NIS2-cyberhygiënebewijs gekoppeld aan ISO 27001
Het is 08:40 op maandagochtend. Sarah, de CISO van een snelgroeiende B2B SaaS-aanbieder, sluit aan bij het overleg met het managementteam in de verwachting dat openstaande risicoacties routinematig worden doorgenomen. In plaats daarvan opent de juridisch adviseur met een scherpere vraag:
“Als de nationale bevoegde autoriteit ons morgen vraagt om NIS2 Article 21 over cyberhygiëne en cyberbeveiligingstraining aan te tonen, wat sturen we dan precies op?”
De HR-directeur zegt dat iedere medewerker de jaarlijkse bewustwordingstraining heeft voltooid. De SOC-manager zegt dat de phishingsimulaties verbeteren. Het hoofd IT-operaties zegt dat MFA wordt afgedwongen, back-ups worden getest en patching wordt gevolgd. De compliancemanager zegt dat het ISO/IEC 27001:2022-auditdossier trainingsregistraties bevat, maar dat het DORA-projectteam eigen bewijs voor weerbaarheidstraining heeft, terwijl de GDPR-map afzonderlijke logboeken voor privacybewustzijn bevat.
Iedereen heeft werk verricht. Niemand weet zeker of het bewijs één samenhangend verhaal vertelt.
Dat is het echte NIS2 Article 21-probleem voor essentiële en belangrijke entiteiten. De eis is niet simpelweg “train gebruikers”. Article 21 vereist passende en evenredige technische, operationele en organisatorische maatregelen om cyberrisico’s te beheren. De minimale set beheersmaatregelen omvat cyberhygiëne en cyberbeveiligingstraining, maar ook incidentafhandeling, bedrijfscontinuïteit, beveiliging van de toeleveringsketen, afhandeling van kwetsbaarheden, cryptografie, HR-beveiliging, toegangscontrole, beheer van bedrijfsmiddelen, MFA of continue authenticatie, beveiligde communicatie en procedures om de doeltreffendheid te beoordelen.
Cyberhygiëne is geen bewustwordingscampagne. Het is de dagelijkse operationele discipline die mensen, beheersmaatregelen, bewijs en verantwoordingsplicht van het management met elkaar verbindt.
Voor CISO’s, compliancemanagers, MSP’s, SaaS-aanbieders, cloudoperators en digitale dienstverleners is het praktische antwoord niet om een afzonderlijk “NIS2-trainingsproject” op te zetten. De sterkere aanpak is om één auditgereed bewijsspoor op te bouwen binnen een ISO/IEC 27001:2022-ISMS, ondersteund door ISO/IEC 27002:2022-praktijken voor beheersmaatregelen, risicogestuurd via ISO/IEC 27005:2022 en gekruist met NIS2, DORA, GDPR, assurance volgens NIST-stijl en governanceverwachtingen uit COBIT 2019.
Waarom NIS2 Article 21 training tot bestuursbewijs maakt
NIS2 is van toepassing op veel middelgrote en grote entiteiten in sectoren van bijlage I en bijlage II die diensten verlenen of activiteiten uitvoeren in de Unie. Voor technologiebedrijven kan de scope ruimer zijn dan veel managementteams verwachten. Bijlage I omvat digitale infrastructuur, waaronder aanbieders van cloudcomputingdiensten, aanbieders van datacentrumdiensten, aanbieders van content delivery network-diensten, vertrouwensdienstverleners, DNS-dienstverleners en TLD-registers. Bijlage I omvat ook B2B-beheer van ICT-diensten, waaronder aanbieders van beheerde diensten en aanbieders van beheerde beveiligingsdiensten. Bijlage II omvat digitale aanbieders zoals onlinemarktplaatsen, onlinezoekmachines en platforms voor sociale netwerken.
Sommige entiteiten kunnen ongeacht hun omvang binnen de scope vallen, waaronder bepaalde DNS-dienstverleners en TLD-registers. Nationale besluiten over kritiek belang kunnen ook kleinere aanbieders binnen de scope brengen wanneer een verstoring gevolgen kan hebben voor de openbare veiligheid, systeemrisico’s of essentiële diensten.
Article 21(1) vereist dat essentiële en belangrijke entiteiten passende en evenredige technische, operationele en organisatorische maatregelen implementeren om risico’s te beheren voor netwerk- en informatiesystemen die worden gebruikt voor activiteiten of dienstverlening, en om de impact van incidenten te voorkomen of te beperken. Article 21(2) noemt de minimummaatregelen, waaronder beleid voor risicoanalyse en beveiliging van informatiesystemen, incidentafhandeling, bedrijfscontinuïteit, beveiliging van de toeleveringsketen, veilige verwerving en onderhoud, beoordeling van de doeltreffendheid, basispraktijken voor cyberhygiëne en cyberbeveiligingstraining, cryptografie, HR-beveiliging, toegangscontrole, beheer van bedrijfsmiddelen en MFA of continue authenticatie waar passend.
Article 20 verhoogt de inzet. Bestuursorganen moeten maatregelen voor cyberbeveiligingsrisicobeheer goedkeuren, toezicht houden op de implementatie en kunnen aansprakelijk worden gesteld voor inbreuken. Leden van bestuursorganen moeten training volgen, en entiteiten worden aangemoedigd om vergelijkbare regelmatige training aan medewerkers te bieden, zodat zij risico’s kunnen herkennen en praktijken voor cyberbeveiligingsrisicobeheer en de impact daarvan op diensten kunnen beoordelen.
Article 34 voegt financiële druk toe. Inbreuken op Article 21 of Article 23 kunnen leiden tot administratieve boetes van ten minste EUR 10.000.000 of 2% van de wereldwijde jaaromzet voor essentiële entiteiten, en ten minste EUR 7.000.000 of 1,4% voor belangrijke entiteiten, afhankelijk van welk bedrag hoger is.
Daarom is “we hebben jaarlijkse bewustwordingstraining gegeven” niet voldoende. Een toezichthouder, ISO-auditor, beveiligingsbeoordelaar van een klant of cyberverzekeraar verwacht bewijs dat training rolgebaseerd, risicogebaseerd, actueel, gemeten, gekoppeld aan incidenten en begrepen door het management is.
Clarysec’s enterprise Informatiebeveiligingsbewustzijns- en opleidingsbeleid, clausule 5.1.1.3, vereist dat training:
Onderwerpen behandelt zoals phishing, wachtwoordhygiëne, incidentmelding en -beheer, fysieke beveiliging, gegevensbescherming en gegevensminimalisatie
Hetzelfde beleid, clausule 8.3.1.1, benoemt het bewijsspoor waar auditors meestal als eerste om vragen:
Registraties van trainingstoewijzing, kennisname en voltooiing
Voor mkb-organisaties is Clarysec’s Informatiebeveiligingsbewustzijns- en opleidingsbeleid - mkb, clausule 8.4.1, nog directer over auditeerbaarheid:
Trainingsregistraties zijn onderworpen aan interne audit en externe beoordeling. Registraties moeten op verzoek juist, volledig en aantoonbaar zijn (bijv. voor ISO-certificering, GDPR-audit of verzekeringsvalidatie).
Die zin vat het verschil samen tussen bewustwording als HR-activiteit en bewustwording als compliancebeheersmaatregel. Als registraties onvolledig, niet-verifieerbaar of niet gekoppeld zijn aan rolrisico’s, kan de beheersmaatregel operationeel bestaan maar bij een audit falen.
Gebruik ISO/IEC 27001:2022 als ruggengraat voor bewijsvoering
ISO/IEC 27001:2022 is de natuurlijke ruggengraat voor NIS2 Article 21, omdat de norm de organisatie dwingt om scope, belanghebbenden, risico’s, beheersmaatregelen, doelstellingen, bewijs, interne audit, directiebeoordeling en continue verbetering te definiëren.
Clausules 4.1 tot en met 4.4 vereisen dat de organisatie interne en externe kwesties begrijpt, belanghebbenden en hun eisen bepaalt, de ISMS-scope definieert, interfaces en afhankelijkheden met activiteiten van andere organisaties in aanmerking neemt en het ISMS onderhoudt als een samenhangend geheel van processen. Voor een SaaS-aanbieder of MSP moet de ISMS-scope expliciet NIS2-verplichtingen, contractuele verplichtingen jegens klanten, afhankelijkheden van cloudproviders, dekking door een uitbesteed SOC, rollen bij gegevensverwerking en verplichtingen voor beschikbaarheid van diensten omvatten.
Clausules 5.1 tot en met 5.3 brengen governanceverantwoordelijkheid. Topmanagement moet het informatiebeveiligingsbeleid en de doelstellingen afstemmen op de strategische richting, ISMS-eisen integreren in bedrijfsprocessen, middelen beschikbaar stellen, verantwoordelijkheden toewijzen en prestatierapportage borgen. Dat sluit rechtstreeks aan op NIS2 Article 20, waar bestuursorganen maatregelen voor cyberbeveiligingsrisicobeheer goedkeuren en daarop toezicht houden.
Clausules 6.1.1 tot en met 6.1.3 en 6.2 zetten juridische verwachtingen om in risicobehandeling. De organisatie moet acties plannen voor risico’s en kansen, een herhaalbaar informatiebeveiligingsrisicobeoordelingsproces uitvoeren, risico-eigenaren bepalen, behandelopties selecteren, beheersmaatregelen vergelijken met bijlage A, een Verklaring van Toepasselijkheid opstellen, een behandelplan formuleren, goedkeuring van de risico-eigenaar verkrijgen en meetbare beveiligingsdoelstellingen vaststellen.
Hier wordt NIS2 Article 21 beheersbaar. U hebt geen losstaand NIS2-bewustwordingsprogramma nodig. U hebt een gemapte risico- en beheersingsketen nodig.
| NIS2-eisengebied | ISO/IEC 27001:2022-bewijsmechanisme | Praktisch bewijs |
|---|---|---|
| Goedkeuring door en toezicht van het management | Clausules 5.1, 5.3, 9.3 | Bestuursnotulen, pakket voor directiebeoordeling, roltoewijzingen, budgetgoedkeuringen |
| Cyberhygiëne en training | Clausule 7.2, Clausule 7.3, personele en technische beheersmaatregelen uit bijlage A | Trainingsplan, LMS-exporten, rollenmatrix, phishingresultaten, beleidskennisnames |
| Risicoanalyse en beveiligingsbeleid | Clausules 6.1.2, 6.1.3, 6.2 | Risicobeoordeling, risicobehandelplan, Verklaring van Toepasselijkheid, beveiligingsdoelstellingen |
| Beoordeling van doeltreffendheid | Clausules 9.1, 9.2, 10.2 | KPI’s, resultaten van interne audits, corrigerende maatregelen, resultaten van toetsing van beheersmaatregelen |
| Incidentafhandeling en gereedheid voor melding | Beheersmaatregelen uit bijlage A voor incidentbeheer | Incidentdraaiboeken, escalatielogboeken, rapporten van tabletop-oefeningen, registraties voor bewaring van bewijs |
| Afhankelijkheid van toeleveringsketen en cloud | Beheersmaatregelen uit bijlage A voor leveranciers en clouddiensten | Leveranciersregister, due diligence, contracten, exitplannen, dienstbeoordelingen |
| Toegang, beheer van bedrijfsmiddelen en MFA | Beheersmaatregelen uit bijlage A voor toegang, activa en identiteit | Inventaris van bedrijfsmiddelen, toegangsrechtenbeoordelingen, MFA-rapportages, bewijs voor geprivilegieerde toegang |
Clausules 8.1 tot en met 8.3, 9.1 tot en met 9.3 en 10.1 tot en met 10.2 sluiten de operationele cyclus. Zij vereisen geplande operationele beheersing, herbeoordeling van risico’s, implementatie van behandelplannen, monitoring en meting, interne audit, directiebeoordeling, continue verbetering en corrigerende maatregelen. ISO/IEC 27001:2022 wordt zo de bewijsmotor voor NIS2 Article 21, niet slechts een certificeringsbadge.
Vertaal cyberhygiëne naar ISO-ankers voor beheersmaatregelen
“Cyberhygiëne” is bewust breed geformuleerd. Voor auditors moet het worden vertaald naar specifieke, toetsbare beheersmaatregelen. Clarysec start NIS2 Article 21-bewijs voor cyberhygiëne doorgaans met drie praktische ankers uit ISO/IEC 27002:2022, geïnterpreteerd via Zenith Controls: de cross-compliancegids.
Het eerste anker is ISO/IEC 27002:2022-beheersmaatregel 6.3, bewustzijn, opleiding en training inzake informatiebeveiliging. In Zenith Controls wordt 6.3 behandeld als een preventieve beheersmaatregel die vertrouwelijkheid, integriteit en beschikbaarheid ondersteunt. De operationele capability is HR-beveiliging en het cyberbeveiligingsconcept is beschermen. Daarmee wordt bewustwording gepositioneerd als beschermende beheersmaatregel, niet als communicatieoefening.
Zenith Controls laat ook zien hoe 6.3 afhankelijk is van andere beheersmaatregelen en deze versterkt. De maatregel hangt samen met 5.2 informatiebeveiligingsrollen en -verantwoordelijkheden, omdat training toegewezen verantwoordelijkheden moet weerspiegelen. De maatregel hangt samen met 6.8 melding van informatiebeveiligingsgebeurtenissen, omdat medewerkers niet kunnen melden wat zij niet herkennen. De maatregel hangt samen met 8.16 monitoringactiviteiten, omdat SOC-analisten en operationele teams training nodig hebben om afwijkingen te herkennen en responsprotocollen te volgen. De maatregel hangt samen met 5.36 naleving van beleid, regels en normen voor informatiebeveiliging, omdat beleid alleen werkt wanneer mensen het begrijpen.
Zoals Zenith Controls stelt voor ISO/IEC 27002:2022-beheersmaatregel 6.3:
Naleving is afhankelijk van bewustwording. 6.3 waarborgt dat medewerkers zich bewust zijn van beveiligingsbeleid en hun persoonlijke verantwoordelijkheid begrijpen om zich daaraan te houden. Regelmatige opleiding en training beperken het risico op onbedoelde beleidsovertredingen door onwetendheid.
Het tweede anker is ISO/IEC 27002:2022-beheersmaatregel 5.10, aanvaardbaar gebruik van informatie en andere bijbehorende activa. Cyberhygiëne hangt af van mensen die begrijpen wat zij mogen doen met endpoints, cloudopslag, SaaS-tools, samenwerkingsplatformen, verwijderbare media, productiegegevens, testgegevens en AI-ondersteunde tools. Zenith Controls mapt 5.10 als preventieve beheersmaatregel voor beheer van bedrijfsmiddelen en informatiebescherming. In de praktijk is bewijs voor aanvaardbaar gebruik niet alleen een ondertekend beleid. Het omvat bewijs dat het beleid de werkelijke assetomgeving dekt, onboarding kennisname omvat, monitoring de naleving ondersteunt en uitzonderingen worden afgehandeld.
Het derde anker is ISO/IEC 27002:2022-beheersmaatregel 5.36, naleving van beleid, regels en normen voor informatiebeveiliging. Dit is de auditbrug. Zenith Controls mapt 5.36 als preventieve governance- en assurancebeheersmaatregel. De maatregel hangt samen met 5.1 beleid voor informatiebeveiliging, 6.4 disciplinair proces, 5.35 onafhankelijke beoordeling van informatiebeveiliging, 5.2 rollen en verantwoordelijkheden, 5.25 beoordeling van en besluitvorming over informatiebeveiligingsgebeurtenissen, 8.15 logging, 8.16 monitoringactiviteiten en 5.33 bescherming van registraties.
Voor NIS2 Article 21 is dit cruciaal. Toezichthouders en auditors vragen niet alleen of een beleid bestaat. Zij vragen of naleving wordt bewaakt, overtredingen worden gedetecteerd, bewijs wordt beschermd, corrigerende maatregelen plaatsvinden en het management de resultaten ziet.
Bouw een NIS2-bewijspakket voor cyberhygiëne en training
Neem een middelgrote SaaS-aanbieder die zich voorbereidt op zowel NIS2-gereedheid als een ISO/IEC 27001:2022-controleaudit. De organisatie heeft 310 medewerkers, waaronder ontwikkelaars, SRE’s, supportmedewerkers, salesmedewerkers, contractanten en leidinggevenden. Zij levert cloudgebaseerde workflowdiensten aan EU-klanten en is afhankelijk van een hyperscale cloudprovider, twee identiteitsplatformen, een uitbestede MDR-provider en meerdere uitbestede supporttools.
De compliancemanager heeft trainingsexporten uit het LMS, maar die zijn niet gemapt aan NIS2 Article 21, ISO-beheersmaatregelen, bedrijfsrollen of risicoscenario’s. Een praktische remediatiesprint levert een bewijspakket voor cyberhygiëne en training op met zes onderdelen.
| Bewijscomponent | Wat het aantoont | Eigenaar | Audittest |
|---|---|---|---|
| Rolgebaseerde trainingsmatrix | Training is afgestemd op verantwoordelijkheden en risicoblootstelling | ISMS-manager en HR | Neem steekproeven op rollen en verifieer dat vereiste modules zijn toegewezen |
| Jaarlijks trainingsplan | Competentie en bewustwording zijn gepland, niet ad hoc | ISMS-manager | Controleer datums, onderwerpen, doelgroep, goedkeuring en voltooiingsdoelen |
| LMS-export van voltooiing | Medewerkers hebben toegewezen training voltooid | HR of People Ops | Stem medewerkerslijst af op voltooiingsrapport, instromers en uitstromers |
| Rapport van phishingsimulatie | Doeltreffendheid van bewustwording wordt gemeten | Security Operations | Beoordeel campagneresultaten, herhaalde klikkers en hersteltraining |
| Logboek van beleidskennisname | Medewerkers hebben regels en verantwoordelijkheden geaccepteerd | HR en compliance | Bevestig kennisname van beleid voor beveiliging, aanvaardbaar gebruik en incidentmelding |
| Samenvatting directiebeoordeling | Leidinggevenden zien trends en corrigerende maatregelen | CISO en executive sponsor | Verifieer dat notulen metrieken, uitzonderingen, risico’s en besluiten bevatten |
De sleutel is traceerbaarheid.
Begin met NIS2 Article 21(2)(g), basispraktijken voor cyberhygiëne en cyberbeveiligingstraining. Koppel dit aan ISO/IEC 27001:2022-clausules 7.2 en 7.3 voor competentie en bewustwording, clausules 9.1 en 9.2 voor monitoring en audit, en beheersmaatregelen uit bijlage A waaronder bewustwording, aanvaardbaar gebruik, kwetsbaarhedenbeheer, configuratiebeheer, back-ups, logging, monitoring, cryptografie, toegangscontrole en incidentbeheer. Koppel het bewijs vervolgens aan het risicoregister.
| Rolgroep | NIS2-cyberhygiënerisico | Vereiste training | Bewijs |
|---|---|---|---|
| Alle medewerkers | Phishing, zwakke wachtwoorden, gebrekkige incidentmelding, onjuiste omgang met gegevens | Basistraining informatiebeveiliging, wachtwoordhygiëne, MFA, gegevensbescherming, incidentmelding | LMS-voltooiing, quizscore, beleidskennisname |
| Leidinggevenden | Risicoacceptatie, wettelijke aansprakelijkheid, crisisbesluiten, toezicht op rapportage | Governancetaken, NIS2-managementverantwoordelijkheden, incidentescalatie, risicobereidheid | Deelname aan executive workshop, bestuurspakket, besluitenlogboek |
| Ontwikkelaars | Kwetsbaarheden, onveilige code, blootstelling van secrets, onveilige testgegevens | Veilig programmeren, afhankelijkhedenbeheer, openbaarmaking van kwetsbaarheden, gegevensminimalisatie | Trainingsregistratie, secure SDLC-checklist, voorbeelden van code review |
| SRE en IT-operaties | Misconfiguratie, patchvertraging, back-upfouten, hiaten in logging | Patchbeheer, beveiligde configuratie, back-upherstel, monitoring, incidentrespons | Patchrapport, back-uptest, SIEM-waarschuwingsbewijs, tabletoprapport |
| Klantsupport | Social engineering, ongeautoriseerde openbaarmaking, privacy-inbreuk | Identiteitsverificatie, gegevensverwerking, escalatie, melding van inbreuken | CRM-toegangsbeoordeling, trainingsregistratie, support-QA-steekproef |
| Contractanten met toegang | Onduidelijke verplichtingen, onbeheerde toegang, datalekken | Beknopte beveiligingsonboarding, aanvaardbaar gebruik, meldroute | Kennisname door contractant, toegangsgoedkeuring, offboardingbewijs |
Het enterprise Informatiebeveiligingsbewustzijns- en opleidingsbeleid ondersteunt deze structuur. Clausule 5.1.2.4 omvat expliciet trainingsonderwerpen voor leidinggevenden:
Leidinggevenden (bijv. governance, risicoacceptatie, wettelijke verplichtingen)
Die regel is relevant onder NIS2 Article 20, omdat managementtraining niet optioneel is. Als het bestuur maatregelen voor risicobeheer goedkeurt maar risicoacceptatie, incidentdrempels of toezichtsroutines niet kan uitleggen, breekt de bewijsketen.
Clarysec’s Informatiebeveiligingsbeleid - mkb, clausule 6.4.1, laat zien hoe cyberhygiëne dagelijks beheersingsgedrag wordt:
Verplichte beveiligingsmaatregelen moeten consistent worden toegepast, waaronder regelmatige back-ups, antivirusupdates, sterke wachtwoorden en veilige afvoer van gevoelige documenten.
Dat is een compacte mkb-formulering van praktische cyberhygiëne. De auditor wil nog steeds bewijs zien, zoals rapportages van back-upjobs, EDR-dekking, wachtwoord- of MFA-configuratie en logboeken van veilige afvoer, maar het beleid legt het verwachte gedrag vast.
Koppel NIS2 Article 21 aan auditbewijs
Auditors toetsen de werking van beheersmaatregelen, niet slogans. Zij volgen de rode draad van juridische eis naar ISMS-scope, risicobeoordeling, Verklaring van Toepasselijkheid, beleid, procedure, bewijs en directiebeoordeling.
| NIS2 Article 21-gebied | ISO/IEC 27001:2022- of ISO/IEC 27002:2022-mapping | Clarysec-verwijzing | Primair auditbewijs |
|---|---|---|---|
| Cyberbeveiligingstraining | Clausule 7.2, Clausule 7.3, A.6.3 bewustzijn, opleiding en training inzake informatiebeveiliging | Informatiebeveiligingsbewustzijns- en opleidingsbeleid | Trainingsbeleid, jaarplan, LMS-registraties, phishingresultaten, onboardingchecklist, notulen van bestuurstraining |
| Aanvaardbaar cyberhygiënegedrag | A.5.10 aanvaardbaar gebruik van informatie en andere bijbehorende activa | Informatiebeveiligingsbeleid - mkb | Kennisname van aanvaardbaar gebruik, onboardingregistraties, uitzonderingsregistraties, monitoringbewijs |
| Kwetsbaarheden- en patchhygiëne | A.8.8 beheer van technische kwetsbaarheden | Zenith Blueprint Step 19 | Kwetsbaarheidsscans, patchrapportages, remediatietickets, registraties van risicoacceptatie |
| Beveiligde configuratie | A.8.9 configuratiebeheer | Zenith Blueprint Step 19 | Veilige baselines, configuratiebeoordelingen, wijzigingsgoedkeuringen, driftrapportages |
| Weerbaarheid en herstel | A.8.13 informatieback-up | Informatiebeveiligingsbeleid - mkb | Back-uplogboeken, hersteltests, beoordelingen van back-upfouten, herstelbewijs |
| Detectie en respons | A.8.15 logging, A.8.16 monitoringactiviteiten, A.6.8 melding van informatiebeveiligingsgebeurtenissen | Zenith Controls | SIEM-waarschuwingen, monitoringprocedures, training voor incidentmelding, output van tabletop-oefeningen |
| Cryptografische bescherming | A.8.24 gebruik van cryptografie | ISO/IEC 27001:2022 bijlage A | Encryptiestandaarden, bewijs voor sleutelbeheer, TLS-configuratie, rapportages over opslagversleuteling |
| Integriteit van bewijs | A.5.33 bescherming van registraties | Zenith Controls | Beheerde auditmappen, exporttijdstempels, bewaartermijnen, toegangslogboeken |
Een toezichthouder gebruikt mogelijk geen ISO-terminologie, maar het bewijsverloop blijft hetzelfde. Toon aan dat de eis is geïdentificeerd, risicobeoordeeld, behandeld, geïmplementeerd, gemonitord, gerapporteerd aan het management en verbeterd.
Gebruik de Zenith Blueprint om van plan naar bewijs te gaan
De Zenith Blueprint: een 30-stappenroadmap voor auditors geeft teams een praktische route van intentie naar bewijs. In de fase ISMS Foundation & Leadership, Step 5, Communication, Awareness, and Competence, instrueert de Blueprint organisaties om vereiste competenties te identificeren, huidige competenties te beoordelen, training te bieden om hiaten te dichten, competentiegegevens te onderhouden en competentie als doorlopend te behandelen.
Het actiepunt van de Blueprint is bewust operationeel:
Voer een korte analyse van trainingsbehoeften uit. Maak een lijst van uw belangrijkste ISMS-rollen (uit Step 4) en noteer voor elke rol welke bekende training of certificering zij hebben en welke aanvullende training nuttig kan zijn. Noteer ook algemene onderwerpen voor beveiligingsbewustzijn die voor alle medewerkers nodig zijn. Gebruik dit om een eenvoudig trainingsplan voor het komende jaar op te stellen – bijvoorbeeld “Q1: beveiligingsbewustzijn voor alle medewerkers; Q2: gevorderde incidentresponstraining voor IT; Q3: ISO 27001 interne-auditortraining voor twee teamleden; …”.
In de fase Controls in Action, Step 15, People Controls I, beveelt de Zenith Blueprint verplichte jaarlijkse training voor alle medewerkers aan, rolgerichte modules, beveiligingsonboarding van nieuwe medewerkers in de eerste week, gesimuleerde phishingcampagnes, nieuwsbrieven, teambriefings, bewijs van deelname, gerichte beveiligingsbulletins na opkomende dreigingen en training voor contractanten of derde partijen met toegang.
Step 16, People Controls II, waarschuwt dat auditors implementatie toetsen, niet alleen documentatie. Voor werken op afstand kunnen auditors vragen om het Beleid inzake werken op afstand, bewijs van VPN- of endpointencryptie, MDM-implementatie, BYOD-beperkingen en trainingsregistraties waaruit voorzorgsmaatregelen voor werken op afstand blijken. Als hybride werken onderdeel is van het operationele model, moet NIS2-trainingsbewijs veilig wifi-gebruik, apparaatvergrendeling, goedgekeurde opslag, MFA en het melden van verdachte activiteiten vanuit thuisomgevingen omvatten.
Step 19, Technological Controls I, verbindt cyberhygiëne met de technische beheerslaag. De Zenith Blueprint beveelt aan patchrapportages, kwetsbaarheidsscans, veilige baselines, EDR-dekking, malwarelogboeken, DLP-waarschuwingen, back-upherstel, bewijs van redundantie, verbeteringen in logging en tijdsynchronisatie te beoordelen. Article 21(2)(g) kan niet geïsoleerd worden beoordeeld. Een getrainde workforce heeft nog steeds gepatchte endpoints, gemonitorde logboeken, geteste back-ups en beveiligde configuraties nodig.
Maak het trainingsplan risicogebaseerd met ISO/IEC 27005:2022
Een veelvoorkomende audittekortkoming is een generiek trainingsplan dat er hetzelfde uitziet voor ontwikkelaars, finance, support, leidinggevenden en contractanten. ISO/IEC 27005:2022 helpt die tekortkoming te voorkomen door training onderdeel te maken van risicobehandeling.
Clausule 6.2 beveelt aan de basiseisen van relevante belanghebbenden en de nalevingsstatus te identificeren, waaronder ISO/IEC 27001:2022 bijlage A, andere ISMS-normen, sectorspecifieke eisen, nationale en internationale regelgeving, interne beveiligingsregels, contractuele beveiligingsmaatregelen en beheersmaatregelen die al via eerdere risicobehandeling zijn geïmplementeerd. Dit ondersteunt één eisenregister in plaats van afzonderlijke spreadsheets voor NIS2, ISO, DORA, GDPR, klanten en verzekeringen.
Clausules 6.4.1 tot en met 6.4.3 leggen uit dat risicoacceptatie en beoordelingscriteria rekening moeten houden met juridische en regelgevende aspecten, operationele activiteiten, leveranciersrelaties, technologische en financiële beperkingen, privacy, reputatieschade, contractbreuken, service-levelbreuken en impact op derde partijen. Een phishingincident dat een intern nieuwsbrievensysteem raakt, verschilt van compromittering van inloggegevens die een beheerde beveiligingsdienst, klantsupportplatform, betalingsintegratie of DNS-operatie raakt.
Clausules 7.1 tot en met 7.2.2 vereisen een consistente, reproduceerbare risicobeoordeling, inclusief risico’s voor vertrouwelijkheid, integriteit en beschikbaarheid, en benoemde risico-eigenaren. Clausules 8.2 tot en met 8.6 sturen vervolgens de selectie van behandelingen, bepaling van beheersmaatregelen, vergelijking met bijlage A, documentatie van de Verklaring van Toepasselijkheid en detailniveau van het behandelplan.
Training is één behandeling, maar niet de enige. Als herhaalde phishingsimulaties laten zien dat finance-gebruikers kwetsbaar zijn voor factuurfraude, kan het behandelplan opfristraining, een sterkere workflow voor betalingsgoedkeuring, conditional access, monitoring van mailboxregels en executive drills voor fraudescenario’s omvatten.
Clausules 9.1, 9.2, 10.4.2, 10.5.1 en 10.5.2 benadrukken geplande herbeoordeling, gedocumenteerde methoden, monitoring van doeltreffendheid en updates wanneer nieuwe kwetsbaarheden, activa, technologiegebruik, wetten, incidenten of wijzigingen in risicobereidheid optreden. Dat bewijst dat de organisatie haar trainingsplan niet één keer per jaar bevriest.
Hergebruik hetzelfde bewijs voor NIS2, DORA, GDPR, NIST en COBIT
Het sterkste NIS2-bewijspakket moet meerdere assurancegesprekken ondersteunen.
NIS2 Article 4 erkent dat sectorspecifieke rechtshandelingen van de Unie overeenkomstige NIS2-verplichtingen voor risicobeheer en rapportage kunnen vervangen wanneer zij ten minste gelijkwaardig zijn in effect. Overweging 28 wijst DORA aan als het sectorspecifieke regime voor financiële entiteiten binnen de scope. Voor gedekte financiële entiteiten gelden de regels van DORA voor ICT-risicobeheer, incidentbeheer, weerbaarheidstesten, informatiedeling en ICT-risico’s van derde partijen in plaats van overeenkomstige NIS2-bepalingen. NIS2 blijft zeer relevant voor entiteiten buiten DORA en voor derde ICT-dienstverleners zoals cloudproviders, MSP’s en MSSP’s.
DORA versterkt dezelfde managementsysteemlogica. Articles 4 tot en met 6 vereisen evenredig ICT-risicobeheer, verantwoordelijkheid van het bestuursorgaan, duidelijke ICT-rollen, een strategie voor digitale operationele weerbaarheid, ICT-auditplannen, budgetten en middelen voor bewustwording of training. Articles 8 tot en met 13 vereisen identificatie van activa en afhankelijkheden, bescherming en preventie, toegangscontroles, sterke authenticatie, back-ups, continuïteit, respons en herstel, leren na incidenten, senior ICT-rapportage en verplichte ICT-beveiligingsbewustzijns- en digitale-operationele-weerbaarheidstraining. Articles 17 tot en met 23 vereisen gestructureerd incidentbeheer, classificatie, escalatie en klantcommunicatie. Articles 24 tot en met 30 verbinden testen met leveranciersgovernance, due diligence, contracten, auditrechten en exitstrategieën.
GDPR voegt de laag voor privacyverantwoording toe. Article 5 vereist integriteit en vertrouwelijkheid via passende technische en organisatorische maatregelen, en Article 5(2) vereist dat verwerkingsverantwoordelijken naleving kunnen aantonen. Article 6 vereist een rechtsgrondslag voor verwerking, terwijl Articles 9 en 10 strengere waarborgen opleggen voor bijzondere categorieën gegevens en gegevens met betrekking tot strafbare feiten. Voor een SaaS-aanbieder moet trainingsbewijs privacy, gegevensminimalisatie, veilige openbaarmaking, escalatie van inbreuken en rolgerichte omgang met klantgegevens omvatten.
Auditlenzen volgens NIST-stijl en COBIT 2019 komen vaak terug in klantassurance, interne audit en bestuursrapportage. Een beoordelaar volgens NIST-stijl vraagt doorgaans of bewustwording en training risicogebaseerd, rolgebaseerd, meetbaar en gekoppeld zijn aan incidentrespons, identiteit, beheer van bedrijfsmiddelen en continue monitoring. Een auditor volgens COBIT 2019 of ISACA-stijl richt zich op governance, verantwoordingsplicht, prestatiemetrieken, toezicht door het management, proceseigenaarschap en afstemming op ondernemingsdoelstellingen.
| Raamwerkperspectief | Waar de auditor op let | Voor te bereiden bewijs |
|---|---|---|
| NIS2 Article 21 | Evenredige cyberrisicomaatregelen, cyberhygiëne, training, toezicht door het management | Article 21-mapping, bestuursgoedkeuring, trainingsplan, KPI’s voor cyberhygiëne, bewijs voor incidentgereedheid |
| ISO/IEC 27001:2022 | ISMS-scope, risicobehandeling, competentie, bewustwording, monitoring, interne audit, verbetering | Scope, risicoregister, SoA, competentiematrix, trainingsregistraties, auditrapport, corrigerende maatregelen |
| DORA | ICT-risicolevenscyclus, weerbaarheidstraining, testen, incidentclassificatie, ICT-risico van derde partijen | ICT-risicokader, weerbaarheidstraining, testresultaten, incidentprocedure, leveranciersregister |
| GDPR | Verantwoordingsplicht, gegevensbescherming, bewustzijn rond privacy-inbreuken, vertrouwelijkheid, minimalisatie | Privacytraining, rollenkaart voor verwerking, bewijs voor escalatie van inbreuken, procedures voor gegevensverwerking |
| Beoordeling volgens NIST-stijl | Rolgebaseerde bewustwording, meetbare werking van beheersmaatregelen, monitoring, respons | Rollenmatrix, simulatiemetrieken, toegangscontroles, loggingbewijs, output van tabletop-oefeningen |
| COBIT 2019- of ISACA-beoordeling | Governance, proceseigenaarschap, prestaties, assurance over beheersmaatregelen, managementrapportage | RACI, KPI-dashboard, notulen van directiebeoordeling, intern auditprogramma, remediatie-opvolging |
Het praktische voordeel is eenvoudig: één bewijspakket, meerdere auditnarratieven.
Hoe auditors dezelfde beheersmaatregel toetsen
Een ISO/IEC 27001:2022-auditor begint bij het ISMS. Hij of zij vraagt of competentie- en bewustwordingseisen zijn bepaald, of personeel zijn verantwoordelijkheden begrijpt, of registraties worden bewaard, of interne audits het proces toetsen en of de directiebeoordeling prestaties en verbetering meeneemt. De auditor kan medewerkers steekproefsgewijs vragen hoe zij een incident melden, hoe MFA wordt gebruikt, wat de regels voor aanvaardbaar gebruik zijn of wat zij moeten doen na ontvangst van een verdachte e-mail.
Een NIS2-toezichtbeoordeling is meer gericht op uitkomsten en dienstverleningsrisico’s. De beoordelaar kan vragen hoe cyberhygiëne het risico voor dienstverlening verlaagt, hoe het management de maatregelen heeft goedgekeurd, hoe training is afgestemd op essentiële diensten, hoe personeel van derde partijen wordt meegenomen, hoe doeltreffendheid wordt beoordeeld en hoe de organisatie significante cyberdreigingen of incidenten zou communiceren onder Article 23. Omdat Article 23 een vroegtijdige waarschuwing binnen 24 uur en een incidentmelding binnen 72 uur voor significante incidenten omvat, moet training herkenning en escalatiesnelheid omvatten.
Een DORA-auditor voor een financiële entiteit koppelt bewustwording aan digitale operationele weerbaarheid. De auditor kan vragen of ICT-beveiligingsbewustzijn en weerbaarheidstraining verplicht zijn, of senior ICT-rapportage het bestuursorgaan bereikt, of incidentclassificatiecriteria worden begrepen, of crisiscommunicatie is geoefend en of derde-partijaanbieders deelnemen aan training waar dit contractueel relevant is.
Een GDPR-auditor of privacybeoordelaar richt zich op de vraag of medewerkers persoonsgegevens, verwerkingsrollen, vertrouwelijkheid, herkenning van inbreuken, escalatie van inbreuken, gegevensminimalisatie en veilige openbaarmaking begrijpen. Hij of zij verwacht dat training verschilt voor support, HR, ontwikkelaars en beheerders, omdat die rollen verschillende privacyrisico’s creëren.
Een interne auditor volgens COBIT 2019 of ISACA vraagt wie eigenaar is van het proces, welke doelstellingen het ondersteunt, hoe prestaties worden gemeten, welke uitzonderingen bestaan, of corrigerende maatregelen worden opgevolgd en of het management betekenisvolle rapportage ontvangt in plaats van vanity metrics.
Veelvoorkomende bevindingen over NIS2-trainingsgereedheid
De meest voorkomende bevinding is onvolledige populatiedekking. Het LMS-rapport toont 94% voltooiing, maar de ontbrekende 6% omvat geprivilegieerde beheerders, contractanten of nieuwe medewerkers. Auditors accepteren geen percentage zonder te begrijpen wie ontbreekt en waarom.
De tweede bevinding is gebrek aan rolgevoeligheid. Iedereen krijgt dezelfde jaarlijkse module, maar ontwikkelaars worden niet getraind in veilig programmeren, supportmedewerkers worden niet getraind in identiteitsverificatie en leidinggevenden worden niet getraind in governancetaken of crisisbesluiten. NIS2 Article 20 en Article 21 maken dat moeilijk verdedigbaar.
De derde bevinding is zwak bewijs voor doeltreffendheid. Voltooiing is niet hetzelfde als begrip of gedragsverandering. Auditors verwachten steeds vaker quizscores, phishingtrends, trends in incidentmelding, lessen uit tabletop-oefeningen, vermindering van herhaalde faalgevallen en corrigerende maatregelen.
De vierde bevinding is losgekoppelde technische hygiëne. Training zegt “meld verdachte activiteit”, maar er is geen getest meldkanaal. Training zegt “gebruik MFA”, maar serviceaccounts omzeilen MFA. Training zegt “bescherm gegevens”, maar productiegegevens verschijnen in testomgevingen. Article 21 verwacht een beheersingssysteem, geen slogans.
De vijfde bevinding is zwakke integriteit van registraties. Bewijs staat in een bewerkbare spreadsheet zonder eigenaar, exporttijdstempel, toegangscontrole of afstemming met HR-registraties. ISO/IEC 27002:2022-relaties tussen beheersmaatregelen in Zenith Controls verwijzen niet voor niets terug naar bescherming van registraties. Bewijs moet betrouwbaar zijn.
Een remediatiesprint van 10 dagen voor auditgereed bewijs
Als uw organisatie onder druk staat, begin dan met een gerichte sprint.
| Dag | Actie | Output |
|---|---|---|
| Dag 1 | Bevestig NIS2-toepasselijkheid en servicescope | Besluit essentiële of belangrijke entiteit, diensten binnen scope, ondersteunende functies |
| Dag 2 | Bouw het eisenregister | NIS2 Articles 20, 21, 23, ISO-clausules, beheersmaatregelen uit bijlage A, GDPR, DORA, contracten, verzekeringseisen |
| Dag 3 | Maak de rolgebaseerde trainingsmatrix | Training gemapt aan functiefamilies, geprivilegieerde toegang, ontwikkelaars, support, contractanten, leidinggevenden |
| Dag 4 | Map training aan risicoscenario’s | Phishing, compromittering van inloggegevens, datalekken, ransomware, misconfiguratie, leverancierscompromittering, privacy-inbreuk |
| Dag 5 | Verzamel bewijs | LMS-exporten, kennisnames, phishingrapportages, onboardingregistraties, contractantenregistraties, executive deelname |
| Dag 6 | Stem bewijs af | Trainingspopulatie gecontroleerd tegen HR-registraties, identiteitsgroepen, geprivilegieerde accounts, contractantenlijsten |
| Dag 7 | Toets begrip bij medewerkers | Interviewnotities waaruit blijkt dat medewerkers incidentmelding, MFA-verwachtingen, omgang met verdachte e-mails en gegevensregels kennen |
| Dag 8 | Beoordeel technische hygiënebeheersmaatregelen | MFA, back-ups, EDR, patching, kwetsbaarheidsscans, logging, monitoring, bewijs voor beveiligde configuratie |
| Dag 9 | Stel het pakket voor directiebeoordeling op | Voltooiing, uitzonderingen, phishingtrends, openstaande acties, hoogrisicorollen, incidenten, budgetbehoeften |
| Dag 10 | Werk het risicobehandelplan en de SoA bij | Restrisico, eigenaren, deadlines, doeltreffendheidsmetingen, updates van de Verklaring van Toepasselijkheid |
Die sprint geeft u een verdedigbare bewijsbaseline. Hij vervangt de doorlopende ISMS-werking niet, maar creëert wel de structuur die toezichthouders en auditors verwachten.
Hoe goed eruitziet
Een volwassen programma voor NIS2 Article 21 over cyberhygiëne en training heeft vijf kenmerken.
Ten eerste is het zichtbaar voor het bestuur. Het management keurt de aanpak goed, ziet betekenisvolle metrieken, begrijpt het restrisico en financiert verbetering.
Ten tweede is het risicogebaseerd. Training verschilt naar rol, servicekritikaliteit, toegangsniveau, gegevensblootstelling en incidentverantwoordelijkheid.
Ten derde is het bewijsgedreven. Voltooiingsregistraties, kennisnames, simulaties, tabletop-oefeningen, technische hygiënerapportages en corrigerende maatregelen zijn volledig, afgestemd en beschermd.
Ten vierde is het zich bewust van naleving over meerdere kaders heen. Hetzelfde bewijs ondersteunt NIS2, ISO/IEC 27001:2022, DORA, GDPR, assurance volgens NIST-stijl en governancerapportage volgens COBIT 2019.
Ten vijfde verbetert het. Incidenten, auditbevindingen, wetswijzigingen, leverancierswijzigingen, nieuwe technologieën en opkomende dreigingen werken het trainingsplan bij.
Dat laatste punt is het verschil tussen nalevingstheater en operationele weerbaarheid.
Volgende stappen met Clarysec
Als uw managementteam vraagt: “Kunnen we morgen NIS2 Article 21 over cyberhygiëne en cyberbeveiligingstraining aantonen?”, kan Clarysec u helpen om van versnipperd bewijs naar een auditgereed ISMS-bewijspakket te gaan.
Begin met de Zenith Blueprint om competentie, bewustwording, personele maatregelen, praktijken voor werken op afstand, kwetsbaarhedenbeheer, back-ups, logging, monitoring en technische hygiëneacties te structureren over de 30-stappenroadmap.
Gebruik Zenith Controls om ISO/IEC 27002:2022-verwachtingen voor bewustwording, aanvaardbaar gebruik, naleving, monitoring, registraties en assurance te kruisen binnen auditgesprekken over NIS2, ISO/IEC 27001:2022, DORA, GDPR, NIST en COBIT 2019.
Operationaliseer de eisen vervolgens via Clarysec’s Informatiebeveiligingsbewustzijns- en opleidingsbeleid, Informatiebeveiligingsbewustzijns- en opleidingsbeleid - mkb en Informatiebeveiligingsbeleid - mkb.
Uw directe actie is eenvoudig: bouw deze week een NIS2 Article 21-trainingsbewijsmapping van één pagina. Vermeld rollen binnen scope, toegewezen training, voltooiingsbewijs, beleidskennisnames, phishingmetrieken, technisch cyberhygiënebewijs, datum van directiebeoordeling en corrigerende maatregelen. Als een cel leeg is, hebt u uw volgende auditremediatietaak gevonden.
Voor een sneller traject downloadt u de Clarysec-beleidssjablonen, gebruikt u de Zenith Blueprint-roadmap en plant u een beoordeling van NIS2-bewijsgereedheid om uw huidige trainingsregistraties, cyberhygiënebeheersmaatregelen en ISO/IEC 27001:2022-ISMS om te zetten in één verdedigbaar auditdossier.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
