Interne ISO 27001-audit voor NIS2 en DORA

Het is de eerste vergadering van het Auditcomité in 2026. Sarah, de CISO van FinSecure, een snelgroeiende SaaS- en FinTech-aanbieder, heeft vijftien minuten op de agenda. De raad van bestuur heeft vijf vragen.

Zijn we klaar voor onze ISO/IEC 27001:2022 surveillance-audit? Vallen we als aanbieder van beheerde diensten binnen de scope van NIS2? Raakt DORA ons omdat wij klanten in de financiële sector ondersteunen? Kunnen we aantonen dat incidentmelding, leveranciers-due diligence en bedrijfscontinuïteit daadwerkelijk werken? En waarom vond de toegangsbeoordeling van vorig kwartaal nog steeds accounts die verwijderd hadden moeten zijn?

Sarah heeft bewijsmateriaal, maar het ligt verspreid. Engineering heeft exports van kwetsbaarheidsscans. Inkoop heeft leveranciersvragenlijsten. Juridische Zaken heeft contractuele clausules. De compliancemanager heeft een GDPR-tracker. Het SOC heeft incidenttickets. Niets daarvan is evident onjuist, maar samen vertelt het geen samenhangend assuranceverhaal.

Dit is het moment waarop een intern ISO 27001-auditprogramma óf een strategische bewijsmotor wordt, óf een jaarlijkse inhaalslag blijft.

Voor organisaties die door NIS2 en DORA worden geraakt, kan interne audit geen ceremoniële checklist meer zijn. Het moet een risicogebaseerd assurancesysteem worden dat bevestigt of de ISMS-scope juist is, of beheersmaatregelen in de praktijk werken, of wettelijke eisen zijn gemapt, of bevindingen consistent worden geclassificeerd en of corrigerende maatregelen de directiebeoordeling bereiken. In 2026 zullen de sterkste programma’s niet alleen vragen: “Hebben we een audit uitgevoerd?” Zij zullen vragen: “Kunnen we maand na maand aantonen dat cybersecuritygovernance, ICT-weerbaarheid, leveranciersbeveiliging en paraatheid voor incidenten functioneren?”

Dat is de benadering die Clarysec verwerkt in Zenith Blueprint: een 30-stappenroadmap voor auditors, Zenith Controls: de cross-compliancegids en de beleidssuite van Clarysec. Het doel is niet om afzonderlijke ISO-, NIS2- en DORA-projecten te creëren. Het doel is het ISMS te versterken, zodat één auditprogramma herbruikbaar bewijsmateriaal oplevert voor meerdere assurancebehoeften.

Waarom interne auditprogramma’s in 2026 moeten veranderen

NIS2 en DORA hebben het auditgesprek verschoven van documentatie naar aantoonbaar beheerste weerbaarheid.

NIS2 is van toepassing op veel middelgrote en grote organisaties in kritieke en belangrijke sectoren, waaronder digitale infrastructuur, cloudcomputingdiensten, datacenteraanbieders, aanbieders van beheerde diensten, aanbieders van beheerde beveiligingsdiensten, online marktplaatsen, online zoekmachines en socialenetwerkplatforms. Lidstaten passen nationale maatregelen toe sinds oktober 2024, en in 2026 opereren veel organisaties in het eerste volledige jaar met volwassen NIS2-verwachtingen.

DORA is vanaf 17 januari 2025 van toepassing op een brede groep financiële entiteiten, waaronder kredietinstellingen, betalingsinstellingen, instellingen voor elektronisch geld, beleggingsondernemingen, aanbieders van cryptoactivadiensten, verzekerings- en herverzekeringsondernemingen, crowdfundingdienstverleners en relevante externe ICT-dienstverleners. DORA is het sectorspecifieke regime voor digitale operationele weerbaarheid voor financiële entiteiten die onder de regeling vallen. ICT-dienstverleners die financiële entiteiten bedienen, kunnen DORA ook ervaren via contracten, auditrechten, deelname aan testen, ondersteuning bij incidenten, beheersmaatregelen voor onderaanneming en exitvereisten.

Beide regelingen versterken de verantwoordingsplicht. NIS2 Article 20 vereist dat bestuursorganen cyberbeveiligingsrisicobeheersmaatregelen goedkeuren en daarop toezicht houden, en cyberbeveiligingstraining ontvangen. DORA Article 5 maakt het bestuursorgaan uiteindelijk verantwoordelijk voor ICT-risico, waaronder goedkeuring van en toezicht op de strategie voor digitale operationele weerbaarheid, ICT-beleid, continuïteitsregelingen en risico’s van derde partijen.

ISO 27001 past goed bij deze omgeving omdat het een managementsysteem is. De norm vereist dat de organisatie haar context begrijpt, belanghebbenden en eisen definieert, de ISMS-scope vaststelt, risico’s beoordeelt en behandelt, prestaties monitort, interne audits uitvoert en voortdurende verbetering bevordert. Het doel is niet om NIS2 en DORA in een ISO-format te persen. Het doel is ISO 27001 te gebruiken als besturingssysteem voor herhaalbare assurance.

Begin met de scope: audit het systeem waarop het bestuur vertrouwt

Een zwak intern auditprogramma begint met een vage scope zoals “informatiebeveiliging”. Een sterk programma begint met de bedrijfs- en regelgevingsgrens.

ISO 27001 vereist dat de ISMS-scope rekening houdt met interne en externe kwesties, eisen van belanghebbenden en interfaces of afhankelijkheden met andere organisaties. Dat is belangrijk omdat NIS2- en DORA-verplichtingen vaak aan de randen van de organisatie liggen: cloudplatformen, uitbestede SOC-dienstverleners, managed detection and response, betalingssystemen, fintech-API’s, verwerking van klantgegevens, back-updiensten en partners voor incidentescalatie.

Clarysec’s Audit- en compliancemonitoringbeleid voor mkb stelt de governancebaseline vast:

De algemeen directeur (GM) moet een jaarlijks auditplan goedkeuren.

Uit sectie ‘Governancevereisten’, beleidsclausule 5.1.1.

Voor grotere omgevingen verhoogt Clarysec’s Audit- en compliancemonitoringbeleid de verwachting:

Er moet jaarlijks een risicogebaseerd auditplan worden opgesteld en goedgekeurd, waarbij rekening wordt gehouden met:

Uit sectie ‘Governancevereisten’, beleidsclausule 5.2.

Scope is daarom niet slechts een voorkeur van de auditor. Het is een door het management goedgekeurde assuranceverplichting.

Een intern ISO 27001-auditprogramma voor 2026 dat NIS2 en DORA ondersteunt, moet het volgende omvatten:

• ISMS-clausules en -processen, waaronder context, leiderschap, risicomanagement, doelstellingen, ondersteuning, uitvoering, prestatie-evaluatie en verbetering.
• Relevante beheersgebieden uit ISO/IEC 27001:2022 Annex A, waaronder leveranciersrelaties, incidentbeheer, bedrijfscontinuïteit, wettelijke verplichtingen, privacy, logging, monitoring, kwetsbaarhedenbeheer, toegangscontrole, cryptografie, veilige ontwikkeling, wijzigingsbeheer en cloudgovernance.
• Regelgevende overlays, waaronder NIS2 Articles 20, 21 en 23, DORA Articles 5, 6, 8 tot en met 14, 17 tot en met 19, 24 tot en met 27 en 28 tot en met 30, plus GDPR-eisen voor beveiliging en verantwoordingsplicht.
• Kerndiensten en bedrijfsprocessen, vooral kritieke of belangrijke functies, essentiële diensten, klantgerichte platformen en systemen die gereguleerde klanten ondersteunen.
• Afhankelijkheden van derde partijen, waaronder ICT-leveranciers, cloudproviders, uitbestede ontwikkeling, SOC, MSSP, externe verwerkers van gegevens en kritieke onderaannemers.
• Processen die bewijsmateriaal opleveren, waaronder risicobeoordelingen, toegangsrechtenbeoordelingen, herstel van kwetsbaarheden, incidentoefeningen, back-uphersteltests, leveranciersbeoordelingen, continuïteitstests en directiebeoordelingen.

De Zenith Blueprint onderstreept dit in de fase Audit, beoordeling en verbetering, stap 25, Intern auditprogramma:

Bepaal de scope van uw interne auditprogramma. Uiteindelijk moet u in de loop van een jaar alle relevante ISMS-processen en beheersmaatregelen afdekken.

Uit de fase Audit, beoordeling en verbetering, stap 25: Intern auditprogramma.

U hoeft niet alles elke maand te auditen. Maar over de jaarcyclus moet u alle relevante ISMS-processen en beheersmaatregelen afdekken, met vaker uitgevoerde werkzaamheden op risicovolle en gereguleerde gebieden.

Bouw het audituniversum rond de beheersingsthema’s van NIS2 en DORA

NIS2 Article 21 vereist passende en evenredige technische, operationele en organisatorische maatregelen. De baseline omvat risicoanalyse, beveiligingsbeleid, incidentenafhandeling, bedrijfscontinuïteit, back-upbeheer, herstel na verstoringen, crisismanagement, beveiliging van de toeleveringsketen, veilige aanschaf en ontwikkeling, afhandeling van kwetsbaarheden, beoordeling van doeltreffendheid, cyberhygiëne, training, cryptografie, HR-beveiliging, toegangscontrole, beheer van bedrijfsmiddelen, MFA of continue authenticatie waar passend, en beveiligde communicatie.

DORA kent een vergelijkbare operationele levenscyclus. Het vereist dat financiële entiteiten door ICT ondersteunde bedrijfsfuncties, informatieactiva, ICT-activa, afhankelijkheden en verbindingen met derde partijen identificeren en classificeren. Het vereist ook bescherming, detectie, incidentclassificatie, respons, herstel, back-up, herstelactiviteiten, testen, leren na incidenten, communicatie en risicobeheer voor ICT-derde partijen.

Een geïntegreerd audituniversum voorkomt de veelvoorkomende fout dat ISO 27001 los van NIS2 en DORA wordt geaudit.

Deze structuur maakt van elk auditdomein een gedeeld assuranceobject. De interne auditor toetst de ISO 27001-eis en legt vervolgens vast of hetzelfde bewijsmateriaal ook de verwachtingen van NIS2, DORA, GDPR, NIST CSF en COBIT 2019 ondersteunt.

Plan het jaar rond risico, niet rond papierwerk

De Zenith Blueprint geeft teams een praktische volgorde om audit om te zetten in verbetering:

• Stap 25, Intern auditprogramma: plan scope, frequentie, onafhankelijkheid en risicogebaseerde prioriteiten.
• Stap 26, Audituitvoering: verzamel objectief bewijsmateriaal via interviews, documentbeoordeling, observatie en steekproeven.
• Stap 27, Auditbevindingen, analyse en oorzaak: classificeer bevindingen en bepaal de oorzaak.
• Stap 28, Directiebeoordeling: breng auditresultaten, incidenten, non-conformiteiten, doelstellingen, risico’s en resourcebehoeften in de directiebeoordeling in.
• Stap 29, Continue verbetering: bouw corrigerende maatregelen die oorzaken wegnemen, niet alleen symptomen.

De Zenith Blueprint is expliciet over onafhankelijkheid:

Idealiter audit de interne auditor niet zijn of haar eigen werk.

Uit de fase Audit, beoordeling en verbetering, stap 25: Intern auditprogramma.

Voor een kleinere SaaS- of fintechonderneming kan dit betekenen dat een manager uit een andere functie beveiligingsprocessen audit, dat eigenaren van beheersmaatregelen rouleren, of dat een externe consultant wordt ingezet. De sleutel is het documenteren van competentie en onafhankelijkheid, vooral wanneer bewijsmateriaal voor NIS2 en DORA later kan worden beoordeeld door klanten, toezichthoudende autoriteiten of externe auditors.

Het Audit- en compliancemonitoringbeleid voor mkb definieert ook de minimale auditstructuur:

Elke audit moet een gedefinieerde scope, doelstellingen, verantwoordelijk personeel en vereist bewijsmateriaal omvatten.

Uit sectie ‘Governancevereisten’, beleidsclausule 5.2.3.

Een praktische kwartaalstructuur voor een snelgroeiende SaaS- of ICT-aanbieder kan er als volgt uitzien:

Dit vervangt de maandelijkse bewijsverzameling niet. Het geeft het jaar een duidelijk assuranceritme.

Steekproeven: hoeveel bewijsmateriaal is genoeg?

Steekproeven zijn het punt waarop veel interne audits te oppervlakkig of juist te kostbaar worden. In gereguleerde ICT-omgevingen moeten steekproeven risicogebaseerd, uitlegbaar en gedocumenteerd zijn.

De Zenith Blueprint, stap 26, geeft het praktische principe:

Neem steekproeven en voer steekproefsgewijze controles uit: u kunt niet alles controleren, dus gebruik steekproeven.

Uit de fase Audit, beoordeling en verbetering, stap 26: Audituitvoering.

Clarysec’s ondernemingsbeleid maakt dit auditeerbaar:

Documentatie van de steekproefstrategie, auditscope en beperkingen

Uit sectie ‘Governancevereisten’, beleidsclausule 5.5.3.

Voor NIS2 en DORA moeten steekproeven rekening houden met criticaliteit, risico, leveranciersbelang, tijdsperiode, incidenthistorie, geografie en de vraag of het geselecteerde proces kritieke of belangrijke functies ondersteunt.

Voor omgevingen die door DORA worden geraakt, verdient testbewijsmateriaal bijzondere aandacht. DORA vereist testen van digitale operationele weerbaarheid voor financiële entiteiten, met geavanceerdere testen zoals threat-led penetratietesten voor geselecteerde entiteiten ten minste elke drie jaar. Uw auditsteekproef moet niet alleen testrapporten bevatten, maar ook bewijsmateriaal dat bevindingen zijn geprioriteerd, hersteld en opnieuw getest.

Praktisch auditvoorbeeld: ICT-risico van derde partijen

Leveranciersbeveiliging is vaak de snelste manier om hiaten tussen documentatie en operationele werkelijkheid bloot te leggen. DORA Articles 28 tot en met 30 vereisen risicobeheer voor ICT-derde partijen, contractuele inhoud en informatieregisters. NIS2 Article 21 vereist beveiliging van de toeleveringsketen waarbij rekening wordt gehouden met kwetsbaarheden en praktijken van directe leveranciers.

Voor een Q2-audit selecteert Sarah vijf kritieke leveranciers, drie nieuwe leveranciers die in de afgelopen zes maanden zijn onboarded en twee leveranciers met recent verlengde contracten. De auditor interviewt inkoop, juridische zaken, service-eigenaren en eigenaren van beveiligingsmaatregelen.

Deze tabel doet meer dan de bewijsverzameling sturen. Zij toont aan dat de organisatie regelgevende tekst heeft vertaald naar ISO-gebaseerde auditcriteria en concreet bewijsmateriaal.

Bevindingen: schrijf ze zodat het management kan handelen

Een auditbevinding mag niet klinken als een vage klacht. Zij moet voldoende gestructureerd zijn zodat het management het risico begrijpt, eigenaarschap kan toewijzen en corrigerende maatregelen kan goedkeuren.

Het Audit- en compliancemonitoringbeleid voor mkb stelt:

Alle auditbevindingen moeten worden gedocumenteerd met risicoclassificaties en voorgestelde acties.

Uit sectie ‘Governancevereisten’, beleidsclausule 5.4.1.

Het ondernemingsbrede Audit- en compliancemonitoringbeleid voegt de discipline rond corrigerende maatregelen toe:

Alle bevindingen moeten resulteren in een gedocumenteerde CAPA die het volgende omvat:

Uit sectie ‘Vereisten voor beleidsimplementatie’, beleidsclausule 6.2.1.

In de Zenith Blueprint adviseert stap 27 om bevindingen te categoriseren als majeure non-conformiteiten, kleine non-conformiteiten of observaties, en vervolgens een oorzaakanalyse uit te voeren. Een majeure non-conformiteit wijst op een ernstig hiaat of systemisch falen. Een kleine non-conformiteit is een geïsoleerde afwijking in een verder conform proces. Een observatie is een verbeterkans.

Een sterke bevinding bevat:

• Eis of verwachting ten aanzien van de beheersmaatregel.
• Geconstateerde situatie.
• Geselecteerd bewijsmateriaal.
• Risico en bedrijfsimpact.
• Regelgevende relevantie.
• Classificatie en risicoclassificatie.
• Oorzaak.
• Eigenaar van de corrigerende maatregel en vervaldatum.

Voorbeeldbevinding:

Bevinding NC-2026-07, kleine non-conformiteit, vertraging in leveranciersbeveiligingsbeoordeling

Eis: Beveiligingsbeoordelingen van leveranciers voor kritieke ICT-aanbieders moeten ten minste jaarlijks worden uitgevoerd, ter ondersteuning van ISO 27001-leveranciersbeheersmaatregelen, NIS2-verwachtingen voor de toeleveringsketen en DORA-verplichtingen voor ICT-risico van derde partijen.

Situatie: Voor twee van de twaalf kritieke ICT-leveranciers waren de beveiligingsbeoordelingen voor 2026 niet op de vereiste datum afgerond.

Bewijsmateriaal: Export van het leveranciersregister d.d. 15 juni 2026, tracker voor leveranciersbeoordelingen, interview met de inkoopverantwoordelijke en twee ontbrekende beoordelingsregistraties.

Risico: Een vertraagde leveranciersbeoordeling kan tijdige identificatie verhinderen van kwetsbaarheden, wijzigingen in onderaanneming, hiaten in incidentondersteuning of contractuele non-compliance die kritieke diensten raken.

Oorzaak: Inkoop werd niet automatisch geïnformeerd wanneer beoordelingsdatums voor leveranciers naderden, en eigenaarschap voor DORA-gerelateerd leveranciersbewijsmateriaal was niet toegewezen.

Corrigerende maatregel: Configureer geautomatiseerde beoordelingsherinneringen, wijs eigenaren van beheersmaatregelen op naam toe voor alle kritieke ICT-leveranciers, rond achterstallige beoordelingen uiterlijk 31 juli 2026 af en voer kwartaalgewijze steekproefcontroles uit.

Voor oorzaakanalyse is de “5 Whys”-techniek nuttig. Als een beoordeling vóór contractsluiting is gemist, hoeft de werkelijke oorzaak geen individuele fout te zijn. Het kan zijn dat de inkoopworkflow ICT-contracten met lage waarde toestond om beveiligingsbeoordeling te omzeilen, terwijl DORA- en NIS2-verwachtingen gelden op basis van risico en afhankelijkheid, niet alleen op basis van uitgaven.

De bewijskalender voor 2026

Een bewijskalender voor 2026 maakt van interne audit een operationeel ritme. De kalender spreidt het genereren van bewijsmateriaal over het jaar en voorkomt de eindejaarsinhaalslag.

Clarysec’s Informatiebeveiligingsbeleid verwacht een governancebeoordeling van:

Beoordeling van beveiligings-KPI’s, incidenten, auditbevindingen en risicostatus

Uit sectie ‘Governancevereisten’, beleidsclausule 5.3.2.

Bewijsmateriaal wordt niet alleen voor auditors verzameld. Het voedt besluiten over risico, budget, resources, leveranciers, tooling, training en corrigerende maatregelen.

Deze kalender geeft het Auditcomité een vooruitkijkend assuranceplan en geeft eigenaren van beheersmaatregelen tijd om bewijsmateriaal via normale werkzaamheden te creëren.

De ISO 27002:2022-ruggengraat: 5.31, 5.35 en 5.36

Zenith Controls is Clarysec’s cross-compliancegids. De gids mapt beheersgebieden uit ISO/IEC 27001:2022 en ISO/IEC 27002:2022 naar andere normen, regelgeving, auditverwachtingen en bewijsstructuren. Dit is vooral nuttig voor het verbinden van interne beoordeling, wettelijke verplichtingen en beleidsnaleving.

Drie beheersgebieden uit ISO/IEC 27002:2022 vormen de ruggengraat van een geïntegreerd intern auditprogramma:

Beheersmaatregel 5.35 is de hoeksteen van assurance omdat deze valideert of het ISMS onafhankelijk wordt beoordeeld. Beheersmaatregel 5.36 bevestigt dat beleid niet alleen is goedgekeurd, maar daadwerkelijk wordt nageleefd. Beheersmaatregel 5.31 verbindt het ISMS met wettelijke, regelgevende en contractuele verplichtingen, waaronder NIS2, DORA, GDPR en beveiligingseisen van klanten.

Cross-compliance-mapping: één audit, meerdere assurancelensen

Een volwassen intern auditwerkdocument moet expliciet laten zien hoe één bewijsitem meerdere assuranceverwachtingen ondersteunt.

Dit stelt de CISO in staat om tegen het bestuur te zeggen: “Onze incidentaudit in juli leverde bewijsmateriaal op voor ISO 27001, NIS2, DORA-klantassurance, gereedheid voor GDPR-inbreuken, responsresultaten volgens NIST CSF en incidentgovernance volgens COBIT.”

Directiebeoordeling: waar audit verantwoordingsplicht wordt

Interne audit heeft weinig waarde als bevindingen het management niet bereiken. De ISO 27001-directiebeoordeling biedt het mechanisme, en NIS2 en DORA maken de governanceverwachting expliciet.

Het Audit- en compliancemonitoringbeleid voor mkb vereist:

Auditbevindingen en statusupdates moeten worden opgenomen in het ISMS-directiebeoordelingsproces.

Uit sectie ‘Governancevereisten’, beleidsclausule 5.4.3.

Het stelt ook:

De GM moet een plan voor corrigerende maatregelen goedkeuren en de implementatie ervan volgen.

Uit sectie ‘Governancevereisten’, beleidsclausule 5.4.2.

De directiebeoordeling moet antwoord geven op:

• Zijn NIS2-, DORA-, GDPR- en contractuele verplichtingen nog correct weerspiegeld in de ISMS-scope?
• Worden beheersmaatregelen met een hoog risico vaak genoeg geaudit?
• Welke bevindingen wijzen op een systemische zwakte in plaats van een geïsoleerde fout?
• Zijn corrigerende maatregelen achterstallig?
• Accepteren risico-eigenaren restrisico bewust?
• Zijn leveranciers, incidentmelding, continuïteit en testen voldoende van middelen voorzien?
• Wijzen audittrends op noodzakelijke wijzigingen in beleid, tooling, budget of training?

Als deze antwoorden niet zijn gedocumenteerd, kan de organisatie bewijsmateriaal van activiteiten hebben, maar geen bewijsmateriaal van governance.

Veelvoorkomende valkuilen om in 2026 te vermijden

De meest voorkomende tekortkoming is de interne ISO 27001-audit behandelen als iets dat losstaat van regelgevende assurance. Dat creëert duplicatie en blinde vlekken.

Andere valkuilen zijn:

• De scope sluit kritieke leveranciers, cloudplatformen of uitbestede SOC-diensten uit.
• De toepasselijkheid van NIS2 of DORA is niet vastgelegd in het juridisch register.
• Het auditplan is niet door het management goedgekeurd.
• Steekproeven worden uitgevoerd maar niet gedocumenteerd.
• Interne auditors beoordelen hun eigen werk zonder mitigerende maatregel.
• Bevindingen beschrijven symptomen, maar geen oorzaken.
• Corrigerende maatregelen actualiseren documenten, maar herstellen processen niet.
• De directiebeoordeling ontvangt auditresultaten, maar neemt geen besluiten.
• Incidentoefeningen testen technische respons, maar niet de wettelijke melding.
• Leveranciersaudits beoordelen vragenlijsten, maar geen contracten, exitplannen of concentratierisico.
• Back-upbewijsmateriaal toont succesvolle jobs, maar geen integriteit van herstel.
• Toegangsrechtenbeoordelingen worden uitgevoerd, maar uitzonderingen worden niet tot sluiting opgevolgd.

Elke valkuil kan een kleine of majeure non-conformiteit worden, afhankelijk van ernst en systemische impact. Belangrijker nog: elke valkuil verzwakt het vermogen van de organisatie om weerbaarheid aan te tonen onder NIS2, DORA en klanttoetsing.

Maak van uw auditplan voor 2026 een bewijsmotor

Als uw interne auditprogramma nog steeds één jaarlijks moment is, is dit het moment om het opnieuw te ontwerpen.

Begin met een door het management goedgekeurd auditplan. Definieer de ISMS-scope rond echte diensten, gereguleerde verplichtingen en afhankelijkheden van derde partijen. Bouw een risicogebaseerd audituniversum. Documenteer steekproeven. Classificeer bevindingen consistent. Gebruik oorzaakanalyse. Volg CAPA op. Voed resultaten in de directiebeoordeling. Onderhoud een maandelijkse bewijskalender.

Clarysec kan u helpen sneller vooruitgang te boeken met:

• Zenith Blueprint: een 30-stappenroadmap voor auditors voor auditplanning, uitvoering, bevindingen, directiebeoordeling en continue verbetering.
• Zenith Controls: de cross-compliancegids voor het mappen van ISO 27001-assurance naar NIS2-, DORA-, GDPR-, NIST CSF- en COBIT-verwachtingen.
• Audit- en compliancemonitoringbeleid en Audit- en compliancemonitoringbeleid voor mkb voor governancegereed auditplanning en bevindingenbeheer.
• Informatiebeveiligingsbeleid voor beoordeling van KPI’s, incidenten, auditbevindingen en risicostatus op managementniveau.

Kies één domein met hoog risico, zoals incidentmelding of ICT-leveranciersgovernance, en voer een gerichte interne audit uit met de scope-, steekproef- en bevindingenstructuur van Clarysec. Binnen één cyclus weet u of uw bewijsmateriaal auditgereed is, of uw beheersmaatregelen werken en of uw bestuursorgaan de informatie heeft die nodig is om cyberrisico te besturen.