ISO 27001 als fundament voor NIS2- en DORA-bewijsvoering
De compliancebotsing op maandagochtend
Om 08:12 op maandag ontvangt Maria, de CISO van een Europese betalingsverwerker, drie berichten die niets met elkaar te maken lijken te hebben.
De manager Interne Audit vraagt om bewijs dat de ISO 27001:2022 Verklaring van Toepasselijkheid actueel is. Het juridische team stuurt een vragenlijst van een bancaire partner door over DORA-toezicht op ICT-risico’s van derden. De operationeel directeur vraagt of hetzelfde incidentdraaiboek de NIS2-meldingsverwachtingen kan ondersteunen voor een recent overgenomen bedrijfseenheid in de EU.
Om 09:00 staat het whiteboard in Maria’s kantoor vol acroniemen: ISO 27001, NIS2, DORA, GDPR, NIST, COBIT 2019. Haar organisatie heeft beheersmaatregelen. Er is toegangsbeheer, er zijn back-ups, leveranciersvragenlijsten, encryptie, incidentrespons, beleidsgoedkeuringen, directiebeoordelingen en trainingsregistraties. Wat ontbreekt, is één auditgereed bewijsfundament dat uitlegt waarom die beheersmaatregelen bestaan, welke risico’s zij behandelen, welke regelgeving zij ondersteunen, wie eigenaar is en waar het bewijs zich bevindt.
Dit probleem komt steeds vaker voor in Europa. NIS2 legt nadruk op cyberbeveiligingsrisicobeheer, governance, incidentafhandeling en weerbaarheid van de toeleveringsketen. DORA voegt gedetailleerd ICT-risicobeheer, weerbaarheidstesten, incidentmelding en toezicht op ICT-derden toe voor financiële entiteiten. GDPR blijft verantwoordingsplicht, beveiliging van de verwerking, governance van verwerkers en beoordeling van inbreuken in verband met persoonsgegevens vereisen.
De verkeerde reactie is drie parallelle complianceprogramma’s bouwen. Dat leidt tot dubbele beheersmaatregelen, inconsistent bewijs en overbelaste teams.
De sterkere reactie is ISO 27001:2022 gebruiken als fundament voor beheersmaatregelen. Niet als certificaat aan de muur, maar als besturingssysteem voor risico, beleid, leveranciersgovernance, incidentrespons, compliancemapping en auditbewijs.
Het praktische model van Clarysec is eenvoudig: gebruik het ISO 27001:2022 ISMS als organiserend systeem, gebruik de Verklaring van Toepasselijkheid als brug, gebruik beleid als afdwingbare operationele regels en gebruik Zenith Controls: de gids voor kaderoverstijgende compliance als kompas voor compliance over meerdere kaders heen. Bouw één keer, map zorgvuldig, toon continu aan.
Waarom ISO 27001:2022 werkt als compliancefundament
NIS2 en DORA hebben verschillende toepassingsgebieden, juridische mechanismen en toezichtmodellen. NIS2 is van toepassing op essentiële en belangrijke entiteiten in verschillende sectoren. DORA is van toepassing op financiële entiteiten en stelt gedetailleerde eisen aan digitale operationele weerbaarheid. GDPR richt zich op de verwerking van persoonsgegevens en verantwoordingsplicht.
Toch overlappen de operationele vragen achter deze kaders:
- Wordt cyberbeveiliging bestuurd via door het management goedgekeurd beleid?
- Worden informatiebeveiligings- en ICT-risico’s geïdentificeerd, beoordeeld en behandeld?
- Worden beheersmaatregelen geselecteerd op basis van risico, bedrijfscontext en wettelijke verplichtingen?
- Worden leveranciers bestuurd via due diligence, contracten, monitoring en exitmaatregelen?
- Kan personeel beveiligingsgebeurtenissen vroegtijdig herkennen en melden?
- Kunnen incidenten worden getriageerd, geëscaleerd, onderzocht en beoordeeld op wettelijke meldplicht?
- Kan de organisatie bewijs snel ophalen tijdens een audit, klantbeoordeling of verzoek van een toezichthouder?
ISO 27001:2022 geeft het leiderschap een managementsysteem om die vragen consistent te beantwoorden. ISO/IEC 27007:2022 behandelt de Verklaring van Toepasselijkheid als een auditeerbare lijst van geselecteerde informatiebeveiligingsmaatregelen, waaronder beheersmaatregelen uit ISO 27001:2022 Annex A, andere normen of organisatiespecifieke maatregelen, met gedocumenteerde motivering voor opname of uitsluiting. ISO/IEC 27006-1:2024 bevestigt dat de SoA en de bijbehorende ISMS-documentatie een kernbasis voor bewijs vormen om aan te tonen welke beheersmaatregelen vereist zijn, hoe verantwoordelijkheden zijn toegewezen en hoe beleid wordt geïmplementeerd en gecommuniceerd.
Daardoor is de SoA veel meer dan een spreadsheet. Zij wordt het contract voor beheersmaatregelen tussen risico, compliance, operations, juridische zaken, inkoop, audit en het bestuur.
Clarysec’s [P01] Informatiebeveiligingsbeleid verankert deze governancevereiste:
De organisatie moet een Informatiebeveiligingsmanagementsysteem (ISMS) implementeren en onderhouden in overeenstemming met ISO/IEC 27001:2022 Clausules 4 tot en met 10.
Uit sectie “Vereisten voor beleidsimplementatie”, beleidsclausule 6.1.1.
Dit is belangrijk omdat verzoeken om NIS2- en DORA-bewijs zelden in ISO-taal binnenkomen. Een toezichthouder, klant of bestuurscommissie kan vragen om bewijs van cyberbeveiligingsrisicobeheer, ICT-governance, toezicht op afhankelijkheden van derden, incidentescalatie of testen van operationele weerbaarheid. Het ISO 27001:2022 ISMS geeft die antwoorden structuur.
De SoA is de brug, geen papieren exercitie
In Zenith Blueprint: een 30-stappenroadmap voor auditors, fase Risicobeheer, stap 13, positioneert Clarysec de SoA als het belangrijkste traceerbaarheidsmechanisme tussen risicobehandeling en geïmplementeerde beheersmaatregelen:
De SoA is in feite een brugdocument: zij verbindt uw risicobeoordeling/-behandeling met de daadwerkelijke beheersmaatregelen die u hebt.
Die zin vormt de kern van compliance over meerdere kaders heen. Een beheersmaatregel zonder traceerbaarheid wordt een los artefact. Een beheersmaatregel die is gekoppeld aan een risico, wettelijke verplichting, beleid, eigenaar, bewijsregistratie en testresultaat wordt auditgereed.
Stap 13 raadt ook aan om beheersmaatregelreferenties toe te voegen aan risicoscenario’s, zoals het koppelen van een scenario voor een inbreuk op een klantendatabase aan toegangsbeveiliging, cryptografie, kwetsbaarhedenbeheer, incidentrespons en leveranciersmaatregelen. Ook wordt aanbevolen te noteren wanneer beheersmaatregelen externe vereisten ondersteunen, zoals GDPR, NIS2 of DORA.
Clarysec’s [P06] Beleid inzake risicobeheer maakt deze operationele regel expliciet:
Besluiten over beheersmaatregelen die voortvloeien uit het risicobehandelingsproces moeten in de SoA worden vastgelegd.
Uit sectie “Vereisten voor beleidsimplementatie”, beleidsclausule 6.5.1.
Voor kleinere organisaties gebruikt Beleid inzake risicobeheer - mkb dezelfde logica:
Het zorgt ervoor dat risicobeheer een actief onderdeel is van planning, projectuitvoering, leveranciersselectie en incidentrespons, in lijn met ISO 27001, ISO 31000 en toepasselijke regelgevende vereisten.
Uit sectie “Doel”, beleidsclausule 1.2.
Als een DORA-risicobehandeling voor derden, een NIS2-maatregel voor incidentafhandeling of een GDPR-beveiligingsvereiste voor verwerkers niet in de SoA of het gerelateerde complianceregister is vastgelegd, kan de organisatie het werk nog steeds uitvoeren. Maar zij zal moeite hebben om dat werk coherent aan te tonen.
Een praktische ISO 27001:2022-koppeling voor NIS2 en DORA
De volgende koppelingstabel is geen juridisch advies. Het is een praktisch bewijsmodel voor CISO’s, complianceleiders, interne auditors en bedrijfseigenaren die ISO 27001:2022-bewijs moeten afstemmen op NIS2- en DORA-verwachtingen.
ENISA heeft, samen met de Europese Commissie en de NIS Cooperation Group, adviserend kruisverwijzingsmateriaal opgesteld dat helpt om EU-cyberbeveiligingsvereisten af te stemmen op internationale en nationale normen, waaronder ISO 27001. Deze guidance is niet juridisch bindend en moet worden aangevuld met instructies van nationale autoriteiten, sectorregels en juridische toetsing. Zij ondersteunt echter wel een verdedigbare mappingaanpak.
| Compliancevraag | ISO 27001:2022-bewijs als fundament | Relevantie voor NIS2 | Relevantie voor DORA | Clarysec-bewijsartefact |
|---|---|---|---|---|
| Wordt cyberbeveiliging bestuurd via door het management goedgekeurd beleid? | Informatiebeveiligingsbeleid, ISMS-toepassingsgebied, rollen, registraties van directiebeoordelingen, SoA | Verwachtingen voor cyberbeveiligingsrisicobeheer en governance | ICT-governance en ICT-risicobeheerkader | Informatiebeveiligingsbeleid, SoA, pakket voor directiebeoordeling |
| Worden risico’s beoordeeld en behandeld? | Risicoregister, risicobehandelingsplan, SoA-motiveringen, goedkeuringen van restrisico | Risicogebaseerde cyberbeveiligingsmaatregelen onder Article 21 | ICT-risico-identificatie, bescherming, preventie, detectie, respons en herstel | Risicoregister, risicobehandelingsplan, SoA_Builder.xlsx |
| Worden leveranciers beheerst? | Leveranciersbeleid, due-diligence-registraties, contracten, auditrechten, clausules voor meldplicht bij inbreuken | Cyberbeveiliging van de toeleveringsketen onder Article 21(2)(d) | ICT-risicobeheer van derden onder Articles 28 to 30 | Beleid inzake beveiliging van derden en leveranciers, leveranciersregister |
| Worden incidenten gedetecteerd, geëscaleerd en gerapporteerd? | Incidentresponsplan, meldingskanaal, triageregistraties, tabletoptests, geleerde lessen | Afhandeling en rapportage van significante incidenten onder Article 23 | Beheer en rapportage van ICT-gerelateerde incidenten onder Articles 17 to 19 | Incidentresponsbeleid, incidenttickets, oefenrapport |
| Is bewijs gecentraliseerd en auditeerbaar? | Intern auditprogramma, bewijsrepository, complianceregister, corrigerende maatregelen | Bewijsgereedheid voor toezicht | Gereedheid voor inspecties door regelgevende en toezichthoudende instanties | Beleid voor audit en toezicht op naleving, centrale auditmap |
De koppeling werkt omdat zij geen dubbele beheersmaatregelen voor elke regeling creëert. Zij gebruikt ISO 27001:2022 als fundament voor beheersmaatregelen en voegt regelgevende labels, eigenaarschap en bewijsverwachtingen toe.
Drie ISO 27001:2022-beheersmaatregelen die het fundament ontsluiten
Meerdere beheersmaatregelen zijn relevant voor NIS2 en DORA, maar drie ISO/IEC 27002:2022-beheersmaatregelen vormen vaak de ruggengraat van het bewijsmodel: 5.1, 5.19 en 5.24. Een vierde beheersmaatregel, 6.8, bepaalt vaak of incidentmelding in de praktijk werkt.
| ISO/IEC 27002:2022-beheersmaatregel | Waarom deze belangrijk is | Waarde voor compliance over meerdere kaders heen |
|---|---|---|
| 5.1 Beleid voor informatiebeveiliging | Stelt door het management goedgekeurde beveiligingsrichting en verantwoordingsplicht vast | Ondersteunt NIS2-governance, DORA ICT-governance, GDPR-verantwoordingsplicht en ISO 27001-beleidsbewijs |
| 5.19 Informatiebeveiliging in leveranciersrelaties | Definieert beveiligingsverwachtingen voor leveranciers gedurende onboarding, monitoring en relatiebeheer | Ondersteunt NIS2-cyberbeveiliging van de toeleveringsketen, DORA ICT-risico’s van derden en GDPR-toezicht op verwerkers |
| 5.24 Planning en voorbereiding van het beheer van informatiebeveiligingsincidenten | Creëert het incidentbeheerkader, rollen, escalatieprocedures en paraatheidsactiviteiten | Ondersteunt NIS2-incidentafhandeling, DORA-rapportage van ICT-gerelateerde incidenten en GDPR-beoordeling van inbreuken |
| 6.8 Rapportage van informatiebeveiligingsgebeurtenissen | Zorgt ervoor dat personeel vermoedelijke gebeurtenissen snel via duidelijke kanalen kan melden | Ondersteunt vroege detectie, escalatie, beoordeling van meldplicht en kwaliteit van incidentbewijs |
In Zenith Controls wordt ISO/IEC 27002:2022-beheersmaatregel 5.1, Beleid voor informatiebeveiliging, gekarakteriseerd als een preventieve beheersmaatregel die vertrouwelijkheid, integriteit en beschikbaarheid ondersteunt, met governance en beleidsbeheer als kerncapaciteiten. De cross-mapping legt uit dat GDPR Articles 5(2), 24 en 32 verantwoordingsplicht, verantwoordelijkheid en beveiliging van de verwerking vereisen. Dezelfde beheersmaatregel wordt ook gemapt naar NIS2-verwachtingen voor cyberbeveiligingsrisicobeheer en governance, en naar DORA-vereisten voor ICT-governance en ICT-risicobeheerkaders.
Daarom is het informatiebeveiligingsbeleid niet zomaar een ander beleid. Een NIS2-beoordelaar kan het lezen als governancebewijs. Een DORA-toezichthouder kan het lezen als bewijs voor een ICT-risicokader. Een GDPR-beoordelaar kan het lezen als bewijs voor verantwoordingsplicht. Een ISO 27001:2022-auditor kan het lezen als onderdeel van de ISMS-beleidsstructuur.
Beheersmaatregel 5.19, Informatiebeveiliging in leveranciersrelaties, is waar inkoop, juridische zaken, beveiliging, privacy en weerbaarheid samenkomen. Zenith Controls mapt deze naar GDPR-verwerkersverplichtingen, NIS2-cyberbeveiliging van de toeleveringsketen en DORA ICT-risicobeheer van derden. Voor DORA wordt dit bewijs sterker wanneer het wordt ondersteund door beheersmaatregelen 5.20, Informatiebeveiliging adresseren binnen leveranciersovereenkomsten, 5.21, Beheer van informatiebeveiliging in de ICT-toeleveringsketen, en 5.23, Informatiebeveiliging voor het gebruik van cloudservices.
Beheersmaatregel 5.24, Planning en voorbereiding van het beheer van informatiebeveiligingsincidenten, is de operationele motor voor incidentparaatheid. Zenith Controls mapt deze naar NIS2-incidentafhandeling en -melding, GDPR-melding van inbreuken in verband met persoonsgegevens en DORA-beheer en -rapportage van ICT-gerelateerde incidenten. Het bewijs bestaat niet alleen uit een incidentresponsbeleid. Het omvat meldingskanalen, triagecriteria, escalatieregistraties, juridische beoordelingen van meldplicht, tabletop-oefeningen, incidenttickets en geleerde lessen.
Beheersmaatregel 6.8, Rapportage van informatiebeveiligingsgebeurtenissen, dicht de kloof tussen het geschreven plan en menselijk gedrag. Als personeel niet weet hoe het vermoedelijke phishing, datalekken, uitval bij leveranciers of verdachte systeemactiviteit moet melden, kan de organisatie kritieke tijd verliezen voordat juridische of regelgevende meldplichtbeoordelingen zelfs maar beginnen.
Eén leveranciersincident, één gecoördineerde bewijsketen
Stel dat een aanbieder van cloudanalytics die door Maria’s betalingsverwerker wordt gebruikt, ongeautoriseerde toegang tot een supportportaal detecteert. De aanbieder host gepseudonimiseerde klantgebruiksgegevens en ondersteunt een bedrijfskritische rapportageworkflow. Het incident kan invloed hebben op persoonsgegevens, gereguleerde ICT-weerbaarheid en beschikbaarheid van diensten.
Een gefragmenteerd complianceprogramma opent drie afzonderlijke werkstromen: een GDPR-beoordeling van een inbreuk, een DORA-beoordeling van een ICT-incident en een ISO 27001-leveranciersticket. Elk team vraagt om vergelijkbaar bewijs in een ander format. Inkoop zoekt naar het contract. Juridische zaken vraagt of de aanbieder een verwerker is. Beveiliging vraagt of het incident aan meldingsdrempels voldoet. Compliance start een nieuwe spreadsheet.
Een volwassen ISO 27001:2022-fundament opent één gecoördineerde bewijsketen.
Eerst wordt de gebeurtenis vastgelegd binnen het incidentresponsproces. De melder gebruikt een vastgesteld kanaal, het beveiligingsteam triageert de gebeurtenis en juridische zaken beoordeelt de meldingsverplichtingen. Clarysec’s [P30] Incidentresponsbeleid vereist dat incidenten met gereguleerde gegevens worden beoordeeld door Juridische zaken en de FG:
Als een incident leidt tot bevestigde of waarschijnlijke blootstelling van persoonsgegevens of andere gereguleerde gegevens, moeten Juridische zaken en de FG de toepasselijkheid beoordelen van:
Uit sectie “Vereisten voor beleidsimplementatie”, beleidsclausule 6.4.1.
Voor kleinere organisaties wijst Incidentresponsbeleid - mkb hetzelfde praktische beslispunt toe:
Wanneer klantgegevens betrokken zijn, moet de algemeen directeur de wettelijke meldingsverplichtingen beoordelen op basis van de toepasselijkheid van GDPR, NIS2 of DORA.
Uit sectie “Risicobehandeling en uitzonderingen”, beleidsclausule 7.4.1.
Vervolgens wordt de leveranciersrelatie beoordeeld. Was de aanbieder als kritiek geclassificeerd? Bevatte het contract verplichtingen voor melding van inbreuken, auditrechten, verantwoordelijkheden voor gegevensbescherming, verwachtingen voor continuïteit van dienstverlening en exitbepalingen? Clarysec’s Beleid inzake beveiliging van derden en leveranciers stelt die verwachting:
Neem gestandaardiseerde beveiligingsvereisten op in alle leverancierscontracten, waaronder verplichtingen voor melding van inbreuken, auditrechten en verantwoordelijkheden voor gegevensbescherming.
Uit sectie “Doelstellingen”, beleidsclausule 3.2.
Voor mkb-organisaties maakt Beleid inzake beveiliging van derden en leveranciers - mkb het doel voor compliance over meerdere kaders heen expliciet:
Ondersteun naleving van ISO/IEC 27001:2022, GDPR, NIS2 en DORA-verplichtingen met betrekking tot leveranciersgovernance.
Uit sectie “Doelstellingen”, beleidsclausule 3.6.
Ten derde worden het risicoregister, het behandelplan en de SoA bijgewerkt als het incident een hiaat blootlegt. Misschien ontbreekt in het leverancierscontract een specifieke regelgevende meldingstermijn. Misschien is de frequentie van leveranciersmonitoring te laag voor een kritieke ICT-aanbieder. Misschien maakt het incidentresponsplan onvoldoende onderscheid tussen criteria voor inbreuken in verband met persoonsgegevens en criteria voor verstoringen van ICT-diensten.
Het doel is niet een nieuw compliance-universum creëren. Het doel is één geïntegreerde bewijsketen bijwerken, zodat dezelfde registraties meerdere auditvragen kunnen beantwoorden.
De SoA omzetten in een NIS2- en DORA-bewijskaart
Een standaard-SoA beantwoordt ISO-vragen vaak goed: welke beheersmaatregelen van toepassing zijn, waarom zij zijn geselecteerd en of zij zijn geïmplementeerd. Om er een praktische NIS2- en DORA-bewijskaart van te maken, moet zij worden verrijkt met regelgevende en operationele bewijsvelden.
Open SoA_Builder.xlsx uit de Audit Ready Toolkit waarnaar wordt verwezen in Zenith Blueprint, fase Audit, beoordeling en verbetering, stap 24. Stap 24 legt uit dat auditors vaak een beheersmaatregel uit de SoA zullen steekproeven en vragen waarom deze is geïmplementeerd. De motiveringskolom en het gekoppelde risico of de gekoppelde vereiste moeten die vraag beantwoorden.
Voeg deze kolommen toe:
| Nieuwe SoA-kolom | Doel | Voorbeeldwaarde |
|---|---|---|
| Regelgevende drijfveer | Toont of de beheersmaatregel NIS2, DORA, GDPR, klantcontracten of weerbaarheid ondersteunt | NIS2, DORA, GDPR |
| Gekoppelde risico-ID | Koppelt de beheersmaatregel aan het risicoregister | R-017 Leveranciersuitval die gereguleerde rapportage raakt |
| Bewijseigenaar | Identificeert wie het bewijs onderhoudt | Hoofd Security Operations |
| Primair bewijs | Definieert het artefact dat auditors als eerste moeten inspecteren | Incidentresponsplan en logboek met incidenttickets |
| Operationeel bewijs | Toont aan dat de beheersmaatregel in de tijd werkt | Rapport van tabletop-oefening, test van leveranciersmelding bij inbreuk |
| Auditstatus | Volgt de gereedheid | Getest, hiaat open, corrigerende maatregel vervalt binnenkort |
Pas dit vervolgens toe op de kernset van beheersmaatregelen.
| ISO/IEC 27002:2022-beheersmaatregel | Regelgevende drijfveer | Primair bewijs | Operationeel bewijs | Conclusie van de auditor |
|---|---|---|---|---|
| 5.1 Beleid voor informatiebeveiliging | NIS2, DORA, GDPR | Goedgekeurd informatiebeveiligingsbeleid, ISMS-toepassingsgebied, roltoewijzingen | Beleidsbeoordelingsregistratie, trainingskennisname, notulen van directiebeoordeling | Governance bestaat, het management heeft de richting goedgekeurd, verantwoordingsplicht is gedocumenteerd |
| 5.19 Informatiebeveiliging in leveranciersrelaties | NIS2, DORA, GDPR | Leveranciersbeleid, leveranciersregister, leveranciersclassificatie | Due-diligence-beoordelingen, criticaliteitsbeoordelingen, contractbeoordelingen, bewijs voor auditrechten | Risico’s van derden worden bestuurd tijdens onboarding, contractering, monitoring en exit |
| 5.20 Informatiebeveiliging adresseren binnen leveranciersovereenkomsten | NIS2, DORA, GDPR | Standaardcontractclausules, beveiligingsbijlage, verwerkingsvoorwaarden | Contractsteekproeven, goedkeuringen van clausule-uitzonderingen, registraties van juridische toetsing | Beveiligingsvereisten zijn opgenomen in leveranciersovereenkomsten |
| 5.23 Informatiebeveiliging voor het gebruik van cloudservices | DORA, NIS2, GDPR | Cloudbeveiligingsstandaard, cloudrisicobeoordeling, architectuurgoedkeuring | Beoordeling van cloudleveranciers, beoordeling van concentratierisico, test van cloudincident | Risico’s van clouddiensten worden geïdentificeerd, bestuurd, gemonitord en getest |
| 5.24 Planning en voorbereiding van het beheer van informatiebeveiligingsincidenten | NIS2, DORA, GDPR | Incidentresponsbeleid, escalatiematrix, beslisboom voor meldingen | Incidenttickets, tabletoprapporten, geleerde lessen, meldingsbeoordelingen | Incidenten kunnen worden gedetecteerd, getriageerd, geëscaleerd en beoordeeld voor regelgevende rapportage |
| 6.8 Rapportage van informatiebeveiligingsgebeurtenissen | NIS2, DORA, GDPR | Meldingskanaal, bewustwordingsmateriaal, procedure voor gebeurtenisrapportage | Phishingmeldingen, hotline-logboeken, simulatieregistraties, interviews met personeel | Personeel weet hoe het vermoedelijke beveiligingsgebeurtenissen snel moet melden |
Voer daarna een voorbeeldtrace uit. Kies één leveranciersincident uit het afgelopen jaar en volg het van incidentticket naar leverancierscontract, van leveranciersclassificatie naar risicoregister, van risicobehandeling naar SoA en van SoA naar directiebeoordeling.
Als de keten breekt, is dat geen falen. Het is een precieze corrigerende maatregel voordat een auditor, klant, toezichthouder of bestuurscommissie het hiaat vindt.
Gecentraliseerd bewijs is de onderschatte versneller
Veel organisaties hebben adequate beheersmaatregelen, maar zwakke vindbaarheid van bewijs. Bewijs is verspreid over e-mail, ticketsystemen, SharePoint-mappen, contractrepositories, HR-platformen, GRC-tools en leveranciersportalen. Tijdens het auditseizoen besteedt het complianceteam weken aan het najagen van screenshots.
Dat is geen auditgereedheid. Dat is auditherstel.
Clarysec’s [P33S] Beleid voor audit en toezicht op naleving - mkb stelt:
Al het bewijsmateriaal moet worden opgeslagen in een centrale auditmap.
Uit sectie “Vereisten voor beleidsimplementatie”, beleidsclausule 6.2.1.
Een centrale auditmap betekent geen ongecontroleerde stortplaats. Het betekent een gestructureerde repository die is afgestemd op het ISMS, de SoA, het risicoregister, het auditplan en het complianceregister.
| Map | Inhoud | Gebruik voor compliance over meerdere kaders heen |
|---|---|---|
| 01 Governance | ISMS-toepassingsgebied, informatiebeveiligingsbeleid, roltoewijzingen, notulen van directiebeoordeling | NIS2-governance, DORA ICT-governance, GDPR-verantwoordingsplicht |
| 02 Risico en SoA | Risicoregister, risicobehandelingsplan, SoA, goedkeuringen van restrisico | NIS2-risicobeheer, DORA ICT-risicobeheer |
| 03 Leveranciers | Leveranciersregister, due diligence, contracten, criticaliteitsclassificaties, beoordelingsregistraties | NIS2-toeleveringsketen, DORA ICT-risico’s van derden, GDPR-verwerkers |
| 04 Incidenten | Incidenttickets, beoordelingen van inbreuken, meldingsbesluiten, tabletop-oefeningen | NIS2-rapportage, DORA-incidentbeheer, GDPR-melding van inbreuken |
| 05 Audit en verbetering | Interne auditrapporten, corrigerende maatregelen, steekproeven van bewijs, opvolging door management | ISO 27001:2022 auditgereedheid, gereedheid voor toezicht |
Clarysec’s Beleid inzake juridische en regelgevende naleving - mkb adresseert het mappingprobleem rechtstreeks:
Wanneer een regeling van toepassing is op meerdere gebieden (bijv. GDPR is van toepassing op bewaring, beveiliging en privacy), moet dit duidelijk worden gemapt in het nalevingsregister en het trainingsmateriaal.
Uit sectie “Governancevereisten”, beleidsclausule 5.2.2.
Dit is precies hoe ISO 27001:2022 het fundament voor beheersmaatregelen voor NIS2 en DORA wordt. U vertrouwt niet op impliciete kennis. U mapt regelgeving over processen, beleid, beheersmaatregelen, bewijs en training heen.
Incidentmelding begint bij mensen, niet bij portalen
Een veelvoorkomende auditbevinding ontstaat wanneer het incidentresponsplan sterk oogt, maar medewerkers niet weten wanneer of hoe zij moeten melden. Dit is gevaarlijk voor NIS2, DORA en GDPR, omdat tijdlijnen voor regelgevende beoordeling afhankelijk zijn van detectie, escalatie en classificatie.
In Zenith Blueprint, fase Controls in Action, stap 16, benadrukt Clarysec personeelsgedreven incidentmelding onder ISO/IEC 27002:2022-beheersmaatregel 6.8. De guidance stelt dat incidentrespons begint bij mensen. Organisaties moeten een duidelijk, eenvoudig en toegankelijk meldingskanaal inrichten, zoals een bewaakt e-mailadres, intern portaal, hotline of ticketcategorie. Ook worden bewustwordingstraining, een meldcultuur zonder schuldtoewijzing, vertrouwelijkheid, laagdrempelig melden en periodieke simulaties aanbevolen.
De impact op compliance over meerdere kaders heen is direct. Zenith Blueprint koppelt deze meldcapaciteit van personeel aan GDPR Article 33, NIS2 Article 23 en DORA Article 17. Als medewerkers aarzelen om verdachte activiteit te melden, kan de organisatie kritieke tijd verliezen voordat juridische, beveiligings- of regelgevende teams de meldplichten kunnen beoordelen.
Een praktische toets van de beheersmaatregel is eenvoudig:
- Vraag vijf medewerkers hoe zij een vermoedelijke phishingmail moeten melden.
- Controleer of het meldingskanaal wordt bewaakt.
- Bevestig of het ticketsysteem een categorie voor beveiligingsincidenten heeft.
- Beoordeel de laatste simulatie of tabletop-oefening.
- Verifieer dat geleerde lessen zijn beoordeeld tijdens de directiebeoordeling.
Als een antwoord onduidelijk is, werk dan het incidentinstructieblad, het trainingsmateriaal, het meldingskanaal en de SoA-bewijsreferentie bij.
Hoe verschillende auditors hetzelfde fundament inspecteren
Bewijs voor compliance over meerdere kaders heen moet verschillende auditperspectieven doorstaan. Dezelfde beheersmaatregel kan anders worden getest, afhankelijk van het mandaat van de beoordelaar.
| Auditperspectief | Waarschijnlijke vraag | Verwacht bewijs | Veelvoorkomende tekortkoming |
|---|---|---|---|
| ISO 27001:2022-auditor | Waarom is deze beheersmaatregel van toepassing en werkt deze zoals beschreven? | SoA-motivering, koppeling met risicobehandeling, beleid, operationele registraties, interne auditresultaten | De beheersmaatregel bestaat, maar de SoA-motivering is vaag of verouderd |
| NIS2-georiënteerde beoordelaar | Kunt u risicogebaseerde cyberbeveiligingsmaatregelen en incidentcoördinatie aantonen? | Risicoregister, governancebeleid, incidentplan, rapportageworkflow, bewijs voor leveranciersrisico | NIS2-mapping bestaat in een slidedeck, maar niet in operationeel bewijs |
| DORA-georiënteerde toezichthouder | Kunt u ICT-risicobeheer, incidentclassificatie, testen en toezicht op derden aantonen? | ICT-risicoregister, criticaliteit van leveranciers, incidentclassificatie, weerbaarheidstesten, contractclausules | Leveranciersregistraties onderscheiden kritieke ICT-aanbieders niet van gewone leveranciers |
| GDPR-georiënteerde beoordelaar | Kunt u verantwoordingsplicht, beveiliging van de verwerking, beheersmaatregelen voor verwerkers en beoordeling van inbreuken aantonen? | Mapping van gegevensbescherming, verwerkersclausules, registraties van inbreukbeoordelingen, bewijs voor toegang en encryptie | Beveiligingsmaatregelen zijn geïmplementeerd, maar niet gekoppeld aan risico’s voor persoonsgegevens |
| NIST-georiënteerde auditor | Kunt u governance, risico-identificatie, bescherming, detectie, respons en herstel aantonen? | Beleidsgovernance, asset- en risicoregistraties, detectielogboeken, incident- en herstelbewijs | Technisch bewijs bestaat, maar governance-eigenaarschap is zwak |
| COBIT 2019- of ISACA-stijl auditor | Zijn governancedoelstellingen, verantwoordelijkheden, prestatiemonitoring en assuranceactiviteiten gedefinieerd? | RACI, eigenaarschap van beheersmaatregelen, managementrapportage, auditplan, metrieken, corrigerende maatregelen | Beheersmaatregelen zijn technisch, maar worden niet bestuurd via meetbare verantwoordingsplicht |
Hier voegt Zenith Controls waarde toe boven een eenvoudige mappingtabel. Het helpt ISO/IEC 27002:2022-beheersmaatregelen te vertalen naar auditrelevante perspectieven, waaronder kenmerken van beheersmaatregelen, regelgevende relaties en bewijsverwachtingen. Voor beheersmaatregel 5.1 ondersteunen de kenmerken governance, beleidsbeheer, verantwoordingsplicht en beveiligingsdoelstellingen. Voor beheersmaatregel 5.24 ondersteunen de kenmerken respond- en recover-concepten, incidentparaatheid en corrigerende maatregelen. Voor beheersmaatregel 5.19 verbinden de kenmerken van leveranciersrelaties governance, ecosysteemrisico, bescherming en toezicht op derden.
Wat het bestuur moet zien
Het bestuur heeft niet elk SoA-regelitem nodig. Het heeft wel het verhaal nodig dat de SoA vertelt.
Een sterk bestuurspakket voor afstemming op ISO 27001:2022, NIS2 en DORA moet het volgende bevatten:
- ISMS-toepassingsgebied en gedekte bedrijfsdiensten.
- Belangrijkste informatiebeveiligings- en ICT-risico’s.
- Samenvatting van toepasselijke beheersmaatregelen per domein.
- Mappingstatus voor NIS2, DORA en GDPR.
- Kritieke leveranciers en concentratierisico’s.
- Metrieken voor incidentmelding en uitkomsten van tabletop-oefeningen.
- Openstaande corrigerende maatregelen en achterstallige risicobehandelingen.
- Benodigde besluiten over risicoacceptatie, budget, eigenaarschap en middelen.
Dit zet compliance om in governancebewijs. Het sluit ook aan bij het doel van beheersmaatregel 5.1 in Zenith Controls, waar beleid voor informatiebeveiliging richting op directieniveau, verantwoordingsplicht en beveiligingsdoelstellingen ondersteunt.
Veelvoorkomende fouten om te vermijden
De eerste fout is aannemen dat ISO 27001:2022-certificering automatisch naleving van NIS2 of DORA aantoont. Dat is niet zo. ISO 27001:2022 geeft u een sterk managementsysteem en een fundament voor beheersmaatregelen, maar u hebt nog steeds afbakening van toepasselijke regelgeving, juridische analyse, sectorspecifieke interpretatie, meldingsworkflows en inzicht in de verwachtingen van nationale autoriteiten nodig.
De tweede fout is de SoA als statisch behandelen. De SoA moet mee veranderen wanneer nieuwe leveranciers, systemen, incidenten, regelgeving, diensten of risico’s ontstaan. Zenith Blueprint, stap 24, beveelt aan de SoA kruislings te verifiëren met het risicoregister en het behandelplan, zodat elke geselecteerde beheersmaatregel een motivering heeft op basis van een gemapt risico, een wettelijke vereiste of een zakelijke behoefte.
De derde fout is te hoog over mappen. Een slide met “ISO 27001 maps to DORA” is geen auditbewijs. Een specifieke SoA-vermelding die beveiliging van leveranciersrelaties koppelt aan een kritiek ICT-leveranciersrisico, een contractclausule, een leveranciersbeoordelingsregistratie en een DORA-verwachting voor toezicht op derden is veel sterker.
De vierde fout is het niet centraliseren van bewijs. Als de compliancemanager vóór elke audit twee weken besteedt aan het verzamelen van screenshots, heeft de organisatie een ophaalprobleem.
De vijfde fout is het negeren van personele maatregelen. Incidentmelding, leveranciersonboarding, toegangsrechtenbeoordelingen, beleidsacceptatie en escalatie zijn allemaal afhankelijk van menselijk gedrag. Een strak proces dat niemand volgt, valt bij auditsteekproeven door de mand.
Clarysec’s operationele model voor compliance over meerdere kaders heen
De methode van Clarysec verbindt het complianceverhaal van strategie tot bewijs:
- In Zenith Blueprint, fase Risicobeheer, stap 13, mapt u beheersmaatregelen naar risico’s en bouwt u de SoA als brugdocument.
- In Zenith Blueprint, fase Risicobeheer, stap 14, verwijst u GDPR-, NIS2- en DORA-vereisten naar beleid en beheersmaatregelen.
- In Zenith Blueprint, fase Controls in Action, stap 16, operationaliseert u personeelsgedreven incidentmelding, zodat escalatie vroeg begint.
- In Zenith Blueprint, fase Audit, beoordeling en verbetering, stap 24, finaliseert en test u de SoA, verifieert u deze kruislings met het risicobehandelingsplan en bereidt u deze voor als een van de eerste documenten die een auditor zal opvragen.
Die methode wordt ondersteund door Clarysec-beleid dat principes omzet in operationele regels: informatiebeveiligingsgovernance, risicobehandeling, leveranciersbeveiliging, incidentrespons, juridische en regelgevende mapping en opslag van bewijs.
Het resultaat is niet alleen gereedheid voor ISO 27001:2022. Het is een herbruikbaar systeem voor compliancebewijs voor NIS2, DORA, GDPR, klantassurance, interne audit en toezicht door het bestuur.
Volgende stappen: één keer bouwen, vaak aantonen
Als uw organisatie te maken heeft met NIS2, DORA, GDPR, klantaudits of druk rond ISO 27001:2022-certificering, begin dan met het fundament.
- Beoordeel uw SoA en voeg kolommen voor regelgevende drijfveren toe voor NIS2, DORA en GDPR.
- Controleer de SoA kruislings met uw risicoregister en risicobehandelingsplan.
- Map kritieke leveranciers naar beheersmaatregelen voor leveranciersbeveiliging, contractclausules en monitoringsbewijs.
- Test uw workflow voor incidentmelding met een tabletop-oefening.
- Centraliseer auditbewijs per beheersmaatregel, regelgeving, eigenaar en teststatus.
- Gebruik Zenith Controls om ISO/IEC 27002:2022-beheersmaatregelen te vertalen naar bewijs voor compliance over meerdere kaders heen.
- Gebruik Zenith Blueprint om van risicobehandeling naar auditgereede SoA-validatie te gaan.
- Rol de beleidsset van Clarysec uit, waaronder het Informatiebeveiligingsbeleid, Beleid inzake risicobeheer, Beleid inzake beveiliging van derden en leveranciers en Incidentresponsbeleid, om implementatie te versnellen.
De snelste route is niet meer losstaande checklists. Het is één geïntegreerd ISMS, één traceerbare SoA, één gecentraliseerd bewijsmodel en één operationeel ritme voor compliance over meerdere kaders heen.
Clarysec kan u helpen ISO 27001:2022 om te zetten van certificeringstraject naar praktisch fundament voor beheersmaatregelen voor NIS2 en DORA. Download Zenith Blueprint, verken Zenith Controls of boek een Clarysec-assessment om een auditgereed bewijsmodel te bouwen voordat de volgende toezichthouder, klant of bestuurscommissie om bewijs vraagt.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
