Bewijsmateriaal voor ISO 27001:2022-training voor NIS2 en DORA
Het is 09:12 op een dinsdagochtend in februari 2026. Een financieel analist bij een snelgroeiende FinTech ontvangt een e-mail die van de CFO lijkt te komen, met het verzoek om met spoed een leveranciersbetalingsbestand te beoordelen. De bijlage opent een overtuigende Microsoft-inlogpagina. De analist aarzelt, herinnert zich de phishingsimulatie en de module over betalingsfraude van vorige maand, en meldt de e-mail via het beveiligingsportaal in plaats van inloggegevens in te voeren.
Voor de CISO is die ene beslissing een beheersmaatregel die in de praktijk werkt.
Voor de auditor is het verhaal niet voldoende.
Een week later komt het verzoek om bewijsmateriaal binnen: “Lever bewijsmateriaal aan van een volledig, rolgebaseerd programma voor informatiebeveiligingsbewustzijn en training, inclusief doeltreffendheidsindicatoren en registraties waaruit dekking blijkt voor al het personeel, inclusief management.”
Die zin verandert het gesprek. Een spreadsheet met “Voltooid” naast 97 procent van de medewerkers is niet langer voldoende. De auditor zal vragen wie de analist heeft getraind, wanneer de training is toegewezen, of deze verplicht was, of deze rolgebaseerd was, of finance aanvullende bewustwording over betalingsfraude heeft gekregen, of nieuwe medewerkers en contractanten zijn meegenomen, of het management het programma heeft goedgekeurd, of de training is aangepast na de laatste phishingcampagne en of voltooiingsregistraties zijn bewaard.
In 2026 bevindt bewijsmateriaal voor security-awareness-training zich op het snijvlak van ISO/IEC 27001:2022, NIS2, DORA, GDPR en NIST CSF 2.0. Het is geen jaarlijkse HR-oefening meer. Het gaat om governance op bestuursniveau, risicobehandeling, paraatheid voor incidenten, juridische verantwoordingsplicht en auditbewijsmateriaal.
Clarysec behandelt security awareness als een operationeel systeem voor bewijsmateriaal, niet als een slidedeck. Zenith Blueprint: Een 30-stappenroadmap voor auditors Zenith Blueprint, Zenith Controls: De gids voor cross-compliance Zenith Controls, Informatiebeveiligingsbewustzijns- en opleidingsbeleid - mkb Informatiebeveiligingsbewustzijns- en opleidingsbeleid - mkb, en Informatiebeveiligingsbewustzijns- en opleidingsbeleid Informatiebeveiligingsbewustzijns- en opleidingsbeleid verbinden rolgebaseerde training met het ISMS, wettelijke verplichtingen, incidentrespons, leverancierstoegang en directiebeoordeling.
Waarom generieke security-awareness-training in 2026 faalt
De verschuiving in regelgeving is duidelijk. NIS2 maakt cyberbeveiliging tot een managementverantwoordelijkheid voor essentiële en belangrijke entiteiten. Article 20 vereist dat bestuursorganen maatregelen voor cyberbeveiligingsrisicobeheer goedkeuren, toezicht houden op de implementatie en training ontvangen. Article 21 omvat basismaatregelen voor cyberhygiëne en cyberbeveiligingstraining als onderdeel van de vereiste baseline voor risicobeheer. Voor cloudproviders, datacenteraanbieders, managed service providers, managed security service providers, DNS-providers, TLD-registers, online marktplaatsen en zoekmachines is training een onderwerp op bestuursniveau geworden.
DORA legt de lat hoger voor financiële entiteiten en ICT-aanbieders die de financiële sector bedienen. DORA is van toepassing vanaf 17 januari 2025 en vereist dat financiële entiteiten een intern governance- en beheerskader voor ICT-risicobeheer onderhouden. Bestuursorganen moeten toezicht houden op ICT-risico, budgetten, audits, regelingen met derde partijen, bedrijfscontinuïteit, respons- en herstelplannen en digitale operationele weerbaarheid. DORA Articles 17 to 19 vereisen ook dat ICT-gerelateerde incidenten worden gedetecteerd, geclassificeerd, geëscaleerd, gecommuniceerd en gerapporteerd. Training maakt deze procedures uitvoerbaar onder druk.
ISO/IEC 27001:2022 biedt organisaties de ruggengraat van het managementsysteem. Clausules 4 tot en met 10 behandelen context, belanghebbenden, leiderschap, risicobeoordeling, risicobehandeling, competentie, bewustzijn, gedocumenteerde informatie, prestatie-evaluatie en verbetering. De norm is schaalbaar voor verschillende sectoren en organisatiegroottes; daarom gebruikt Clarysec deze als operationeel model voor geïntegreerde afstemming op ISO, NIS2, DORA, GDPR en NIST ISO/IEC 27001:2022.
GDPR voegt de verantwoordingslaag toe. Organisaties moeten aantonen dat persoonsgegevens rechtmatig, behoorlijk, veilig en met passende technische en organisatorische maatregelen worden verwerkt. Medewerkers die persoonsgegevens verwerken, systemen beheren, software bouwen, klanten ondersteunen of incidenten onderzoeken, hebben training nodig in privacy en escalatie van inbreuken.
NIST CSF 2.0 bevestigt dezelfde richting. De GOVERN-functie verbindt wettelijke, regelgevende, contractuele, privacy- en stakeholdervereisten met rollen, verantwoordelijkheden, beleid, middelen, toezicht en enterprise risk management. NIST CSF-profielen helpen ook om trainingsverplichtingen te vertalen naar verbeterplannen voor de huidige en beoogde situatie.
Het resultaat is eenvoudig: auditgereed bewijsmateriaal voor security-awareness-training moet aantonen dat mensen hun verantwoordelijkheden kennen, dat training is afgestemd op rol en risico, en dat het bewijsmateriaal volledig genoeg is voor auditors, toezichthouders, klanten en management.
Het auditprobleem: “we hebben iedereen getraind” is geen bewijsmateriaal
Veel organisaties zakken niet voor audits omdat zij geen training hebben gegeven, maar omdat zij niet kunnen aantonen dat training is ontworpen, toegewezen, voltooid, beoordeeld en verbeterd.
Een zwak bewijsdossier bevat meestal één jaarlijkse PDF, een voltooiingsspreadsheet zonder datums, geen onboardingbewijsmateriaal, geen dekking van contractanten, geen training voor geprivilegieerde gebruikers, geen managementtraining, geen rolgebaseerde modules voor ontwikkelaars of finance, geen koppeling met de risicobeoordeling en geen bewijs dat training is bijgewerkt na incidenten of wijzigingen in regelgeving.
Auditors willen geen motivatieposter. Zij willen een keten van bewijsmateriaal.
Het mkb-beleid van Clarysec maakt die verwachting expliciet. Informatiebeveiligingsbewustzijns- en opleidingsbeleid - mkb, Doelstellingen, clausule 3.3, vereist dat organisaties:
“Gedocumenteerde voltooiingsregistraties vaststellen om naleving van wettelijke, contractuele en auditvereisten aan te tonen.”
Datzelfde mkb-beleid maakt van training bewaarde gedocumenteerde informatie. Vereisten voor beleidsimplementatie, clausule 6.3.2, stelt:
“Een centrale spreadsheet of Human Resource Information System moet deze registraties gedurende minimaal drie jaar bijhouden.”
Voor enterprise-omgevingen stelt Informatiebeveiligingsbewustzijns- en opleidingsbeleid, Doel, clausule 1.2, een meer gestructureerde verwachting:
“Dit beleid ondersteunt ISO/IEC 27001 Clause 7.3 en Annex A Control 6.3 door een gestructureerd, risicogeïnformeerd bewustwordings- en opleidingskader te vereisen dat is afgestemd op organisatierollen en zich ontwikkelende dreigingen.”
Die formulering is belangrijk: gestructureerd, risicogeïnformeerd, rolgericht en dreigingsbewust. Dat is het verschil tussen awareness-theater en verdedigbare competentie.
Begin met rollen, niet met cursussen
De meest voorkomende fout is content inkopen voordat verantwoordelijkheden zijn gedefinieerd. In een geïntegreerd complianceprogramma is de juiste eerste vraag niet: “Welk trainingsplatform moeten we gebruiken?” De juiste vraag is: “Welke rollen creëren, beheren, keuren goed, verwerken, beveiligen of herstellen informatieactiva?”
ISO/IEC 27001:2022 Clause 5.3 vereist toewijzing en communicatie van verantwoordelijkheden en bevoegdheden voor informatiebeveiligingsrollen. Clause 7.2 vereist competentie voor personen die werkzaamheden uitvoeren onder toezicht van de organisatie, op basis van opleiding, training of ervaring. Clause 7.3 vereist bewustzijn van het informatiebeveiligingsbeleid, de bijdrage aan de doeltreffendheid van het ISMS en de gevolgen van non-conformiteit.
In Zenith Blueprint, ISMS-fundament en leiderschap, Step 5: Communicatie, bewustzijn en competentie, vertaalt Clarysec dit naar implementatietaal:
“Identificeer vereiste competenties: bepaal welke kennis en vaardigheden noodzakelijk zijn voor verschillende rollen binnen uw ISMS.”
De Blueprint geeft praktische voorbeelden: IT-medewerkers hebben mogelijk veilige serverconfiguratie nodig, ontwikkelaars veilig programmeren, HR veilige verwerking van persoonsgegevens en algemeen personeel phishingbewustzijn. Ook benadrukt de Blueprint registraties:
“Onderhoud competentie-registraties: Clause 7.2 verwacht dat u gedocumenteerde informatie bewaart als bewijsmateriaal van competentie.”
Dat betekent dat het trainingsprogramma moet beginnen met een rol-risicomatrix.
| Rolgroep | Trainingsfocus | Te bewaren bewijsmateriaal | Compliancewaarde |
|---|---|---|---|
| Alle medewerkers | Phishing, wachtwoordhygiëne, MFA, aanvaardbaar gebruik, apparaatbeveiliging, incidentmelding | Voltooiingsrapport, quizscore, beleidskennisname, contentversie | ISO/IEC 27001:2022 Clause 7.3, ISO/IEC 27002:2022 beheersmaatregel 6.3, NIS2 Article 21 |
| Leidinggevenden en bestuur | Governance van cyberrisico’s, verplichtingen onder NIS2 Article 20, DORA-toezicht, risicobereidheid, crisisbesluiten | Aanwezigheidsregistratie, bestuursdocumentatie, notulen, programmagoedkeuring | NIS2 Article 20, DORA Article 5, leiderschapsbewijsmateriaal voor ISO/IEC 27001:2022 |
| Ontwikkelaars | Veilig programmeren, OWASP Top 10, veilige SDLC, API-beveiliging, afhandeling van kwetsbaarheden, secretsmanagement | Modulevoltooiing, labresultaten, checklist voor veilige programmeerpraktijken, herstelbewijsmateriaal | ISO/IEC 27002:2022 beheersmaatregelen 8.25 en 8.28, DORA-verwachtingen voor ICT-risico |
| IT- en systeembeheerders | Geprivilegieerde toegang, logging, kwetsbaarhedenbeheer, back-upherstel, wijzigingsbeheer, hardening | Voltooiingsregistratie, koppeling met toegangsrechtenbeoordeling, deelname aan tabletop-oefening | ISO/IEC 27002:2022 beheersmaatregelen 8.8 en 8.13, DORA-gereedheid voor weerbaarheid |
| HR | Vertrouwelijkheid, onboarding en offboarding, disciplinair proces, verwerking van bijzondere categorieën gegevens | HR-trainingsregistratie, onboardingchecklist, beleidskennisname | GDPR-verantwoordingsplicht, ISO/IEC 27002:2022 personele maatregelen |
| Finance | Betalingsfraude, leveranciersimitatie, functiescheiding, escalatie van verdachte verzoeken | Voltooiing van gerichte module, resultaten van phishingsimulaties | Fraudereductie, paraatheid voor incidenten onder NIS2 en DORA |
| Klantenservice | Identiteitsverificatie, veilige ticketafhandeling, bescherming van persoonsgegevens, escalatiepaden | Voltooiing van rolmodule, steekproef van ticketbeoordeling, privacykennisname | GDPR-verantwoordingsplicht van de verwerker, assurance richting klanten |
| Incidentafhandelaars | Classificatie, escalatie, veiligstellen van bewijsmateriaal, wettelijke meldtermijnen, geleerde lessen | Oefenregistratie, scenariorapport, roltoewijzing, actietracker | NIS2 Article 23, DORA Articles 17 to 19, ISO/IEC 27002:2022 incidentbeheersmaatregelen |
| Contractanten met systeemtoegang | Aanvaardbaar gebruik, meldingskanaal, gegevensverwerking, toegangsvoorwaarden | Kennisname door contractant, onboardingregistratie, koppeling met toegangsgoodkeuring | Leveranciersassurance, toegangsgovernance, contractuele naleving |
Deze matrix is niet alleen een trainingsplanning. Het is een compliancekaart die laat zien waarom verschillende doelgroepen verschillende training krijgen.
Verbind training met de keten van beheersmaatregelen
In Zenith Controls wordt ISO/IEC 27002:2022 beheersmaatregel 6.3, bewustzijn, opleiding en training inzake informatiebeveiliging, gecategoriseerd als een preventieve beheersmaatregel die vertrouwelijkheid, integriteit en beschikbaarheid ondersteunt. Het cyberbeveiligingsconcept is Protect, de operationele capaciteit is Human Resource Security en de beveiligingsdomeinen zijn Governance en Ecosystem.
De cross-compliance-interpretatie in Zenith Controls is direct:
“Beheersmaatregel 6.3 adresseert de NIS2-verplichting voor beveiligingstraining en bewustzijn door een gestructureerd bewustwordingsprogramma te implementeren dat cyberhygiëne, opkomende dreigingen en verantwoordelijkheden van medewerkers omvat.”
Dezelfde mapping verbindt ISO/IEC 27002:2022 beheersmaatregel 6.3 met GDPR-verwachtingen voor medewerkers die persoonsgegevens verwerken, DORA ICT-beveiligingstraining afgestemd op rollen, en NIST SP 800-53 Rev.5 AT-2, AT-3 en AT-4 voor basiskennis en bewustzijn, rolgebaseerde training en trainingsregistraties.
Het kernpunt is dat beheersmaatregel 6.3 niet op zichzelf staat. Zenith Controls koppelt deze aan ISO/IEC 27002:2022 beheersmaatregel 5.2, rollen en verantwoordelijkheden voor informatiebeveiliging, omdat rollen bepalen wie welke training nodig heeft. Het koppelt deze aan beheersmaatregel 6.8, rapportage van informatiebeveiligingsgebeurtenissen, omdat medewerkers niet kunnen melden wat zij niet herkennen. Het koppelt deze ook aan beheersmaatregel 5.36, naleving van beleid, regels en normen voor informatiebeveiliging, omdat naleving afhankelijk is van mensen die de regels kennen.
Dat creëert een praktische keten van beheersmaatregelen:
- Definieer verantwoordelijkheden.
- Wijs basistraining en rolgebaseerde training toe.
- Toon voltooiing aan.
- Toets begrip.
- Monitor naleving.
- Corrigeer hiaten.
- Verwerk lessen in risicobehandeling en directiebeoordeling.
Dit is van belang voor NIS2 omdat Article 21 risicoanalyse, beleid, incidentenafhandeling, bedrijfscontinuïteit, beveiliging van de toeleveringsketen, veilige verwerving en onderhoud, beoordeling van de doeltreffendheid van beheersmaatregelen, cyberhygiëne en training, cryptografie, HR-beveiliging, toegangscontrole, beheer van bedrijfsmiddelen en MFA of veilige authenticatie vereist waar passend.
Het is van belang voor DORA omdat governance, incidentbeheer, respons en herstel, risico’s van derde partijen en weerbaarheidstesten alleen werken als mensen vóór het incident weten wat zij moeten doen.
Bouw het auditgereede bewijsdossier
Een volwassen bewijsdossier bevat meer dan aanwezigheidslogboeken. Het toont governance, ontwerp, uitvoering, voltooiing, doeltreffendheid en verbetering. Clarysec adviseert een structuur met zes mappen.
| Bewijsmap | Inhoud | Waarom dit belangrijk is |
|---|---|---|
| 01 Governance | Goedgekeurd beleid, trainingsdoelstellingen, managementgoedkeuring, budget, jaarplan | Toont betrokkenheid en toezicht vanuit leiderschap |
| 02 Rolmapping | Rolleninventaris, competentiematrix, regels voor trainingstoewijzing, contractantenscope | Bewijst risicogebaseerd en rolgebaseerd ontwerp |
| 03 Trainingsinhoud | Cursusdecks, LMS-modules, phishingsjablonen, leveranciersbulletins over beveiliging, versiehistorie | Laat zien wat mensen daadwerkelijk hebben geleerd |
| 04 Voltooiingsregistraties | LMS-exporten, HRIS-registraties, aanwezigheidslogboeken, quizresultaten, kennisnames | Toont deelname en bewaarde gedocumenteerde informatie aan |
| 05 Bewijsmateriaal van doeltreffendheid | Metrieken van phishingsimulaties, interviewresultaten, trends in incidentmelding, uitkomsten van tabletop-oefeningen | Laat zien of training gedrag heeft veranderd |
| 06 Verbetering | Corrigerende maatregelen, bijgewerkte modules, geleerde lessen, input voor directiebeoordeling | Toont voortdurende verbetering |
Het enterprisebeleid van Clarysec vereist onboarding, jaarlijkse opfriscursus en rolgebaseerde modules. Informatiebeveiligingsbewustzijns- en opleidingsbeleid, Governancevereisten, clausule 5.1.1.2, stelt:
“Neem onboarding, jaarlijkse opfriscursus en rolgebaseerde trainingsmodules op”
Hetzelfde beleid wijst eigenaarschap van bewijsmateriaal toe. Governancevereisten, clausules 5.3.1 en 5.3.1.1, stellen:
“De CISO of gedelegeerde moet onderhouden:”
“Voltooiingsregistraties voor elke gebruiker”
Voor mkb-organisaties voegt het mkb-beleid een pragmatisch ritme toe. Informatiebeveiligingsbewustzijns- en opleidingsbeleid - mkb, Vereisten voor beleidsimplementatie, clausule 6.1.1, stelt:
“Materialen moeten praktisch, rolpassend en jaarlijks bijgewerkt zijn.”
Het beleid dekt ook training die door wijzigingen wordt getriggerd. Clausule 6.5.1 stelt:
“Wanneer functies wijzigen of systemen worden geïntroduceerd, kan gerichte bewustwordingstraining vereist zijn (bijv. veilig delen van bestanden, nieuwe vereisten voor gegevensbescherming en gegevensminimalisatie).”
Die clausule is vooral belangrijk in 2026, omdat cloudmigratie, AI-tools, nieuwe betalingsintegraties, nieuwe verwerkers en wijzigingen in wettelijke rapportage risico’s sneller kunnen veranderen dan een jaarlijkse cyclus.
Een herstelplan van één week vóór de audit
Neem een SaaS- of FinTech-aanbieder met 180 medewerkers die zich voorbereidt op een ISO/IEC 27001:2022-controleaudit, DORA-klant-due diligence, een GDPR-verantwoordingsbeoordeling en klantvragen gedreven door NIS2. De CISO heeft één week om generieke voltooiingsregistraties om te zetten in een verdedigbaar bewijsdossier.
Dag 1: Bevestig scope en verplichtingen
Gebruik ISO/IEC 27001:2022 Clauses 4.1 to 4.4 om context, belanghebbenden en ISMS-toepassingsgebied te bevestigen. Leg contractuele klantverplichtingen, GDPR-verplichtingen als verwerkingsverantwoordelijke of verwerker, NIS2-verwachtingen van kritieke klanten en DORA-gerelateerde due-diligenceverzoeken aan ICT-leveranciers vast.
Vertaal die verplichtingen vervolgens naar trainingsbehoeften. GDPR vereist dat personeel dat persoonsgegevens verwerkt vertrouwelijkheid, minimalisatie, bewaring en escalatie van inbreuken begrijpt. NIS2 vereist cyberhygiëne, medewerkerstraining en managementtoezicht. Klanten die door DORA worden gedreven, zullen bewijsmateriaal verwachten dat teams die kritieke diensten ondersteunen inzicht hebben in incidentescalatie, weerbaarheid, toegangscontrole, back-up en herstel, en coördinatie met derde partijen.
Dag 2: Bouw de rolgebaseerde matrix
Gebruik de richtlijnen in Zenith Blueprint en de mappings in Zenith Controls voor ISO/IEC 27002:2022 beheersmaatregelen 5.2 en 6.3. Neem medewerkers, contractanten, geprivilegieerde gebruikers, ontwikkelaars, supportteams, HR, finance, leidinggevenden en incidentafhandelaars op.
Koppel elke rol aan systemen en risico’s. Ontwikkelaars krijgen veilig programmeren en afhandeling van kwetsbaarheden. Supportteams krijgen identiteitsverificatie en veilige ticketafhandeling. Finance krijgt betalingsfraude en verificatie van leverancierswijzigingen. Leidinggevenden krijgen governance, juridische verantwoordingsplicht, risicobereidheid en crisisbesluitvorming.
Dag 3: Stem beleid en toewijzingen af
Adopteer of actualiseer het passende Clarysec-beleid. Gebruik het mkb-beleid voor een lichtgewicht operationeel model, of het enterprisebeleid voor sterkere governance en eigenaarschap van bewijsmateriaal. Bevestig dat het beleid onboarding, jaarlijkse opfrissers, rolgebaseerde modules, bewaring van bewijsmateriaal, dekking van contractanten en wijzigingsgestuurde training bevat.
Publiceer het beleid, verzamel kennisnames en koppel trainingsmodules aan functiefamilies in het HRIS of LMS.
Dag 4: Lever gerichte training
Train niet iedereen op alles. Train iedereen op de basisbeheersmaatregelen en wijs daarna rolspecifieke modules toe.
De basismodule moet phishing en social engineering, wachtwoordhygiëne en MFA, aanvaardbaar gebruik, veilige behandeling van informatie, meldingskanalen voor incidenten, melding van verloren apparaten en basiskennis gegevensbescherming omvatten.
Rolspecifieke modules moeten veilige SDLC voor ontwikkelaars, geprivilegieerde toegang en herstel van back-ups voor IT, medewerkergegevens voor HR, betalingsfraude voor finance, incidentclassificatie voor responders en NIS2- en DORA-governance voor leidinggevenden behandelen.
Dag 5: Exporteer en valideer bewijsmateriaal
Maak het bewijsdossier met zes mappen. Exporteer voltooiingsrapporten, quizscores, cursusversienummers, beleidskennisnames en trainingsschema’s. Identificeer niet-voltooiingen en open corrigerende maatregelen.
Toets vervolgens het begrip via interviews. Stel medewerkers uit verschillende afdelingen vragen:
- Welke beveiligingstraining hebt u voltooid?
- Hoe meldt u een verdachte e-mail?
- Wat zou u doen als u een laptop verliest?
- Waar kunt u het informatiebeveiligingsbeleid vinden?
- Welke persoonsgegevens verwerkt u in uw rol?
Leg de resultaten vast als steekproef voor interne audit. Auditors gebruiken vaak interviews om te verifiëren of bewustzijn is geïnternaliseerd, niet alleen aangeboden.
Dag 6: Koppel training aan incidentrespons
Gebruik training in incidentmelding als brug naar ISO/IEC 27002:2022 beheersmaatregel 6.8, NIS2 Article 23 en DORA Articles 17 to 19.
NIS2 Article 23 vereist gefaseerde rapportage voor significante incidenten, waaronder een vroegtijdige waarschuwing binnen 24 uur na bewustwording, kennisgeving binnen 72 uur en een eindrapport binnen één maand. DORA vereist dat majeure ICT-gerelateerde incidenten worden geclassificeerd, geëscaleerd, gecommuniceerd en gerapporteerd gedurende de vereiste rapportagecyclus.
Medewerkers hoeven wettelijke termijnen niet uit het hoofd te kennen, maar zij moeten vermoedelijke incidenten snel genoeg melden zodat de organisatie deze termijnen kan halen.
In Zenith Blueprint, beheersmaatregelen in de praktijk, Step 16: People Controls II, stelt Clarysec:
“Een effectief incidentresponssysteem begint niet met tools, maar met mensen.”
Dat is geen zachte richtlijn. Het is operationele weerbaarheid.
Dag 7: Bereid het auditverhaal voor
Het uiteindelijke auditverhaal moet kort zijn en door bewijsmateriaal worden ondersteund:
“We hebben trainingsbehoeften geïdentificeerd op basis van ISMS-rollen, wettelijke en contractuele verplichtingen, resultaten van risicobeoordelingen en systeemtoegang. We hebben basis- en rolgebaseerde modules via het LMS toegewezen. We hebben voltooiingsregistraties, quizscores, contentversies en kennisnames bewaard. We hebben de doeltreffendheid getoetst via phishingsimulaties, interviews en metrieken voor incidentmelding. Niet-voltooiing wordt opgevolgd als corrigerende maatregel. Het management beoordeelt het programma jaarlijks en na significante wijzigingen.”
Ondersteund door bewijsmateriaal kan dit verhaal standhouden bij ISO/IEC 27001:2022-auditvragen, NIS2-governancetoetsing, DORA-klant-due diligence, GDPR-verantwoordingsbeoordeling en NIST-achtige beoordeling van beheersmaatregelen.
Cross-compliance-mapping voor security-awareness-training
Security awareness wordt vaak ten onrechte geclassificeerd als een HR-taak. In de praktijk is het een cross-compliance-beheersmaatregel die raakt aan governance, risicobeheer, privacy, incidentrespons, leveranciersassurance en weerbaarheid.
| Raamwerk of regelgeving | Relevantie van training | Implementatiepunt van Clarysec |
|---|---|---|
| ISO/IEC 27001:2022 | Competentie, bewustzijn, leiderschap, roltoewijzing, gedocumenteerde informatie, monitoring, interne audit en verbetering | Zenith Blueprint Step 5 en Step 15, beleidsclausules over onboarding, jaarlijkse opfrissers, rolgebaseerde training en bewijsmateriaal |
| ISO/IEC 27002:2022 | Beheersmaatregel 6.3 bewustzijn, opleiding en training, gekoppeld aan 5.2 rollen, 6.8 gebeurtenisrapportage en 5.36 nalevingsmonitoring | Zenith Controls brengt attributen, gerelateerde beheersmaatregelen, auditverwachtingen en afstemming tussen raamwerken in kaart |
| NIS2 | Managementtraining, cyberbeveiligingstraining voor medewerkers, cyberhygiëne, paraatheid voor incidenten en governanceverantwoordingsplicht | Bestuursmodule, baseline voor medewerkers, module voor incidentmelding, bewijsmateriaal van managementgoedkeuring |
| DORA | ICT-governance, managementtoezicht, leren en ontwikkelen, incidentescalatie, weerbaarheidstesten en verwachtingen van derde partijen | Training voor leidinggevenden, ICT-rolmodules, training voor incidentafhandelaars, leveranciersgericht bewijsdossier |
| GDPR | Verantwoordingsplicht, veilige verwerking, privacybewustzijn per rol, herkenning van inbreuken en verwerking van persoonsgegevens | Privacytraining voor HR, support, sales, engineering en incidentteams |
| NIST CSF 2.0 | GOVERN-functie, rollen, beleid, wettelijke verplichtingen, toezicht, profielen en verbeterplanning | Huidig en beoogd trainingsprofiel, hiaatregister en geprioriteerd actieplan |
| NIST SP 800-53 Rev.5 | Bewustwordingstraining, rolgebaseerde training en trainingsregistraties | Mapping naar AT-2, AT-3 en AT-4 via Zenith Controls |
| Door COBIT 2019 geïnformeerde assurance | Governancedoelstellingen, verantwoordingsplicht, capaciteit, prestatiemetrieken en managementrapportage | Trainings-KPI’s, roleigenaarschap, directiebeoordeling en afsluiting van corrigerende maatregelen |
NIST CSF 2.0 is vooral nuttig voor organisaties die volwassenheid aan niet-ISO-stakeholders moeten uitleggen. De methode met Organizational Profiles ondersteunt planning voor de huidige en beoogde situatie. Een Current Profile kan bijvoorbeeld stellen dat basisbewustzijn bestaat, maar dat training in veilige programmeerpraktijken voor ontwikkelaars onvolledig is. Een Target Profile kan vereisen dat alle ontwikkelaars vóór Q3 training in veilig programmeren, openbaarmaking van kwetsbaarheden en secretsmanagement voltooien.
Hoe auditors en toezichthouders trainingsbewijsmateriaal toetsen
Verschillende beoordelaars stellen verschillende vragen, maar zij toetsen dezelfde kern: weet de organisatie wat mensen moeten doen, en kan zij aantonen dat mensen daarop zijn voorbereid?
Een ISO/IEC 27001:2022-auditor koppelt trainingsbewijsmateriaal aan Clauses 5.3, 7.2, 7.3, 7.5, 9.1, 9.2, 10.1 en 10.2, plus Annex A-beheersmaatregelen. Verwacht vragen over hoe competentie-eisen zijn bepaald, hoe medewerkers het informatiebeveiligingsbeleid kennen, hoe nieuwe medewerkers en contractanten worden getraind, hoe niet-voltooiing wordt afgehandeld, hoe rolgebaseerde training is gekoppeld aan de risicobeoordeling en de Verklaring van Toepasselijkheid, en hoe doeltreffendheid wordt geëvalueerd.
Zenith Controls merkt op dat auditors die ISO/IEC 19011:2018 gebruiken, curricula, planningen, materialen, aanwezigheidsregistraties, voltooiingscertificaten en competentie van trainers zullen beoordelen. Het merkt ook op dat ISO/IEC 27007:2020-auditors interviews kunnen gebruiken om vast te stellen of medewerkers weten hoe zij incidenten moeten melden en belangrijke trainingsboodschappen kunnen reproduceren.
Een NIS2-gerichte beoordeling kijkt verder dan voltooiingspercentages. Deze zal vragen of het bestuursorgaan maatregelen voor cyberbeveiligingsrisicobeheer heeft goedgekeurd en daarop toezicht heeft gehouden, of het management training heeft ontvangen, of cyberhygiënetraining voor medewerkers regelmatig plaatsvindt en of incidentmelding wordt begrepen. Article 21 vereist ook procedures om de doeltreffendheid van maatregelen voor cyberbeveiligingsrisicobeheer te beoordelen; daardoor worden phishingmetrieken, trends in incidentmelding en auditbevindingen bewijsmateriaal voor doeltreffendheid van beheersmaatregelen.
Een DORA-beoordeling, vooral door een financiële klant die een ICT-aanbieder beoordeelt, richt zich op operationele weerbaarheid. Verwacht vragen over personeel dat kritieke financiële diensten ondersteunt, trainingsregistraties voor teams die betalingssystemen beheren, managementtraining over ICT-risico van derde partijen, incidentclassificatie onder DORA Article 18 en training van contractanten voor toegang tot klantomgevingen.
Een GDPR-beoordeling richt zich op verantwoordingsplicht. De organisatie moet aantonen dat personeel dat persoonsgegevens verwerkt rechtmatige verwerking, vertrouwelijkheid, minimalisatie, bewaring, veilige behandeling en escalatie van inbreuken begrijpt. Voor SaaS-, FinTech- en managed service providers vormt trainingsbewijsmateriaal een onderdeel van het bewijs dat privacyvereisten zijn ingebed in operationeel gedrag.
Metrieken die de doeltreffendheid van beheersmaatregelen bewijzen
Voltooiing is noodzakelijk, maar niet genoeg. Een sterker dashboard voor 2026 laat zien of training gedrag heeft verbeterd.
| Metriek | Wat deze laat zien | Auditinterpretatie |
|---|---|---|
| Voltooiing per rol | Of toegewezen doelgroepen de vereiste modules hebben voltooid | Basisnaleving en dekking |
| Voltooiing door nieuwe medewerkers binnen doeltermijn | Of onboardingbeheersmaatregelen werken | Volwassenheid van HR- en toegangsgovernance |
| Voltooiing van training door geprivilegieerde gebruikers | Of gebruikers met een hoog risico voorbereid zijn | Risicogebaseerde prioritering |
| Klik- en meldpercentage bij phishingsimulaties | Of gedrag verbetert | Doeltreffendheid van bewustwording |
| Incidentmeldingen door medewerkers | Of mensen gebeurtenissen herkennen en melden | Koppeling met paraatheid voor incidenten |
| Tijd van verdachte e-mail tot melding | Of rapportage wettelijke termijnen ondersteunt | Gereedheid voor NIS2 en DORA |
| Herhaalde niet-voltooiing | Of handhaving en escalatie werken | Nalevingsmonitoring |
| Trainingsupdates na incidenten of wijzigingen | Of geleerde lessen verbetering aansturen | Voortdurende verbetering |
Deze metrieken ondersteunen ISO/IEC 27001:2022 Clause 9.1 voor monitoring en meting, Clause 9.2 voor interne audit, Clause 10.1 voor voortdurende verbetering en Clause 10.2 voor non-conformiteit en corrigerende maatregelen. ISO/IEC 27002:2022 beheersmaatregel 5.36 versterkt dat naleving van beleid, regels en normen moet worden gemonitord, geëvalueerd en hersteld.
Veelvoorkomende bevindingen die Clarysec in audits ziet
Dezelfde zwaktes komen herhaaldelijk terug.
Organisaties trainen medewerkers, maar vergeten leidinggevenden. Onder NIS2 en DORA is managementtraining onderdeel van governance, geen volwassenheidsbonus.
Organisaties leveren jaarlijkse training, maar negeren rolwijzigingen. Een support engineer die overstapt naar DevOps heeft training nodig in geprivilegieerde toegang, logging, back-up en incidentescalatie.
Organisaties nemen medewerkers op, maar vergeten contractanten. Zenith Blueprint Step 15 adviseert om training uit te breiden naar contractanten of derde partijen die toegang hebben tot systemen of gegevens.
Organisaties onderwijzen incidentmelding, maar creëren angst. Als medewerkers denken dat zij worden gestraft voor het klikken op een phishinglink, kunnen zij stil blijven. Zenith Blueprint Step 16 benadrukt eenvoudige meldingskanalen, door bewustwording ondersteunde rapportage en een blame-free cultuur.
Organisaties kunnen contentversiebeheer niet aantonen. Als een auditor vraagt wat medewerkers in maart hebben voltooid, is het huidige deck op SharePoint niet voldoende. Bewaar de geleverde versie.
Organisaties slagen er niet in training te koppelen aan risicobehandeling. Als ransomware, betalingsfraude, cloudmisconfiguratie of gegevenslek een toprisico is, moet het trainingsplan gerichte behandeling voor de relevante rollen laten zien.
Waar Clarysec past
Clarysec helpt organisaties één verdedigbaar programma te bouwen in plaats van vijf losstaande complianceprojecten.
Het Informatiebeveiligingsbewustzijns- en opleidingsbeleid - mkb biedt kleinere organisaties een praktische baseline: rolgebaseerde verwachtingen, gedocumenteerde registraties, jaarlijkse updates, wijzigingsgestuurde training en bewaring gedurende minimaal drie jaar.
Het enterprise Informatiebeveiligingsbewustzijns- en opleidingsbeleid biedt grotere organisaties sterkere governance: gestructureerde risicogeïnformeerde bewustwording, onboarding, jaarlijkse opfrissers, rolgebaseerde modules, CISO-eigenaarschap van registraties en gereedheid voor wettelijke inspecties onder GDPR, DORA en NIS2.
Zenith Blueprint vertelt implementatieteams wat zij in welke volgorde moeten doen. Step 5 bouwt competentie en bewustzijn in het ISMS-fundament. Step 15 operationaliseert ISO/IEC 27002:2022 beheersmaatregel 6.3 met jaarlijkse training, rolspecifieke modules, onboarding, phishingsimulaties, deelnamebewijsmateriaal, gerichte bulletins, training van contractanten en gedragsmatige versterking. Step 16 verbindt bewustwording met door personeel gedreven incidentmelding.
Zenith Controls geeft complianceteams de crosswalk. Het verbindt ISO/IEC 27002:2022 beheersmaatregel 6.3 met rollen, gebeurtenisrapportage, nalevingsmonitoring, ISO/IEC 27005:2024-risico’s van menselijke factoren, GDPR-trainingsverwachtingen, NIS2 Article 21, DORA ICT-training, NIST-bewustwordingsbeheersmaatregelen en auditmethodologieën. Het verbindt ook beheersmaatregel 5.2 met governanceverantwoordelijkheden en beheersmaatregel 5.36 met nalevingsmonitoring en corrigerende maatregelen.
Samen stellen deze middelen een CISO in staat niet alleen uit te leggen welke training heeft plaatsgevonden, maar ook waarom die training plaatsvond, wie deze vereiste, welk risico ermee werd behandeld, hoe deze is onderbouwd met bewijsmateriaal en hoe deze verbetert.
Maak bewijsmateriaal voor beveiligingstraining nu auditgereed
Als uw huidige bewijsmateriaal bestaat uit een spreadsheet, een slidedeck en de hoop dat medewerkers het meldadres nog weten, is dit het moment om volwassenheid aan te brengen.
Begin deze week met vier acties:
- Maak een rolgebaseerde trainingsmatrix die is gekoppeld aan ISMS-verantwoordelijkheden, systeemtoegang en wettelijke verplichtingen.
- Adopteer of actualiseer uw Clarysec-bewustwordingsbeleid met Informatiebeveiligingsbewustzijns- en opleidingsbeleid - mkb of Informatiebeveiligingsbewustzijns- en opleidingsbeleid.
- Bouw het bewijsdossier met zes mappen voor governance, rolmapping, inhoud, voltooiing, doeltreffendheid en verbetering.
- Gebruik Zenith Blueprint en Zenith Controls om trainingsbewijsmateriaal te koppelen aan auditverwachtingen voor ISO/IEC 27001:2022, NIS2, DORA, GDPR en NIST.
Security awareness is waardevol wanneer het gedrag verandert. Compliancebewijsmateriaal is waardevol wanneer het dat gedrag consistent bewijst.
Clarysec helpt u beide te bouwen.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
