NIS2-bestuursaansprakelijkheid: ISO 27001-bewijsmateriaal

De e-mail kwam op maandagochtend om 08:15 binnen in Maria’s inbox. Als CISO van een snelgroeiende Europese aanbieder van clouddiensten was zij gewend aan urgente berichten, maar dit bericht voelde anders.

De CFO had een klantvragenlijst over beveiliging doorgestuurd naar de CEO, de bestuurssecretaris en Maria. De onderwerpregel was kort: “NIS2-bewijsmateriaal voor verantwoordingsplicht van het bestuursorgaan vereist vóór verlenging.”

De klant vroeg niet om nog een penetratietestrapport. De klant wilde weten of het bestuur cyberbeveiligingsrisicobeheermaatregelen had goedgekeurd, hoe toezicht werd gehouden op de implementatie, of leidinggevenden training over cyberrisico’s hadden gevolgd, hoe significante incidenten werden geëscaleerd en hoe leveranciersrisico’s op managementniveau werden beoordeeld. De CEO voegde één zin toe: “Maria, wat is onze blootstelling en hoe tonen we zorgvuldigheid aan? Het bestuur heeft dit volgende week nodig.”

Dat is het moment waarop NIS2 concreet wordt voor veel SaaS-, cloud-, MSP-, MSSP-, datacenter-, fintech- en digitale-infrastructuurproviders. Richtlijn (EU) 2022/2555 behandelt cyberbeveiliging niet als een probleem van een technische afdeling. Zij maakt van cyberrisico een verantwoordingsvraagstuk voor het bestuursorgaan.

NIS2 Article 20 vereist dat bestuursorganen van essentiële en belangrijke entiteiten cyberbeveiligingsrisicobeheermaatregelen goedkeuren, toezicht houden op de implementatie ervan en training volgen. De richtlijn staat lidstaten ook toe aansprakelijkheid voor inbreuken vast te stellen. Article 21 definieert vervolgens de praktische baseline: risicoanalyse, beveiligingsbeleid, incidentenbehandeling, bedrijfscontinuïteit, beveiliging van de toeleveringsketen, veilige verwerving en ontwikkeling, beoordeling van doeltreffendheid, basismaatregelen voor cyberhygiëne, training, cryptografie, HR-beveiliging, toegangscontrole, activabeheer en authenticatie.

Voor organisaties die ISO/IEC 27001:2022 al gebruiken, is de structuur bekend. Het verschil zit in de doelgroep en de bewijslast. De vraag is niet langer alleen: “Hebben we beveiligingsmaatregelen?” De vraag is: “Kan het bestuur aantonen dat het deze maatregelen heeft goedgekeurd, begrepen, gefinancierd, beoordeeld, bevraagd en verbeterd?”

Daar wordt ISO/IEC 27001:2022 een verdedigbaar governancesysteem. De aanpak van Clarysec is om ISO/IEC 27001:2022 te gebruiken als bewijsbasis, Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint als implementatieroute, Clarysec-beleid als bestuursgeschikte artefacten en Zenith Controls: The Cross-Compliance Guide Zenith Controls als mappinggids over meerdere raamwerken voor NIS2, DORA, GDPR, NIST CSF 2.0, COBIT 2019 en auditverwachtingen.

Waarom NIS2-bestuursaansprakelijkheid het gesprek over cyberbeveiliging verandert

NIS2 vraagt bestuurders niet om firewallengineers te worden. NIS2 vraagt hen om te besturen. Dat onderscheid is belangrijk.

Een CISO kan kwetsbaarheidsrapporten, MFA-dekking, dashboards voor endpointbescherming en scores voor de cloudrisicopositie tonen. Dat zijn nuttige operationele signalen, maar zij tonen niet automatisch toezicht door het bestuursorgaan aan. Een toezichthouder, zakelijke klant, certificeringsauditor of beoordelaar uit de financiële sector zal zoeken naar een keten van governancebewijsmateriaal:

1. De organisatie heeft beoordeeld of NIS2 van toepassing is en de grondslag gedocumenteerd.
2. Het bestuur of topmanagement heeft het kader voor cyberbeveiligingsrisicobeheer goedgekeurd.
3. Risicobereidheid en tolerantiedrempels zijn vastgesteld.
4. Hoge cyberrisico’s zijn geëscaleerd en beoordeeld.
5. Besluiten over risicobehandeling zijn goedgekeurd, inclusief geaccepteerd restrisico.
6. Procedures voor incidentmelding weerspiegelen, waar van toepassing, verplichtingen voor melding binnen 24 uur, melding binnen 72 uur en eindrapportage.
7. Afhankelijkheden van leveranciers en cloud zijn in kaart gebracht en onder governance gebracht.
8. Directiebeoordeling omvat auditbevindingen, incidenttrends, metrieken en verbeteracties.
9. Leidinggevenden hebben training ontvangen die past bij hun verantwoordingsplicht.
10. Besluiten, uitzonderingen en escalaties zijn traceerbaar.

Hier falen veel oudere beveiligingsdraaiboeken. Het kopen van een “NIS2-conforme” tool toont geen bestuurstoezicht aan. Een beleid ondertekenen en archiveren toont geen implementatie aan. Cyberbeveiliging volledig delegeren aan de CISO voldoet niet aan de toezichtsplicht van een bestuursorgaan.

ISO/IEC 27001:2022 lost dit probleem op doordat informatiebeveiliging wordt gepositioneerd als een strategisch, risicogebaseerd managementsysteem dat is geïntegreerd in de processen van de organisatie. De clausules over context, belanghebbenden, wettelijke verplichtingen, reikwijdte, leiderschap, risicobeoordeling, risicobehandeling, operationele beheersing, prestatie-evaluatie, interne audit, directiebeoordeling en voortdurende verbetering creëren de structuur die een bestuur nodig heeft om zorgvuldigheid aan te tonen.

De Zenith Blueprint maakt dit praktisch in de fase ISMS Foundation & Leadership, Step 3:

“Clause 5.1 draait volledig om leiderschap en betrokkenheid. ISO 27001 schrijft voor dat topmanagement leiderschap aantoont door het ISMS te onderschrijven, middelen beschikbaar te stellen, bewustwording te bevorderen, te zorgen dat rollen zijn toegewezen, het ISMS in bedrijfsprocessen te integreren en voortdurende verbetering te ondersteunen.”

Dat is het operationele model achter NIS2 Article 20. Het bestuur hoeft niet elk technisch ticket goed te keuren, maar moet wel het governancemodel goedkeuren, materiële risico’s begrijpen, middelen waarborgen en toezicht houden op de implementatie.

Het bewijspakket voor het bestuur dat NIS2 daadwerkelijk vraagt

Een veelgemaakte fout is NIS2-bewijsmateriaal te behandelen als een juridisch memo plus een beleidsmap. Dat voldoet zelden voor een serieuze beoordelaar. Bestuurlijke verantwoordingsplicht vereist bewijs van actieve governance, niet van passieve documentatie.

Een sterk NIS2-bewijspakket voor het bestuur moet wettelijke verplichtingen verbinden met bestuursbesluiten, beheersmaatregelen en beoordelingscycli.

De kracht van dit pakket is traceerbaarheid. Elk artefact beantwoordt een governancevraag en verwijst naar een ISO/IEC 27001:2022-mechanisme. Daarmee krijgen de CISO, CEO en het bestuur een verdedigbaar verhaal: cyberbeveiliging is geen verzameling tools, maar een bestuurd systeem.

Beleid omzetten in verantwoordingsplicht op bestuursniveau

In het openingsscenario kan Maria’s CEO geneigd zijn de klant te antwoorden met een ISO-certificaat en enkele beleidsdocumenten. Dat is niet genoeg voor de verantwoordingsplicht van het bestuursorgaan onder NIS2. De organisatie heeft bewijsmateriaal nodig dat verantwoordelijkheid is toegewezen, besluiten zijn vastgelegd en risico’s objectief worden geëscaleerd.

Clarysec-beleid is ontworpen om die traceerbaarheid te creëren.

Voor kleinere organisaties bepaalt Information Security Policy-sme Informatiebeveiligingsbeleid - SME, clausule 4.1.1, dat topmanagement:

“De eindverantwoordelijkheid voor informatiebeveiliging behoudt.”

Deze zin is belangrijk. Hij voorkomt een veelvoorkomend anti-patroon waarbij oprichters, CEO’s of directieteams informeel alle beveiligingsverantwoordelijkheid aan IT delegeren zonder zelf betekenisvol toezicht te houden.

Voor grotere organisaties bepaalt Beleid inzake risicobeheer Beleid inzake risicobeheer, clausule 4.1.1, dat het leiderschap:

“Het risicobeheerkader goedkeurt en aanvaardbare risicobereidheid en tolerantiedrempels definieert.”

Dat is bestuursgeschikt bewijsmateriaal voor NIS2 Article 20. Een verklaring over risicobereidheid, tolerantiedrempels en een formeel model voor risicobevoegdheden laten zien hoe goedkeuring en escalatie in de praktijk werken.

Clausule 5.6 van hetzelfde beleid voegt toe:

“De risicobevoegdhedenmatrix moet duidelijk drempels definiëren voor escalatie naar topmanagement of het bestuur.”

Dit is een van de belangrijkste artefacten voor NIS2-governance. Zonder escalatiedrempels ziet het bestuur alleen wat iemand ervoor kiest te escaleren. Met drempels worden hoog restrisico, onopgeloste kritieke kwetsbaarheden, significante leveranciersconcentratie, majeure incidenten, auditbevindingen en uitzonderingen boven tolerantie automatisch onder toezicht van het executive management gebracht.

Het Beleid inzake governancerollen en -verantwoordelijkheden Beleid inzake governancerollen en -verantwoordelijkheden versterkt de bewijsketen:

“Governance moet integratie met andere disciplines ondersteunen (bijv. risico, juridisch, IT, HR), en ISMS-besluiten moeten traceerbaar zijn naar hun bron (bijv. auditregistraties, beoordelingslogboeken, notulen).”

Voor mkb-organisaties bepaalt Governance Roles and Responsibilities Policy-sme Beleid inzake governancerollen en -verantwoordelijkheden - SME:

“Alle significante beveiligingsbesluiten, uitzonderingen en escalaties moeten worden geregistreerd en traceerbaar zijn.”

Die clausules zetten bestuurstoezicht om van een gesprek naar een audittrail.

De ISO/IEC 27001:2022-bewijsketen voor NIS2 Article 20

Een bestuur kan NIS2 Article 20 operationaliseren via een duidelijke ISO/IEC 27001:2022-bewijsketen.

Stel eerst context en toepassingsgebied vast. ISO/IEC 27001:2022 vereist dat de organisatie interne en externe kwesties, belanghebbenden, wettelijke, regelgevende en contractuele eisen, ISMS-grenzen, interfaces, afhankelijkheden en interacterende processen bepaalt. Voor een SaaS- of cloudprovider moet het ISMS-toepassingsgebied expliciet EU-diensten, cloudomgevingen, supportactiviteiten, kritieke leveranciers, gereguleerde klantsegmenten en NIS2-blootstelling identificeren.

Toon vervolgens leiderschap aan. ISO/IEC 27001:2022 vereist dat topmanagement beveiligingsdoelstellingen afstemt op de strategische richting, ISMS-vereisten integreert in bedrijfsprocessen, middelen beschikbaar stelt, het belang communiceert, verantwoordelijkheden toewijst en voortdurende verbetering bevordert. Voor NIS2 wordt dit bewijsmateriaal dat het bestuursorgaan cyberbeveiligingsrisicobeheermaatregelen heeft goedgekeurd en daarop toezicht heeft gehouden.

Voer daarna herhaalbare risicobeoordeling en risicobehandeling uit. ISO/IEC 27001:2022 vereist risicocriteria, risico-identificatie, risico-eigenaren, analyse van waarschijnlijkheid en gevolgen, behandelopties, selectie van beheersmaatregelen, vergelijking met Annex A, een Verklaring van Toepasselijkheid, een risicobehandelingsplan en goedkeuring van restrisico.

De Zenith Blueprint, fase Risk Management, Step 13, maakt het goedkeuringsmoment expliciet:

“Goedkeuring door het management: besluiten over risicobehandeling en de SoA moeten door topmanagement worden beoordeeld en goedgekeurd. Het management moet worden gebriefd over kernrisico’s en voorgestelde behandelingen, risico’s die voor acceptatie worden voorgesteld en de beheersmaatregelen die voor implementatie zijn gepland.”

Voor NIS2 mag die briefing geen eenmalige activiteit zijn. Het bestuurspakket moet actuele toprisico’s, trends, voortgang van risicobehandeling, geaccepteerd restrisico, achterstallige acties, blootstelling aan kritieke leveranciers, incidentthema’s en belangrijke doeltreffendheidsindicatoren tonen.

Ten vierde: voer uit en bewaar bewijsmateriaal. ISO/IEC 27001:2022 clausule 8.1 vereist operationele planning en beheersing. Annex A-beheersmaatregelen ondersteunen leveranciersbeveiliging, cloudgovernance, incidentrespons, bedrijfscontinuïteit, kwetsbaarhedenbeheer, back-ups, logging, monitoring, veilige ontwikkeling, applicatiebeveiliging, architectuur, testen, uitbesteding, functiescheiding en wijzigingsbeheer.

Ten vijfde: evalueer en verbeter. Interne audit, meting, directiebeoordeling, corrigerende maatregelen en voortdurende verbetering zetten een catalogus van beheersmaatregelen om in een bestuurd systeem.

Het enterprise Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid verankert deze verwachting voor directiebeoordeling:

“Managementbeoordelingsactiviteiten (conform ISO/IEC 27001 Clause 9.3) moeten ten minste jaarlijks worden uitgevoerd en omvatten:”

De waarde is niet alleen dat er een vergadering plaatsvindt. De waarde is dat de beoordeling bewijsmateriaal oplevert: input, besluiten, acties, eigenaren, deadlines en opvolging.

Het Audit and Compliance Monitoring Policy-sme Beleid voor audit en toezicht op naleving - SME, clausule 5.4.3, sluit de lus:

“Auditbevindingen en statusupdates moeten worden opgenomen in het ISMS-proces voor directiebeoordeling.”

Dat is het verschil tussen “we hebben een audit gehad” en “het management heeft auditresultaten beoordeeld en herstelmaatregelen aangestuurd.”

Cross-compliance mapping: NIS2, DORA, GDPR, NIST CSF 2.0 en COBIT 2019

NIS2 komt zelden alleen. Een cloudprovider kan persoonsgegevens verwerken onder GDPR. Een fintechklant kan DORA-gedreven leveranciersvereisten opleggen. Een Amerikaanse enterprise-klant kan vragen om afstemming op NIST CSF 2.0. Een auditcomité van het bestuur kan spreken in termen van COBIT 2019.

Het antwoord is niet om afzonderlijke nalevingsmappen te bouwen. Het antwoord is ISO/IEC 27001:2022 gebruiken als centraal bewijssysteem.

Zenith Controls helpt teams te consolideren door ISO/IEC 27002:2022 beheersmaatregel 5.4, Managementverantwoordelijkheden, te mappen over normen, regelgeving en auditmethoden.

In Zenith Controls classificeert de vermelding voor ISO/IEC 27002:2022 beheersmaatregel 5.4 “Managementverantwoordelijkheden” het type beheersmaatregel als “Preventive”, koppelt deze aan vertrouwelijkheid, integriteit en beschikbaarheid, en plaatst deze onder een op governance gerichte operationele capaciteit.

Dat is relevant omdat NIS2 Article 20 preventieve governance is. Goedkeuring en toezicht door het leiderschap verkleinen de kans dat cyberrisico onzichtbaar, ondergefinancierd of onbeheerd raakt.

Zenith Controls koppelt managementverantwoordelijkheden ook aan gerelateerde ISO/IEC 27002:2022-beheersmaatregelen: 5.1 Beleid voor informatiebeveiliging, 5.2 Rollen en verantwoordelijkheden voor informatiebeveiliging, 5.35 Onafhankelijke beoordeling van informatiebeveiliging, 5.36 Naleving van beleid, regels en normen voor informatiebeveiliging, en 5.8 Beveiliging in projectmanagement. Bestuurlijke verantwoordingsplicht kan niet op zichzelf staan. Zij vereist beleid, rollen, assurance, nalevingsmonitoring en integratie op projectniveau.

De bredere crosswalk is vooral nuttig voor executive reporting.

DORA verdient bijzondere aandacht. NIS2 Article 4 erkent dat sectorspecifieke EU-rechtshandelingen overlappende NIS2-bepalingen kunnen vervangen waar gelijkwaardige maatregelen voor cyberbeveiligingsrisicobeheer of incidentmelding van toepassing zijn. DORA is het belangrijkste voorbeeld voor financiële entiteiten. DORA is van toepassing vanaf 17 januari 2025 en creëert een uniform kader voor ICT-risicobeheer, incidentrapportage, weerbaarheidstesten, risicobeheer van derden en toezicht voor financiële diensten.

Een SaaS- of cloudprovider is mogelijk niet rechtstreeks gereguleerd zoals een bank, maar DORA kan nog steeds via klantcontracten binnenkomen. Financiële entiteiten moeten ICT-risico’s van derden beheren, registers van ICT-dienstencontracten bijhouden, due diligence uitvoeren, concentratierisico beoordelen, audit- en inspectierechten opnemen, beëindigingsrechten definiëren en exitstrategieën onderhouden. Dat betekent dat providers die financiële klanten bedienen, bewijsverzoeken mogen verwachten die sterk lijken op NIS2-vragen over bestuursgovernance.

GDPR voegt verantwoordingsplicht toe voor persoonsgegevens. Article 5(2) vereist dat verwerkingsverantwoordelijken verantwoordelijk zijn voor naleving en deze kunnen aantonen. Article 32 vereist beveiliging van de verwerking, inclusief het regelmatig testen, beoordelen en evalueren van de doeltreffendheid van technische en organisatorische maatregelen. Waar persoonsgegevens worden geraakt, moeten incidentworkflows de beoordeling van een GDPR-inbreuk integreren met NIS2-escalatie van significante incidenten.

NIST CSF 2.0 voegt via de GOVERN-functie taal toe die goed aansluit bij leidinggevenden. Het benadrukt organisatiecontext, risicobeheerstrategie, rollen en verantwoordelijkheden, beleid, toezicht en risicobeheer in de toeleveringsketen. COBIT 2019 voegt een governancewoordenschat toe die auditcomités kennen, met name via EDM03 voor risico-optimalisatie en MEA-doelstellingen voor monitoring en assurance.

Een 90-daagse sprint voor NIS2-bewijsmateriaal voor het bestuur

Een praktische bewijssprint kan organisaties helpen snel vooruitgang te boeken zonder parallelle bureaucratie te creëren.

Dag 1 tot en met 30: Verantwoordingsplicht vaststellen

Begin met een NIS2-verantwoordingsregister waarin wordt vastgelegd:

• Analyse van entiteitsclassificatie, inclusief motivering voor essentieel, belangrijk, indirecte blootstelling of buiten scope.
• Diensten binnen scope, zoals SaaS, cloud, managed services, datacenter, DNS, vertrouwensdiensten of communicatiediensten.
• EU-lidstaten waarin diensten worden geleverd.
• Betrokken klantsectoren, met name financiële diensten, gezondheidszorg, transport, energie, openbaar bestuur en digitale infrastructuur.
• Toepasselijke verplichtingen, waaronder NIS2 Article 20, Article 21 en Article 23.
• Gerelateerde verplichtingen uit DORA, GDPR, klantcontracten en cyberverzekeringen.
• Managementeigenaar en frequentie van rapportage aan het bestuur.

Koppel dit aan de ISO/IEC 27001:2022-context, belanghebbenden, het verplichtingenregister en het ISMS-toepassingsgebied. Actualiseer vervolgens de risicobevoegdhedenmatrix op basis van de eis uit het Beleid inzake risicobeheer dat escalatiedrempels voor topmanagement of het bestuur worden gedefinieerd.

Nuttige escalatietriggers zijn restrisico boven de risicobereidheid, niet-geaccepteerde kritieke kwetsbaarheden na het verstrijken van de SLA, leveranciersconcentratierisico, onopgeloste hoge auditbevindingen, incidenten die NIS2-rapportage kunnen activeren, uitzonderingen op MFA-, back-up-, logging-, encryptie- of incidentresponsvereisten, en materiële wijzigingen in de cloudarchitectuur.

Dag 31 tot en met 60: Risicobehandeling goedkeuren

Gebruik Zenith Blueprint Step 13 om een besluitvormingspakket voor het bestuur voor te bereiden voor het risicobehandelingsplan en de Verklaring van Toepasselijkheid. Het pakket moet bevatten:

• Top 10 cyberrisico’s.
• Voorgestelde behandeloptie per risico.
• Geselecteerde groepen beheersmaatregelen.
• Restrisico na behandeling.
• Risico’s die voor acceptatie worden voorgesteld.
• Benodigde besluiten over budget of middelen.
• Afhankelijkheden van leveranciers, juridische zaken, HR, product en IT.
• Gevraagd managementbesluit.

De output moet een ondertekende of genotuleerde goedkeuring zijn. Alleen een slidedeck is niet genoeg.

Map daarnaast de maatregelen uit NIS2 Article 21 op ISO/IEC 27001:2022-clausules en Annex A-beheersmaatregelen. Zo kan de organisatie aantonen dat NIS2 via het ISMS wordt beheerd in plaats van via een losstaande checklist.

Dag 61 tot en met 90: Incidentrapportage testen en bewijsmateriaal beoordelen

NIS2 Article 23 vereist gefaseerde rapportage voor significante incidenten: een vroege waarschuwing binnen 24 uur, een incidentmelding binnen 72 uur, tussentijdse updates waar vereist of gevraagd, en een eindrapport uiterlijk één maand na de melding.

Voer een tabletop-oefening uit met de bestuurssponsor, CEO, CISO, juridische zaken, communicatie, customer success en operations. Gebruik een realistisch scenario, zoals een cloudmisconfiguratie waardoor metadata van klanten wordt blootgesteld, de beschikbaarheid van diensten wordt verstoord en een gereguleerde klant wordt geraakt.

Test wie beslist of het incident mogelijk significant is, wie contact opneemt met juridisch adviseur, wie bevoegde autoriteiten of de CSIRT informeert waar vereist, wie klantcommunicatie goedkeurt, hoe bewijsmateriaal wordt bewaard, hoe GDPR-inbreukverplichtingen parallel worden beoordeeld en hoe het bestuur gedurende de eerste 24 uur wordt bijgewerkt.

Houd vervolgens een formele directiebeoordeling. De Zenith Blueprint, fase Audit, Review & Improvement, Step 28, legt uit waarom:

“Directiebeoordeling is niet alleen een presentatie; het gaat om het nemen van besluiten.”

Die beoordeling moet auditbevindingen, voortgang van risicobehandeling, paraatheid voor incidenten, leveranciersrisico’s, metrieken, besluiten, toegewezen acties en opvolgingseigenaren omvatten.

De directiebeoordeling die echt werkt

Veel directiebeoordelingen falen omdat ze zijn ingericht als statusupdates. Een NIS2-gereede directiebeoordeling moet een besluitvormingsvergadering zijn.

De agenda moet omvatten:

1. Wijzigingen in NIS2, DORA, GDPR, contractuele en klantvereisten.
2. Wijzigingen in bedrijfscontext, diensten, overnames, leveranciers, cloudarchitectuur en gereguleerde klantsegmenten.
3. Status van de belangrijkste informatiebeveiligingsrisico’s en restrisico ten opzichte van de risicobereidheid.
4. Voortgang van het risicobehandelingsplan en achterstallige acties.
5. Incidenttrends, significante gebeurtenissen, bijna-incidenten en gereedheid voor rapportage.
6. Risico’s rond leveranciers- en ICT-afhankelijkheden, inclusief zorgen over concentratie en exit.
7. Resultaten van interne audits, externe audits, klantbeoordelingen en penetratietesten.
8. Voltooiing van beveiligingsbewustzijn en executive training.
9. Metrieken voor toegangscontrole, kwetsbaarhedenbeheer, back-ups, logging, monitoring, veilige ontwikkeling en continuïteitstesten.
10. Vereiste besluiten, inclusief risicoacceptatie, budget, personele bezetting, beleidsuitzonderingen, remediatie door leveranciers en verbeteringen van beheersmaatregelen.

Executive training is bijzonder belangrijk. NIS2 Article 20 vereist dat leden van het bestuursorgaan training volgen. Informatiebeveiligingsbewustzijns- en opleidingsbeleid Informatiebeveiligingsbewustzijns- en opleidingsbeleid, clausule 5.1.2.4, noemt expliciet onderwerpen voor executive training:

“Leidinggevenden (bijv. governance, risicoacceptatie, wettelijke verplichtingen)”

Executive cybertraining moet gericht zijn op beslissingsrechten, aansprakelijkheid, escalatie, risicobereidheid, crisisgovernance, incidentmelding en wettelijke verplichtingen. Zij mag niet beperkt blijven tot phishingbewustzijn.

Hoe auditors en klanten bestuurstoezicht toetsen

Verschillende beoordelaars gebruiken verschillende taal, maar toetsen dezelfde onderliggende vraag: wordt cyberbeveiliging bestuurd?

Zenith Controls is waardevol omdat het mappings naar auditmethodologieën bevat. Voor managementverantwoordelijkheden verwijst het naar ISO/IEC 19011:2018-auditprincipes en -uitvoering, ISO/IEC 27007:2020 ISMS-auditpraktijken, ISO/IEC 27001:2022 clausule 5.1, COBIT 2019 EDM01 en EDM03, ISACA ITAF Section 1401, en NIST SP 800-53A PM-1 en PM-2. Voor onafhankelijke beoordeling mapt het naar ISO/IEC 27001:2022 clausules 9.2 en 9.3, ISO/IEC 27007-auditplanning en praktijken voor bewijsmateriaal, ISACA ITAF Section 2400 en NIST-beoordelingsmethoden. Voor naleving van beleid mapt het naar ISO/IEC 27001:2022 clausules 9.1, 9.2 en 10.1, ISO/IEC 19011-bewijsverzameling, COBIT 2019 MEA01 en NIST-beoordeling van continue monitoring.

De les is eenvoudig. Bestuurlijke verantwoordingsplicht wordt niet aangetoond door aanwezigheid alleen. Zij wordt aangetoond door geïnformeerde besluiten, gedocumenteerde goedkeuringen, risicogebaseerde prioritering, toewijzing van middelen en opvolging.

Veelvoorkomende valkuilen die de bewijsketen doorbreken

Organisaties die moeite hebben met verantwoordingsplicht van het bestuursorgaan onder NIS2 vervallen meestal in voorspelbare patronen.

Ten eerste verwarren zij de werking van technische beheersmaatregelen met governance. MFA-dekking, SIEM-waarschuwingen, EDR-uitrol en succespercentages van back-ups zijn belangrijk, maar het bestuur heeft risicocontext, behandelbesluiten en assurance nodig dat beheersmaatregelen werken.

Ten tweede keuren zij beleid goed, maar geen risicobehandeling. Een ondertekend beveiligingsbeleid toont niet aan dat het bestuur proportionele cyberbeveiligingsmaatregelen heeft goedgekeurd. Het risicobehandelingsplan en de SoA zijn sterker bewijsmateriaal omdat zij risico’s, beheersmaatregelen, restrisico en managementgoedkeuring met elkaar verbinden.

Ten derde ontbreken escalatiedrempels. Zonder risicobevoegdhedenmatrix hangt escalatie af van personen. NIS2-governance vereist objectieve triggers.

Ten vierde scheiden zij incidentrespons van regelgevende rapportage. Rapportageworkflows voor NIS2, DORA en GDPR moeten vóór een crisis worden geïntegreerd.

Ten vijfde negeren zij leveranciersgovernance. NIS2 Article 21 omvat beveiliging van de toeleveringsketen en aandacht voor kwetsbaarheden bij leveranciers. DORA-gedreven klanten kunnen diepgaandere ICT-governance voor derde partijen verwachten, inclusief due diligence, auditrechten, concentratierisico, beëindigingsrechten en exitstrategieën.

Ten zesde trainen zij leidinggevenden niet. Executive cybertraining is onder NIS2 geen optionele schijnmaatregel. Zij maakt deel uit van de governancebewijsketen.

Hoe goed eruitziet

Na 90 dagen moet een geloofwaardige NIS2-bewijsmap voor het bestuur bevatten:

• Toepasselijkheidsbeoordeling.
• ISMS-toepassingsgebied en verplichtingenregister.
• Verklaring over leiderschapsbetrokkenheid.
• Risicobereidheid en tolerantiedrempels.
• Risicobevoegdhedenmatrix.
• Cyberrisicoregister.
• Risicobehandelingsplan.
• Verklaring van Toepasselijkheid.
• Notulen van bestuursgoedkeuring.
• Registraties van executive training.
• Rapport van tabletop-oefening voor incidenten.
• Dashboard voor leveranciersrisico’s.
• Intern auditrapport.
• Notulen van directiebeoordeling en actievolgsysteem.

Deze map beantwoordt de klantvragenlijst die Maria op maandagochtend ontving. Belangrijker nog: zij helpt het bestuur cyberrisico te besturen voordat een incident, audit of toezichthouder de organisatie publiekelijk toetst.

Zet NIS2-bestuursaansprakelijkheid om in auditgereede governance

NIS2 heeft het gesprek over cyberbeveiliging veranderd. Bestuursorganen moeten cyberbeveiligingsrisicobeheermaatregelen goedkeuren, toezicht houden op de implementatie en training volgen. Article 21 vereist een geïntegreerde set technische, operationele en organisatorische maatregelen. Article 23 comprimeert incidentrapportage tot een gefaseerde tijdlijn die voorbereiding vóór de crisis vereist.

ISO/IEC 27001:2022 biedt het managementsysteem. Clarysec biedt de implementatieroute, beleidstaal, cross-compliance mappings en het model voor auditbewijsmateriaal.

Als uw bestuur vraagt: “Wat moeten we goedkeuren en hoe tonen we toezicht aan?”, begin dan met drie acties:

1. Gebruik Zenith Blueprint Step 3, Step 13 en Step 28 om leiderschapsbetrokkenheid, goedkeuring van risicobehandeling en directiebeoordeling te structureren.
2. Gebruik Clarysec-beleid zoals Beleid inzake risicobeheer, Beleid inzake governancerollen en -verantwoordelijkheden, Informatiebeveiligingsbeleid en mkb-equivalenten om verantwoordingsplicht en traceerbaarheid te formaliseren.
3. Gebruik Zenith Controls om NIS2-bestuurstoezicht te mappen naar ISO/IEC 27001:2022, ISO/IEC 27002:2022, DORA, GDPR, NIST CSF 2.0, COBIT 2019 en verwachtingen uit auditmethodologieën.

Clarysec kan u helpen het bestuurspakket te bouwen, de ISMS-bewijsketen bij te werken, de directiebeoordeling voor te bereiden en NIS2-verantwoordingsplicht om te zetten in een herhaalbaar proces voor cyberrisicogovernance dat auditors, klanten en leidinggevenden begrijpen. Download de relevante Clarysec-toolkits of vraag een beoordeling aan om bestuurdersaansprakelijkheid om te zetten in auditgereed bewijsmateriaal.