NIST CSF 2.0 Govern voor mkb-organisaties en ISO 27001
Sarah, de pas benoemde CISO van een snelgroeiende fintech-mkb-organisatie, had een whiteboard vol raamwerken en een deadline die niet kon verschuiven. NIST CSF 2.0. ISO 27001:2022. NIS2. DORA. GDPR. Leveranciersrisico. Verantwoordingsplicht van het bestuur. Due diligence door zakelijke klanten.
De aanleiding was herkenbaar: een spreadsheet van een grote klant uit de financiële sector. Inkoop vroeg om bewijsmateriaal voor een cybersecuritygovernancemodel, risicobereidheid, een leveranciersbeveiligingsprogramma, een koppeling met wettelijke en regelgevende verplichtingen, een proces voor incidentescalatie en aansluiting op ISO 27001:2022.
De CEO wilde geen college over compliance. Zij wilde een eenvoudig antwoord op een moeilijke vraag: “Hoe tonen we aan ons bestuur, onze klanten en onze toezichthouders aan dat wij cyberrisico beheersen?”
Dit is het governanceprobleem waarmee veel mkb-organisaties worden geconfronteerd. Een klantvragenlijst is zelden alleen een klantvragenlijst. Vaak zijn het vijf compliancegesprekken samengeperst tot één verzoek. NIST CSF 2.0, ISO/IEC 27001:2022, GDPR, NIS2, door DORA gedreven leveranciersverwachtingen, cloudweerbaarheid, bestuurlijk toezicht en contractuele verplichtingen zitten allemaal verscholen in hetzelfde verzoek om bewijsmateriaal.
Veel mkb-organisaties reageren door afzonderlijke artefacten te maken: een NIST-spreadsheet, een ISO-certificeringsmap, een GDPR-tracker, een leveranciersrisicoregister en een incidentresponsplan die niet met elkaar verbonden zijn. Zes maanden later weet niemand welk document leidend is.
De aanpak van Clarysec is anders. Gebruik de NIST CSF 2.0 Govern-functie als bestuurlijke governancelaag en vertaal die vervolgens naar ISO 27001:2022-beleid, risicobehandeling, de Verklaring van Toepasselijkheid, leverancierstoezicht, managementbeoordeling en auditbewijs. Het resultaat is niet méér compliancewerk. Het is één operationeel model waarmee auditors, klanten, toezichthouders en het management met dezelfde set bewijsmateriaal kunnen worden bediend.
Waarom de NIST CSF 2.0 Govern-functie belangrijk is voor mkb-organisaties
NIST CSF 2.0 verheft governance tot een afzonderlijke functie, naast Identify, Protect, Detect, Respond en Recover. Die wijziging is belangrijk omdat de meeste beveiligingsfouten bij mkb-organisaties niet worden veroorzaakt door het ontbreken van nóg een tool. Ze worden veroorzaakt door onduidelijke verantwoordingslijnen, zwakke risicobesluiten, ongedocumenteerde uitzonderingen, inconsistent leverancierstoezicht en beleid dat ooit is goedgekeurd maar nooit operationeel is gemaakt.
De NIST CSF 2.0 Govern-functie verschuift de vraag van “welke beheersmaatregelen hebben we?” naar “wie is verantwoordelijk, welke verplichtingen zijn van toepassing, hoe worden risico’s geprioriteerd en hoe worden prestaties beoordeeld?”
Voor mkb-organisaties bieden de Govern-uitkomsten een praktisch mandaat:
- Begrijp en beheer wettelijke, regelgevende, contractuele, privacy- en burgerrechtenverplichtingen.
- Stel risicobereidheid, risicotolerantie, risicoscoring, prioritering en opties voor risicoreactie vast.
- Definieer rollen, verantwoordelijkheden, bevoegdheden, escalatiepaden en middelen voor cybersecurity.
- Stel cybersecuritybeleid vast, communiceer het, pas het toe, beoordeel het en actualiseer het.
- Beoordeel de cybersecuritystrategie, prestaties en managementverantwoordelijkheid.
- Bestuur cybersecurityrisico’s van leveranciers en derde partijen vanaf due diligence tot en met offboarding.
Daarom is NIST CSF 2.0 Govern zo’n sterke ingang voor ISO 27001:2022. NIST geeft leidinggevenden de governancetaal. ISO 27001:2022 biedt het auditeerbare managementsysteem.
ISO 27001:2022-clausules 4 tot en met 10 vereisen dat organisaties de context begrijpen, belanghebbenden definiëren, de ISMS-scope vaststellen, leiderschap aantonen, risicobeoordeling en risicobehandeling plannen, gedocumenteerde informatie ondersteunen, beheersmaatregelen uitvoeren, prestaties evalueren, interne audits en managementbeoordelingen uitvoeren en continu verbeteren. Annex A biedt vervolgens de referentieset voor beheersmaatregelen, waaronder beleid, managementverantwoordelijkheden, wettelijke verplichtingen, privacy, leveranciersrelaties, in de cloud gehoste diensten, incidentbeheer en ICT-gereedheid voor bedrijfscontinuïteit.
Clarysec’s Enterprise Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid bepaalt:
De organisatie moet een formeel governancemodel onderhouden voor toezicht op het ISMS, afgestemd op ISO/IEC 27001-clausules 5.1 en 9.3.
Die eis, afkomstig uit clausule 5.1 van het Informatiebeveiligingsbeleid, vormt de praktische brug tussen NIST GV-verantwoordingsplicht en de leiderschapsverwachtingen van ISO 27001:2022. Governance is geen jaarlijkse presentatie. Het is een formeel model dat besluiten, beleid, rollen, risico’s, beheersmaatregelen, bewijsmateriaal en beoordeling met elkaar verbindt.
De kernmapping: NIST CSF 2.0 Govern naar ISO 27001:2022-bewijsmateriaal
De snelste manier om NIST CSF 2.0 bruikbaar te maken, is Govern-uitkomsten om te zetten in beleidseigenaarschap en auditbewijs. De onderstaande tabel is de structuur die Clarysec gebruikt met mkb-organisaties die zich voorbereiden op ISO 27001:2022-certificering, due diligence door zakelijke klanten, gereedheid voor NIS2, klantassurance voor DORA en verantwoordingsplicht onder GDPR.
| NIST CSF 2.0 Govern-gebied | Governancevraag voor het mkb | Afstemming op ISO 27001:2022 | Clarysec-beleidsanker | Bewijsmateriaal dat auditors en klanten verwachten |
|---|---|---|---|---|
| GV.OC, organisatorische context | Kennen wij onze wettelijke, regelgevende, contractuele, privacy- en bedrijfsverplichtingen? | Clausules 4.1 tot en met 4.4, Annex A 5.31 en 5.34 | Beleid voor juridische en regelgevende compliance | Complianceregister, ISMS-scope, register van belanghebbenden, overzicht van klantverplichtingen, privacyregister |
| GV.RM, risicobeheerstrategie | Hoe definiëren, scoren, prioriteren, accepteren en behandelen we cyberrisico’s? | Clausules 6.1.1 tot en met 6.1.3, 8.2 en 8.3 | Risicobeheerbeleid | Risicomethodiek, risicoregister, risicobehandelplan, goedkeuringen van risico-eigenaren, SoA-mapping |
| GV.RR, rollen en verantwoordelijkheden | Wie is eigenaar van cybersecuritybesluiten, uitzonderingen, middelen en rapportage? | Clausules 5.1 tot en met 5.3, Annex A 5.2 en 5.4 | Mkb-beleid voor governancerollen en -verantwoordelijkheden | RACI, rolbeschrijvingen, notulen, goedkeuringen van uitzonderingen, opleidingsregistraties |
| GV.PO, beleid | Is beleid goedgekeurd, gecommuniceerd, toegepast, beoordeeld en bijgewerkt? | Clausules 5.2, 7.5 en 9.3, Annex A 5.1 | Informatiebeveiligingsbeleid | Beleidsregister, goedkeuringsregistraties, versiehistorie, kennisnamebevestigingen door medewerkers, notulen van beleidsbeoordelingen |
| GV.OV, toezicht | Worden de strategie en prestaties op het gebied van cybersecurity beoordeeld en bijgestuurd? | Clausules 9.1, 9.2, 9.3, 10.1 en 10.2 | Beleid voor audit en compliancemonitoring | KPI-dashboard, intern auditplan, uitkomsten van managementbeoordelingen, corrigerende maatregelen |
| GV.SC, risico in de toeleveringsketen | Zijn leveranciers bekend, geprioriteerd, beoordeeld, gecontracteerd, gemonitord en geoffboard? | Annex A 5.19 tot en met 5.23 en 5.30 | Mkb-beleid voor beveiliging van derde partijen en leveranciers | Leveranciersinventaris, registraties van due diligence, contractuele clausules, beoordelingslogboeken, exitplannen, incidentcontacten |
Deze mapping is bewust evidence-first. Zij vraagt een mkb-organisatie niet om 40 documenten te maken. Zij stelt vijf operationele vragen:
- Welk besluit wordt genomen?
- Wie is eigenaar?
- Welk beleid is van toepassing?
- Welke ISO 27001:2022-clausule of Annex A-beheersmaatregel ondersteunt dit?
- Welk bewijsmateriaal toont aan dat het is gebeurd?
Het Mkb-beleid voor governancerollen en -verantwoordelijkheden Mkb-beleid voor governancerollen en -verantwoordelijkheden maakt die traceerbaarheid expliciet:
Alle significante beveiligingsbesluiten, uitzonderingen en escalaties moeten worden geregistreerd en traceerbaar zijn.
Dit citaat komt uit clausule 5.5 van het Mkb-beleid voor governancerollen en -verantwoordelijkheden. Het zet NIST GV.RR om van een governanceprincipe naar een auditeerbare operationele regel.
Begin met een CSF Govern-profiel, niet met een spreadsheet met beheersmaatregelen
NIST CSF 2.0 Organizational Profiles helpen organisaties hun huidige en beoogde cybersecurityuitkomsten te beschrijven. Voor mkb-organisaties is het profiel de plek waar governance beheersbaar wordt.
Een praktische workshop voor een Govern-profiel moet vijf vragen beantwoorden:
- Wat valt binnen de scope: het hele bedrijf, een SaaS-platform, een gereguleerd product of een klantomgeving?
- Welke verplichtingen sturen het profiel: klantcontracten, GDPR, blootstelling aan NIS2, door DORA gedreven klantverwachtingen, ISO 27001:2022-certificering of due diligence door investeerders?
- Wat bewijst het huidige bewijsmateriaal, niet wat mensen denken dat bestaat?
- Welke doeltoestand is realistisch voor de komende 90 dagen en de komende 12 maanden?
- Welke risico’s, beleidslijnen, leveranciers en SoA-vermeldingen moeten wijzigen?
De Zenith Blueprint: een 30-stappenroadmap voor auditors Zenith Blueprint ondersteunt dit in de fase ISMS Foundation & Leadership, stap 6, “Gedocumenteerde informatie en opbouw van de ISMS-bibliotheek.” Deze beveelt aan de SoA vroeg op te stellen en als bibliotheek voor beheersmaatregelen te gebruiken:
✓ Aanvullende beheersmaatregelen: Zijn er beheersmaatregelen buiten Annex A die u wilt opnemen? ISO 27001 staat toe om andere beheersmaatregelen in de SoA op te nemen. Misschien wilt u bijvoorbeeld naleving van NIST CSF of specifieke privacybeheersmaatregelen uit ISO 27701 opnemen. Over het algemeen is Annex A volledig, maar voeg gerust unieke beheersmaatregelen toe die u van plan bent te gebruiken
✓ Gebruik een spreadsheet (SoA Builder): Een praktische aanpak is om nu de SoA- spreadsheet voor te bereiden. We hebben een SoA_Builder.xlsx-sjabloon opgesteld met alle Annex A- beheersmaatregelen en kolommen voor toepasselijkheid, implementatiestatus en opmerkingen.
Voor een mkb-organisatie is dit belangrijk. U hoeft NIST CSF 2.0 niet in ISO Annex A te persen alsof beide identiek zijn. U kunt CSF Govern-uitkomsten als aanvullende governancevereisten opnemen in uw SoA-bibliotheek, ze koppelen aan ISO 27001:2022-clausules en Annex A-beheersmaatregelen, en ze gebruiken om managementbeoordeling, leveranciersgovernance, risicorapportage en compliancemonitoring te verbeteren.
Bouw een Govern-bewijsmateriaalregister
Een Govern-bewijsmateriaalregister is het praktische hulpmiddel dat raamwerken omzet in bewijs. Het moet elke NIST-uitkomst verbinden met een ISO-referentie, beleidseigenaar, bewijsitem, beoordelingsfrequentie, hiaat en actie.
| Veld | Voorbeeldvermelding |
|---|---|
| CSF-uitkomst | GV.OC-03 |
| Governancevraag | Worden wettelijke, regelgevende, contractuele, privacy- en burgerrechtenverplichtingen begrepen en beheerd? |
| ISO 27001:2022-referentie | Clausules 4.2, 4.3 en 6.1.3, Annex A 5.31 en 5.34 |
| Clarysec-beleid | Beleid voor juridische en regelgevende compliance |
| Eigenaar van bewijsmateriaal | Compliance manager |
| Bewijsmateriaal | Complianceregister v1.4, overzicht van klantverplichtingen, GDPR-verwerkingsregister |
| Beoordelingsfrequentie | Per kwartaal en wanneer zich wijzigingen voordoen in markt, klant of product |
| Hiaat | DORA-flow-downclausules van klanten zijn niet gekoppeld aan leverancierscontracten |
| Actie | Leverancierscontractsjabloon en SoA-opmerkingen bijwerken |
| Vervaldatum | 30 dagen |
Clarysec’s Enterprise Beleid voor juridische en regelgevende compliance Beleid voor juridische en regelgevende compliance geeft de sturende eis:
Alle wettelijke en regelgevende verplichtingen moeten binnen het Information Security Management System (ISMS) worden gekoppeld aan specifieke beleidslijnen, beheersmaatregelen en eigenaren.
Dit is clausule 6.2.1 van het Beleid voor juridische en regelgevende compliance. Voor mkb-organisaties voegt het Mkb-beleid voor juridische en regelgevende compliance Mkb-beleid voor juridische en regelgevende compliance een praktische eis voor kruiskoppeling toe:
Wanneer een regelgeving op meerdere gebieden van toepassing is (bijv. GDPR is van toepassing op bewaring, beveiliging en privacy), moet dit duidelijk worden vastgelegd in het Nalevingsregister en in opleidingsmateriaal.
Dat citaat komt uit clausule 5.2.2 van het Mkb-beleid voor juridische en regelgevende compliance. Samen zetten deze clausules GV.OC-03 om in een beheerd, beoordeelbaar en auditgereed proces.
Verbind risicoscore met risicobehandeling en de SoA
NIST GV.RM vereist risicodoelstellingen, risicobereidheid, risicotolerantie, gestandaardiseerde risicoberekening, responsopties en communicatielijnen. ISO 27001:2022 operationaliseert dit via risicobeoordeling, risicobehandeling, goedkeuring door de risico-eigenaar, acceptatie van restrisico en de Verklaring van Toepasselijkheid.
Het Mkb-risicobeheerbeleid Mkb-risicobeheerbeleid is bewust concreet:
Elke risicovermelding moet bevatten: beschrijving, waarschijnlijkheid, impact, score, eigenaar en behandelplan.
Dit komt uit clausule 5.1.2 van het Mkb-risicobeheerbeleid. Het Enterprise Risicobeheerbeleid Risicobeheerbeleid versterkt de koppeling met de SoA:
Een Verklaring van Toepasselijkheid (SoA) moet alle behandelbesluiten weerspiegelen en moet worden bijgewerkt wanneer de dekking van beheersmaatregelen wordt gewijzigd.
Dat is clausule 5.4 van het Risicobeheerbeleid.
Neem een reëel mkb-risico: ongeautoriseerde toegang tot productiegegevens van klanten door inconsistente afdwinging van MFA voor cloudbeheerdersaccounts.
Een sterke Govern-mapping omvat:
- NIST GV.RM voor gestandaardiseerde risicodocumentatie en prioritering.
- NIST GV.RR voor roleigenaarschap en bevoegdheid om toegangscontrole af te dwingen.
- NIST GV.PO voor toepassing en beoordeling van beleid.
- ISO 27001:2022-clausules 6.1.2, 6.1.3, 8.2 en 8.3.
- Annex A-beheersmaatregelen voor toegangscontrole, identiteitsbeheer, authenticatie-informatie, logging, monitoring, configuratie en in de cloud gehoste diensten.
- Bewijsmateriaal zoals een vermelding in het risicoregister, een export van de MFA-configuratie, goedkeuring van een uitzondering, beoordeling van cloud-IAM, een besluit uit de managementbeoordeling en een bijgewerkte SoA-opmerking.
De Zenith Blueprint, fase Risicobeheer, stap 13, “Planning van risicobehandeling en Verklaring van Toepasselijkheid,” legt de koppeling uit:
✓ Zorg voor afstemming met uw risicoregister: elke mitigerende beheersmaatregel die u in het risico- behandelingsplan hebt opgenomen, moet overeenkomen met een Annex A-beheersmaatregel die als “Van toepassing” is gemarkeerd. Omgekeerd geldt: als een beheersmaatregel als van toepassing is gemarkeerd, moet u een risico of een eis hebben die dit rechtvaardigt.
Dit is het verschil tussen zeggen “we gebruiken MFA” en aantonen “we hebben een beheerste, risicogebaseerde en op ISO 27001:2022 afgestemde reden voor MFA, met bewijsmateriaal, eigenaar en beoordelingsfrequentie.”
Beheer leveranciersrisico zonder het programma te zwaar te maken
NIST GV.SC is een van de meest bruikbare onderdelen van de Govern-functie voor mkb-organisaties, omdat moderne mkb-organisaties sterk afhankelijk zijn van leveranciers: cloudproviders, betalingsverwerkers, HR-platforms, helpdesksystemen, coderepositories, CI/CD-tooling, monitoringtools en managed security services.
ISO 27001:2022 Annex A ondersteunt dit via beheersmaatregelen voor leveranciers en cloud, waaronder 5.19 Informatiebeveiliging in leveranciersrelaties, 5.20 Aandacht voor informatiebeveiliging in leveranciersovereenkomsten, 5.21 Beheer van informatiebeveiliging in de ICT-toeleveringsketen, 5.22 Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten, 5.23 Informatiebeveiliging voor het gebruik van in de cloud gehoste diensten, en 5.30 ICT-gereedheid voor bedrijfscontinuïteit.
Het Mkb-beleid voor beveiliging van derde partijen en leveranciers Mkb-beleid voor beveiliging van derde partijen en leveranciers maakt de bewijseis duidelijk:
Deze beoordelingen moeten worden gedocumenteerd en bewaard bij de leveranciersregistratie. Opvolgacties moeten duidelijk worden gevolgd.
Dit is clausule 6.3.2 van het Mkb-beleid voor beveiliging van derde partijen en leveranciers.
Een slank leveranciersmodel voor het mkb kan drie niveaus gebruiken:
| Leveranciersniveau | Criteria | Minimaal bewijsmateriaal | Beoordelingsfrequentie |
|---|---|---|---|
| Kritiek | Ondersteunt productie, klantgegevens, authenticatie, beveiligingsmonitoring, betalingsstromen of gereguleerde dienstverlening | Due-diligencevragenlijst, contractuele beveiligingsclausules, SLA, incidentcontact, exitplan, risicobeoordeling | Jaarlijks en bij materiële wijziging |
| Belangrijk | Ondersteunt bedrijfsprocessen of interne gevoelige informatie, maar geen directe kritieke dienstverlening | Beveiligingssamenvatting, voorwaarden voor gegevensverwerking, toegangsbeoordeling, risicoacceptatie wanneer hiaten bestaan | Elke 18 maanden |
| Standaard | Laagrisicotools zonder gevoelige gegevens of kritieke afhankelijkheid | Goedkeuring door de proceseigenaar, basiscontrole van gegevens en toegang | Bij onboarding en verlenging |
Dit eenvoudige model ondersteunt NIST GV.SC, leveranciersbeheersmaatregelen in ISO 27001:2022, due diligence door klanten en door DORA gedreven contractuele verwachtingen van financiële klanten.
Offboarding van leveranciers verdient bijzondere aandacht. NIST GV.SC verwacht governance over de volledige leverancierslevenscyclus, inclusief het einde van een relatie. Bewijsmateriaal moet gegevensretour of -verwijdering, intrekking van toegangsrechten, planning van servicetransitie, bewaarde contractregistraties en een beoordeling van restrisico omvatten.
Gebruik Zenith Controls voor cross-compliance, niet als afzonderlijke set beheersmaatregelen
Clarysec’s Zenith Controls: de gids voor cross-compliance Zenith Controls is een gids voor cross-compliance waarmee thema’s van beheersmaatregelen uit ISO/IEC 27002:2022 worden gekoppeld aan meerdere raamwerken en auditperspectieven. Dit zijn geen afzonderlijke “Zenith controls.” Het zijn ISO/IEC 27002:2022-beheersmaatregelen die binnen Zenith Controls zijn geanalyseerd voor gebruik bij cross-compliance.
Voor NIST CSF 2.0 Govern zijn drie ISO/IEC 27002:2022-gebieden van beheersmaatregelen bijzonder belangrijk:
| ISO/IEC 27002:2022-gebied van beheersmaatregelen in Zenith Controls | Verbinding met NIST CSF 2.0 Govern | Praktische interpretatie voor het mkb |
|---|---|---|
| 5.1 Beleid voor informatiebeveiliging | GV.PO | Beleid moet worden goedgekeurd, gecommuniceerd, toegepast, beoordeeld en bijgewerkt wanneer dreigingen, technologie, wetgeving of bedrijfsdoelstellingen veranderen |
| 5.4 Managementverantwoordelijkheden | GV.RR en GV.OV | Beveiligingsverantwoordelijkheden moeten op leidinggevend en operationeel niveau worden toegewezen, met middelen, rapportage en beoordeling |
| 5.31 Wettelijke, statutaire, regelgevende en contractuele eisen | GV.OC-03 | Verplichtingen moeten worden geïdentificeerd, gekoppeld aan beheersmaatregelen en eigenaren, bewaakt op wijzigingen en onderbouwd met bewijsmateriaal |
De Zenith Blueprint, fase Controls in Action, stap 22, “Organisatorische beheersmaatregelen,” geeft het operationele model:
Formaliseer informatiebeveiligingsgovernance
Zorg ervoor dat uw informatiebeveiligingsbeleid (5.1) is afgerond, goedgekeurd en onder versiebeheer staat. Wijs benoemde eigenaren toe voor elk beleidsdomein (bijv. toegang, encryptie, back-up) en documenteer rollen en verantwoordelijkheden binnen het ISMS (5.2). Beoordeel functiescheiding (5.3) in risicovolle gebieden zoals financiën, systeembeheer en wijzigingsbeheer. Maak een eenvoudige governancekaart die laat zien wie goedkeurt, wie implementeert en wie toezicht houdt op het beveiligingsbeleid.
Die governancekaart is een van de meest waardevolle artefacten die een mkb-organisatie kan maken. Zij beantwoordt NIST GV.RR, leiderschapsvereisten uit ISO 27001:2022, verwachtingen inzake managementverantwoordelijkheid onder NIS2 en klantvragen over wie eigenaar is van cyberrisico.
Eén governancemodel voor NIS2, DORA, GDPR, NIST en ISO
De Govern-functie wordt het meest waardevol wanneer een mkb-organisatie met overlappende eisen te maken krijgt.
NIS2 vereist dat essentiële en belangrijke entiteiten die binnen de scope vallen passende en evenredige maatregelen voor cybersecurityrisicobeheer nemen. De richtlijn legt ook verantwoordelijkheid bij bestuursorganen om maatregelen voor cybersecurityrisicobeheer goed te keuren, toe te zien op de implementatie en training te volgen. NIST GV.RR ondersteunt managementverantwoordelijkheid. GV.RM ondersteunt risicogebaseerde maatregelen. GV.SC ondersteunt beveiliging van de toeleveringsketen. GV.PO ondersteunt beleid. GV.OV ondersteunt prestatiebeoordeling.
NIS2-incidentgovernance introduceert ook gefaseerde meldingsverwachtingen, waaronder een vroegtijdige waarschuwing binnen 24 uur, een incidentmelding binnen 72 uur en een eindrapportage binnen één maand voor significante incidenten. Die termijnen moeten worden weerspiegeld in incidentresponsprocedures, escalatiepaden, communicatieplannen en managementrapportage.
DORA is vanaf 17 januari 2025 van toepassing op financiële entiteiten in de EU, maar veel mkb-organisaties merken de impact via klantcontracten. Financiële klanten kunnen DORA-eisen doorleggen naar ICT-aanbieders, softwareleveranciers, managed service providers en leveranciers die afhankelijk zijn van cloud. DORA richt zich op ICT-risicobeheer, verantwoordelijkheid van het bestuursorgaan, incidentrapportage, weerbaarheidstesten, ICT-risico van derde partijen, contractuele eisen en toezicht.
GDPR voegt verantwoordingsplicht toe voor de verwerking van persoonsgegevens. Mkb-organisaties moeten begrijpen of zij verwerkingsverantwoordelijke, verwerker of beide zijn, welke persoonsgegevens zij verwerken, welke systemen en leveranciers betrokken zijn, welke rechtsgronden van toepassing zijn en welke incidentscenario’s kunnen uitgroeien tot datalekken met persoonsgegevens.
De Zenith Blueprint, fase Risicobeheer, stap 14, beveelt aan DORA-, NIS2- en GDPR-eisen te kruiskoppelen aan de ISO 27001:2022-set van beheersmaatregelen:
Voor elke regelgeving kunt u, indien van toepassing, een eenvoudige mappingtabel maken (bijvoorbeeld als bijlage bij een rapport) met de belangrijkste beveiligingseisen van de regelgeving en de corresponderende beheersmaatregelen/beleidslijnen in uw ISMS. Dit is niet verplicht in ISO 27001, maar het is een nuttige interne oefening om te voorkomen dat iets tussen wal en schip valt.
Een praktische kaart voor cross-compliance kan er als volgt uitzien:
| Governancevereiste | NIST CSF 2.0 Govern | ISO 27001:2022-anker | Relevantie voor NIS2, DORA, GDPR | Primair bewijsmateriaal |
|---|---|---|---|---|
| Managementverantwoordelijkheid | GV.RR en GV.OV | Clausules 5.1, 5.3 en 9.3, Annex A 5.4 | Toezicht door het bestuursorgaan onder NIS2, verantwoordelijkheid van het bestuursorgaan onder DORA | Governancekaart, RACI, notulen van managementbeoordelingen |
| Wettelijke en contractuele verplichtingen | GV.OC-03 | Clausules 4.2, 4.3 en 6.1.3, Annex A 5.31 en 5.34 | Verantwoordingsplicht onder GDPR, juridische scope van NIS2, contractuele flow-downs onder DORA | Complianceregister, overzicht van klantverplichtingen, privacyregister |
| Risicogebaseerde beveiligingsmaatregelen | GV.RM | Clausules 6.1.2, 6.1.3, 8.2 en 8.3 | Risicobeheermaatregelen onder NIS2, ICT-risicokader onder DORA, beveiliging van de verwerking onder GDPR | Risicoregister, risicobehandelplan, SoA |
| Leveranciersgovernance | GV.SC | Annex A 5.19 tot en met 5.23 en 5.30 | Beveiliging van de toeleveringsketen onder NIS2, ICT-risico van derde partijen onder DORA, verwerkers onder GDPR | Leveranciersinventaris, due diligence, contracten, beoordelingslogboeken |
| Beleidsgovernance | GV.PO | Clausule 5.2 en Annex A 5.1 | Alle raamwerken verwachten gedocumenteerde, goedgekeurde en gecommuniceerde regels | Beleidsregister, versiehistorie, kennisnamebevestigingen |
| Audit en verbetering | GV.OV | Clausules 9.1, 9.2, 9.3, 10.1 en 10.2 | Testen en remediatie onder DORA, doeltreffendheid onder NIS2, verantwoordingsplicht onder GDPR | Interne-auditrapporten, KPI’s, corrigerende maatregelen |
De waarde zit in efficiëntie. Eén goed werkend ISO 27001:2022-ISMS, gestuurd door NIST CSF 2.0 Govern, kan herbruikbaar bewijsmateriaal genereren voor meerdere raamwerken tegelijk.
Het perspectief van de auditor: aantonen dat governance echt is
Een beleid op de plank is geen governance. Auditors en beoordelaars zoeken naar een rode draad: beleid op hoog niveau, gedefinieerd proces, operationele registratie, managementbeoordeling en verbeteractie.
Verschillende beoordelaars toetsen die rode draad op verschillende manieren.
| Auditperspectief | Waar zij op letten | Bewijsmateriaal dat goed werkt |
|---|---|---|
| ISO 27001:2022-auditor | Of governance in het ISMS is ingebed, risicobehandeling traceerbaar is, SoA-besluiten gerechtvaardigd zijn en gedocumenteerde informatie wordt beheerst | ISMS-scope, beleidsregister, risicoregister, SoA, notulen van managementbeoordelingen, interne-auditrapporten, corrigerende maatregelen |
| NIST CSF 2.0-beoordelaar | Of huidige en doelprofielen bestaan, hiaten zijn geprioriteerd en Govern-uitkomsten zijn gekoppeld aan bedrijfsrisico en toezicht | CSF-profiel, hiaatanalyse, POA&M, verklaring van risicobereidheid, managementdashboard, leveranciersdoelprofiel |
| COBIT 2019- of ISACA-achtige auditor | Of governancedoelstellingen, beslissingsrechten, prestatiemaatstaven, eigenaarschap van beheersmaatregelen en assuranceactiviteiten zijn gedefinieerd | Governancekaart, RACI, KPI- en KRI-dashboard, attestaties van eigenaren van beheersmaatregelen, auditplan, opvolging van issues |
| GDPR-beoordelaar | Of privacyverplichtingen zijn geïdentificeerd, verwerking in kaart is gebracht, beveiligingsmaatregelen passend zijn en bewijsmateriaal voor verantwoordingsplicht bestaat | Verwerkingsregister, mapping van rechtsgrondslagen, DPIA waar nodig, proces voor respons op inbreuken, voorwaarden voor gegevensverwerking door leveranciers |
| Beveiligingsbeoordelaar van de klant | Of de mkb-organisatie operationele beveiliging, leverancierscontrole, incidentgereedheid en bestuurlijke verantwoordingsplicht zonder onnodige vertraging kan aantonen | Bewijsmateriaalpakket, beleidslijnen, leveranciersbeoordelingen, uitkomsten van tabletop-oefeningen voor incidenten, toegangsbeoordelingen, back-uptests, beveiligingsroadmap |
Clarysec’s Enterprise Beleid voor governancerollen en -verantwoordelijkheden Beleid voor governancerollen en -verantwoordelijkheden bepaalt:
Governance moet integratie met andere disciplines ondersteunen (bijv. risico, juridisch, IT, HR), en ISMS-besluiten moeten traceerbaar zijn naar hun bron (bijv. auditregistraties, beoordelingslogboeken, notulen).
Dit is clausule 5.5 van het Beleid voor governancerollen en -verantwoordelijkheden. Het vat de kern van cross-compliance samen: governancebesluiten moeten traceerbaar zijn.
Het Mkb-beleid voor audit en compliancemonitoring Mkb-beleid voor audit en compliancemonitoring voegt een kritieke discipline voor bewijsmateriaal toe:
Metadata (bijv. wie het heeft verzameld, wanneer en uit welk systeem) moeten worden gedocumenteerd.
Dit citaat komt uit clausule 6.2.3 van het Mkb-beleid voor audit en compliancemonitoring. Metadata van bewijsmateriaal is vaak wat een map met screenshots onderscheidt van auditwaardig bewijsmateriaal.
Het Enterprise Beleid voor audit en compliancemonitoring Beleid voor audit en compliancemonitoring voegt de eis op programmaniveau toe:
De organisatie moet een gestructureerd programma voor audit en toezicht op naleving onderhouden dat in het ISMS is geïntegreerd en het volgende omvat:
Dit is clausule 5.1 van het Beleid voor audit en compliancemonitoring. De governance-implicatie is direct: audit is geen jaarlijkse haastklus. Het maakt deel uit van de ISMS-operatie.
Veelgemaakte mkb-fouten bij het mappen van NIST Govern naar ISO 27001:2022
De eerste fout is overdocumentatie zonder eigenaarschap. Een mkb-organisatie schrijft beleid, maar wijst geen eigenaren toe voor risicobehandeling, leveranciersbeoordelingen, goedkeuring van uitzonderingen of managementrapportage.
De tweede fout is wettelijke verplichtingen los zien van het ISMS. NIST GV.OC-03 vereist dat verplichtingen worden begrepen en beheerd. ISO 27001:2022 vereist dat relevante eisen van belanghebbenden en wettelijke, regelgevende en contractuele verplichtingen in het ISMS worden meegenomen.
De derde fout is zwakke SoA-onderbouwing. De SoA is niet alleen een lijst met toepasselijke beheersmaatregelen. Het is het logische dossier waarom beheersmaatregelen zijn opgenomen, uitgesloten of geïmplementeerd.
De vierde fout is ontbrekend bewijsmateriaal over de leverancierslevenscyclus. Leveranciersgovernance omvat onboarding, contracten, monitoring, incidenten, wijzigingen en offboarding.
De vijfde fout is het niet actualiseren van het doelprofiel. Een CSF-profiel moet wijzigen wanneer het bedrijf een nieuwe geografische markt betreedt, een grote klant tekent, een kritieke leverancier adopteert, een gereguleerd product lanceert, de cloudarchitectuur wijzigt of een incident ondervindt.
Een 30-dagenroadmap voor NIST CSF 2.0 Govern voor mkb-organisaties
Als een mkb-organisatie snel vooruitgang moet boeken, begin dan met een gericht implementatieplan van 30 dagen.
| Dagen | Activiteit | Output |
|---|---|---|
| 1 tot 3 | Definieer de scope van CSF Govern en verzamel bestaand beleid, contracten, risicoregistraties, leverancierslijsten en auditbewijs | Scopenotitie en inventaris van bewijsmateriaal |
| 4 tot 7 | Bouw het Govern-bewijsmateriaalregister voor GV.OC, GV.RM, GV.RR, GV.PO, GV.OV en GV.SC | Huidig profiel en initiële hiaten |
| 8 tot 12 | Koppel verplichtingen aan ISO 27001:2022-beleid, Annex A-gebieden van beheersmaatregelen en eigenaren | Complianceregister en overzicht van beleidseigenaarschap |
| 13 tot 17 | Werk het risicoregister en risicobehandelplan bij en stem vervolgens SoA-vermeldingen af | Risicoregister, behandelplan, SoA-updates |
| 18 tot 22 | Prioriteer leveranciersgovernance, inclusief classificatie van kritieke leveranciers, contracthiaten en beoordelingsbewijsmateriaal | Leveranciersrisicoregister en actietracker |
| 23 tot 26 | Stel een pakket met auditbewijs op, inclusief metadata, goedkeuringen, beoordelingslogboeken en managementbesluiten | Bewijsmateriaalpakket en auditindex |
| 27 tot 30 | Voer een managementbeoordeling uit en keur de roadmap voor het doelprofiel goed | Notulen van managementbeoordeling, besluiten, roadmap |
Dit plan creëert voldoende governancebewijs om serieuze klant- en auditvragen te beantwoorden, terwijl het de basis legt voor ISO 27001:2022-certificering, gereedheid voor NIS2, klantassurance voor DORA en verantwoordingsplicht onder GDPR.
Het praktische resultaat: één governanceverhaal, meerdere toepassingen voor compliance
Wanneer Sarah terugkeert naar het bestuur, heeft zij niet langer vijf losstaande compliancewerkstromen. Zij heeft één governanceverhaal.
NIST CSF 2.0 Govern-uitkomsten zijn gekoppeld aan ISO 27001:2022-beleid, eigenaren, risico’s, beheersmaatregelen en bewijsmateriaal. De ISMS-scope omvat klant-, leveranciers-, cloud-, wettelijke, regelgevende, privacy- en contractuele afhankelijkheden. Het risicoregister stuurt behandelbesluiten en SoA-toepasselijkheid. Beleidslijnen zijn goedgekeurd, onder versiebeheer geplaatst, toegewezen aan eigenaren, gecommuniceerd en beoordeeld. Leveranciersrisico’s zijn ingedeeld in niveaus, contractueel vastgelegd, gemonitord en opgevolgd. GDPR-verwerkingsverplichtingen, verwachtingen inzake verantwoordingsplicht onder NIS2 en DORA-flow-downs van klanten zijn waar van toepassing kruislings gekoppeld. Auditbewijs omvat metadata, besluitregistraties en uitkomsten van managementbeoordelingen.
Zo ziet governance eruit wanneer het operationeel is.
Volgende stap: bouw uw mkb-Govern-bewijsmateriaalpakket met Clarysec
Als u zich voorbereidt op ISO 27001:2022, reageert op due diligence door zakelijke klanten, NIST CSF 2.0 Govern-uitkomsten in kaart brengt of NIS2, DORA en GDPR wilt afstemmen zonder afzonderlijke programma’s te bouwen, begin dan met de governancelaag.
Clarysec kan u helpen bij het bouwen van:
- Een huidig en doelprofiel voor NIST CSF 2.0 Govern.
- Een ISO 27001:2022-beleids- en SoA-mapping.
- Een verplichtingenregister voor cross-compliance met Zenith Controls Zenith Controls.
- Een 30-stappenroadmap voor ISMS-implementatie met Zenith Blueprint Zenith Blueprint.
- Mkb-klare beleidsbewijzen met de Clarysec-beleidstoolkit, waaronder Mkb-beleid voor governancerollen en -verantwoordelijkheden Mkb-beleid voor governancerollen en -verantwoordelijkheden, Mkb-risicobeheerbeleid Mkb-risicobeheerbeleid, Mkb-beleid voor juridische en regelgevende compliance Mkb-beleid voor juridische en regelgevende compliance, Mkb-beleid voor beveiliging van derde partijen en leveranciers Mkb-beleid voor beveiliging van derde partijen en leveranciers, en Mkb-beleid voor audit en compliancemonitoring Mkb-beleid voor audit en compliancemonitoring.
De snelste route is niet nog een spreadsheet. Het is een beheerst, risicogebaseerd ISMS dat klaar is voor bewijsmateriaal en waarmee uw mkb-organisatie één vraag met vertrouwen kan beantwoorden:
Kunt u aantonen dat cybersecurity wordt beheerd, toegewezen, beoordeeld en continu verbeterd?
Met Clarysec wordt het antwoord ja.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
