiddelen, SoA, goedkeuring door het management |
| NIST-georiënteerde assessor | Of bedrijfsmiddelen, leveranciers, risicoreacties, monitoring en incidentcriteria aansluiten op de vermelde grens | Current en Target Profiles, inventaris van bedrijfsmiddelen, risicoregister, actieplan, monitoringdekking, incidentplannen |
| COBIT 2019-auditor | Of governance externe verplichtingen, kritieke diensten, nalevingsmonitoring en verantwoordingsplicht dekt | Rapportages aan de raad van bestuur, compliancemappings, diensteigenaren, risicodashboards, MEA03-achtige monitoring |
| ISACA ITAF-auditor | Of bewijsmateriaal voldoende, passend en herleidbaar is van verplichtingen naar beheersmaatregelen en resultaten | Geselecteerde bedrijfsmiddelen, leverancierscontracten, logboeken, juridisch register, audittrails, interviews met eigenaren |
| DORA-reviewer | Of ICT-activa en diensten van derden die kritieke of belangrijke functies ondersteunen, zijn geïdentificeerd en getest | ICT-register, mapping van kritieke functies, contracten, exitplannen, testresultaten, incidentregistraties |
| Privacy-auditor | Of verwerking van persoonsgegevens is geïnventariseerd, beschermd en gekoppeld aan beheersmaatregelen | RoPA, DPIA’s, verwerkersovereenkomsten, toegangslogboeken, bewijsmateriaal voor bewaring, procedures voor inbreuken |
Zenith Controls biedt nuttige auditverwachtingen voor ISO/IEC 27002:2022 beheersmaatregel 5.9. ISO/IEC 19011-achtige auditors vragen de inventaris vroeg op om andere evaluaties af te bakenen en fysieke, software- en cloudactiva steekproefsgewijs te controleren. ISO/IEC 27007-achtige auditors vragen hoe en wanneer de inventaris wordt bijgewerkt en zoeken naar koppelingen met inkoop, wijzigingsbeheer en buitengebruikstelling. NIST SP 800-53A-achtige auditors verifiëren dat inventarisdetails het type bedrijfsmiddel, de eigenaar, locatie, waar van toepassing het netwerkadres en de status omvatten, en dat cloud-, virtuele en mobiele activa zijn opgenomen.
Voor beheersmaatregel 5.31 merkt Zenith Controls op dat certificeringsauditors een nalevingsregister of een lijst van wetten en contracten verwachten, met verwijzing in de SoA en risicobehandelingsplannen. COBIT-auditors zoeken naar eigenaren van naleving, beoordelingen en rapportage aan het hoger management. ISACA ITAF-auditors nemen steekproeven van bewijsmateriaal om te bevestigen dat de organisatie haar verplichtingen niet alleen kent, maar actief borgt dat daaraan wordt voldaan.
Voor beheersmaatregel 5.34 beoordelen auditors privacybeleid, gegevensinventarissen, DPIA’s, trainingslogboeken, encryptiebewijsmateriaal, toegangscontroles, DSAR-steekproeven, privacy-by-design-bewijsmateriaal en incidentregistraties waarbij PII betrokken is. Een scopeverklaring die een systeem uitsluit dat persoonsgegevens verwerkt, wordt snel betwist.
De bestuursvraag: wat kan niet worden uitgesloten?
Topmanagement vraagt vaak of een bedrijfseenheid, locatie, leverancier of systeem buiten de ISMS-scope kan blijven. Soms is het antwoord ja. Maar niet als uitsluiting verhindert dat de organisatie voldoet aan wettelijke, regelgevende, contractuele of dienstbeveiligingsverplichtingen.
Gebruik deze uitsluitingstoets voordat u een grensbeperking goedkeurt:
- Ondersteunt de eenheid, het systeem of de leverancier een door NIS2 gereguleerde dienst?
- Ondersteunt deze een DORA kritieke of belangrijke functie voor de organisatie of haar gereguleerde klanten?
- Verzamelt, bewaart, verzendt, logt, ondersteunt of verwijdert deze persoonsgegevens?
- Levert deze beveiligingsmonitoring, identiteit, back-up, incidentrespons of herstel voor een dienst binnen de scope?
- Levert deze bewijsmateriaal dat nodig is voor incidentclassificatie of melding aan toezichthouders?
- Vereist een klantcontract dat deze door het ISMS wordt gedekt?
- Zou compromittering ervan invloed hebben op vertrouwelijkheid, integriteit, beschikbaarheid, naleving van wet- en regelgeving of dienstcontinuïteit binnen de vermelde scope?
Als het antwoord ja is, vereist uitsluiting sterk bewijsmateriaal, compenserende governance, risicoacceptatie en formele goedkeuring door topmanagement. In veel gevallen hoort zij niet te worden uitgesloten.
Een moderne ISO 27001 ISMS-scope moet het volgende omvatten:
- Gedekte bedrijfsdiensten en productlijnen.
- Gedekte juridische entiteiten, organisatie-eenheden en locaties.
- Klantsegmenten en jurisdicties die verplichtingen bepalen.
- Kritieke of belangrijke functies en op BIA gebaseerde essentiële diensten.
- Informatieactiva, ICT-activa en cloudomgevingen.
- Activiteiten voor verwerking van persoonsgegevens en PII-repositories.
- Ontwikkel-, test-, support-, monitoring- en incidentprocessen.
- Leveranciers en uitbestede diensten die diensten binnen de scope ondersteunen.
- Interfaces en afhankelijkheden met groepsmaatschappijen of externe aanbieders.
- Expliciete uitsluitingen met rechtvaardiging, risicoacceptatie en goedkeuring door topmanagement.
Zo wordt de ISO 27001-scope een governancepositie op bestuursniveau, geen certificeringsshortcut.
Maak uw ISMS-scope gereed voor audits voordat de auditor deze voor u definieert
Het slechtste moment om een scopeprobleem te ontdekken is tijdens certificering, een toezichthoudende beoordeling, klant-due diligence of een live incident.
Een beperkt certificaat kan een inkoopcheckbox afvinken, maar houdt geen stand bij serieuze toetsing als het de diensten, ICT-functies, leveranciers en verwerking van persoonsgegevens uitsluit die regelgevende blootstelling veroorzaken. In 2026 slagen organisaties met vertrouwen voor audits wanneer zij één samenhangende kaart kunnen tonen van gereguleerde dienst naar bedrijfsmiddel, leverancier, persoonsgegevens, beheersmaatregel, eigenaar en bewijsmateriaal.
Begin met drie concrete acties:
- Gebruik de Zenith Blueprint Zenith Blueprint fase: ISMS Foundation & Leadership, stap 2, om uw ISMS-scope opnieuw te formuleren rond diensten, functies, verwerking en afhankelijkheden.
- Gebruik Zenith Controls Zenith Controls om de inventaris van bedrijfsmiddelen, wettelijke verplichtingen en PII-bescherming te mappen over auditverwachtingen voor ISO 27001, NIS2, DORA, GDPR, NIST en COBIT 2019.
- Stem de beleidsscope af met Clarysec’s Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid, Beleid inzake juridische en regelgevende naleving Beleid inzake juridische en regelgevende naleving, Beleid inzake risicobeheer Beleid inzake risicobeheer, Beleid inzake gegevensbescherming en privacy Beleid inzake gegevensbescherming en privacy en Beleid voor bedrijfscontinuïteit en herstel na verstoringen Beleid voor bedrijfscontinuïteit en herstel na verstoringen.
Als uw huidige ISMS-scope nog leest als een afdelingslabel, bouw deze dan opnieuw op als nalevingsgrens. Download de Clarysec-toolkits, map één gereguleerde dienst end-to-end en zet uw ISO 27001-scope om in auditgereed bewijsmateriaal voor NIS2, DORA en GDPR.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
