NIS2- en DORA-contactregisters voor ISO 27001
Het incident om 02:17: wanneer de contactlijst de beheersmaatregel wordt
Om 02:17 op een dinsdag ziet de SOC-analist het patroon dat niemand wil zien. Een geprivilegieerd serviceaccount heeft zich geauthenticeerd vanaf een ongebruikelijke geografische locatie, klantregistraties zijn achtereenvolgens bevraagd en een MDR-provider heeft een ticket met hoge ernst geopend. Binnen enkele minuten bevestigt de incidentleider de zorg: ransomware-indicatoren verspreiden zich lateraal, een kritieke productiedienst is gedegradeerd en klantgegevens kunnen betrokken zijn.
De technische respons start snel. Eindpunten worden geïsoleerd, identiteitslogboeken worden opgehaald, cloud-snapshots worden veiliggesteld en de MSSP sluit aan op de crisiscall. Daarna begint de koudere paniek.
De CISO vraagt: “Wie moeten we informeren?”
Juridische Zaken zegt dat de gegevensbeschermingsautoriteit mogelijk moet worden betrokken. De functionaris voor gegevensbescherming (FG) vraagt of dit een inbreuk in verband met persoonsgegevens is. De COO zegt dat naar de cloudprovider moet worden geëscaleerd op grond van de enterprise-supportclausule. De compliancemanager vraagt of de entiteit onder NIS2 een belangrijke entiteit is, of dat DORA van toepassing is omdat de dienst een gereguleerde financiële entiteit ondersteunt. De raad van bestuur wil weten wat er in de eerste 24 uur moet gebeuren.
Niemand betwist dat communicatie nodig is. Het probleem is dat contactgegevens, het goedkeuringspad, juridische triggers en bewijseisen verspreid staan over een oude spreadsheet voor bedrijfscontinuïteit, leverancierscontracten, e-mailthreads, een verouderde compliancewiki en de telefoon van één persoon.
Dat is niet alleen een operationeel ongemak. In 2026 is het een compliancehiaat.
NIS2 heeft gefaseerde incidentmelding tot een governanceverplichting gemaakt, inclusief een vroegtijdige waarschuwing binnen 24 uur, een melding binnen 72 uur en een eindrapport binnen één maand voor significante incidenten. DORA heeft een afzonderlijk regime voor digitale operationele weerbaarheid voor financiële entiteiten gecreëerd, inclusief ICT-incidentbeheer, classificatie, toezichtrapportage, ICT-risico van derde partijen en crisiscommunicatie. GDPR blijft relevant telkens wanneer persoonsgegevens betrokken zijn. ISO/IEC 27001:2022 zet deze verplichtingen om in auditeerbaar bewijsmateriaal binnen het managementsysteem.
Een contactregister voor wettelijke en toezichthoudende meldingen klinkt administratief. Dat is het niet. Het is het verbindende weefsel tussen incidentrespons, juridische melding, bedrijfscontinuïteit, leverancierscoördinatie, bestuurlijke verantwoordingsplicht en auditbewijsmateriaal.
Clarysec behandelt dit als een bewijsvraagstuk, niet als papierwerk. In Zenith Blueprint: een 30-stappenroadmap voor auditors Zenith Blueprint licht stap 22 in de fase Beheersmaatregelen in actie toe waarom contact met autoriteiten vooraf moet zijn gedefinieerd:
Beheersmaatregel 5.5 zorgt ervoor dat een organisatie voorbereid is om waar nodig met externe autoriteiten te communiceren, niet reactief of in paniek, maar via vooraf gedefinieerde, gestructureerde en goed begrepen kanalen.
Dat is de werkelijke les uit het incident om 02:17. Het moment om het meldportaal van de toezichthouder, het piketnummer van de CSIRT, het back-upcontact van de FG, het rapportagekanaal van de financiële toezichthouder en de escalatieroute van de leverancier te vinden, is vóór het incident, niet terwijl de meldtermijn al loopt.
Waarom contactregisters voor wettelijke en toezichthoudende meldingen in 2026 een complianceprioriteit zijn geworden
Veel organisaties hebben al noodcontactlijsten. Het probleem is dat NIS2 en DORA iets vereisen dat strikter is dan een lijst met namen en telefoonnummers. Zij vereisen nauwkeurige, rolgebaseerde en auditklare contactgovernance die gekoppeld is aan juridische triggers, escalatiebevoegdheid, rapportagetermijnen en leveranciersafhankelijkheden.
NIS2 is van toepassing op een brede groep essentiële en belangrijke entiteiten in sectoren zoals energie, vervoer, bankwezen, infrastructuur van financiële markten, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, ICT-dienstbeheer, openbaar bestuur en ruimtevaart. De richtlijn omvat ook veel digitale aanbieders, waaronder cloudcomputingdiensten, datacentrumdiensten, content delivery networks, managed service providers, managed security service providers, online marktplaatsen, online zoekmachines en sociale netwerkplatforms. Lidstaten moesten uiterlijk op 17 april 2025 lijsten van essentiële en belangrijke entiteiten opstellen en deze ten minste elke twee jaar bijwerken. Voor veel cloud-, SaaS-, managed service- en digitale platformaanbieders is blootstelling aan regelgeving verschoven van theoretisch naar operationeel.
DORA is vanaf 17 januari 2025 van toepassing op financiële entiteiten zoals kredietinstellingen, betalingsinstellingen, instellingen voor elektronisch geld, beleggingsondernemingen, aanbieders van cryptoactivadiensten, handelsplatformen, centrale effectenbewaarinstellingen, centrale tegenpartijen, verzekerings- en herverzekeringsondernemingen en andere financiële organisaties binnen de reikwijdte. DORA is ook zeer relevant voor het ICT-ecosysteem van derde partijen, omdat financiële entiteiten aanbieders moeten beheren die kritieke of belangrijke functies ondersteunen. DORA Article 17 vereist een proces voor ICT-gerelateerd incidentbeheer, Article 18 stelt verwachtingen voor classificatie en Article 19 regelt de melding van majeure ICT-gerelateerde incidenten aan de bevoegde autoriteit.
GDPR voegt de privacydimensie toe. Een cyberbeveiligingsincident kan een inbreuk in verband met persoonsgegevens worden als het leidt tot onopzettelijke of onrechtmatige vernietiging, verlies, wijziging, ongeoorloofde verstrekking van of ongeoorloofde toegang tot persoonsgegevens. De verwerkingsverantwoordelijke moet verantwoordingsplicht kunnen aantonen, het risico voor betrokkenen beoordelen en, waar vereist, de toezichthoudende autoriteit en mogelijk getroffen betrokkenen informeren.
Een volwassen contactregister voor wettelijke en toezichthoudende meldingen moet onder druk vijf vragen beantwoorden:
- Welke CSIRT, bevoegde autoriteit, financiële toezichthouder, gegevensbeschermingsautoriteit en contactpersoon bij opsporingsinstanties is van toepassing op deze juridische entiteit, jurisdictie en dienst?
- Welke interne rol is bevoegd om contact te initiëren, formuleringen goed te keuren en meldingen in te dienen?
- Welke leveranciers moeten worden benaderd voor indamming, logboeken, herstel, bewaring van bewijsmateriaal of contractuele rapportage?
- Welke communicatie richting klanten, tegenpartijen of publiek wordt op elk ernstniveau geactiveerd?
- Hoe tonen we aan dat het register is beoordeeld, getest en correct gebruikt?
Het antwoord mag niet alleen in de inbox van Juridische Zaken of in het geheugen van de CISO zitten. Het moet een beheerste ISMS-registratie zijn.
Wat een auditklaar NIS2- en DORA-contactregister bevat
Een contactregister voor wettelijke en toezichthoudende meldingen moet zijn ontworpen voor gebruik tijdens een echt incident. Als de incidentleider binnen enkele minuten de eerste escalatiebeslissing moet nemen, mag het register geen vage lijst met websites zijn. Het moet gestructureerd en geverifieerd zijn en gekoppeld zijn aan het responsdraaiboek.
| Registerveld | Waarom dit bij een incident belangrijk is | Bewijswaarde |
|---|---|---|
| Type autoriteit of stakeholder | Onderscheidt CSIRT, bevoegde autoriteit, financiële toezichthouder, gegevensbeschermingsautoriteit, opsporingsinstantie, leverancier, klantgroep en interne rol | Toont aan dat belanghebbenden en meldkanalen zijn geïdentificeerd |
| Specifieke instantie- of entiteitsnaam | Identificeert de exacte toezichthouder, supervisor, aanbieder, klantgroep of interne functie | Verlaagt het risico op een verkeerde ontvanger of verkeerde jurisdictie |
| Jurisdictie en juridische entiteit | Voorkomt meldingen aan het verkeerde land of door de verkeerde entiteit bij grensoverschrijdende groepen | Ondersteunt scope, toepasselijkheid en mapping op regelgeving |
| Triggervoorwaarde | Koppelt het contact aan een significant NIS2-incident, majeur DORA ICT-gerelateerd incident, GDPR-inbreuk in verband met persoonsgegevens of contractuele kennisgeving | Toont gedocumenteerde beslislogica aan |
| Primair contactkanaal | Geeft portaal, e-mail, telefoon, beveiligde berichtenroute of supportkanaal met hoge prioriteit | Ondersteunt tijdige rapportage en escalatie |
| Back-upcontactkanaal | Biedt weerbaarheid wanneer het hoofdkanaal niet beschikbaar is | Toont continuïteit van communicatie aan |
| Bevoegde interne eigenaar | Definieert wie contact mag opnemen, informatie mag goedkeuren of meldingen mag indienen | Ondersteunt verantwoordingsplicht en functiescheiding |
| Vereist bewijsmateriaal vóór contact | Vermeldt feiten, ernstbeoordeling, getroffen diensten, IOC’s, klantimpact en status van juridische toetsing | Ondersteunt tijdige maar beheerste melding |
| Laatste validatiedatum en validator | Bevestigt periodieke beoordeling en vermindert het risico op verouderde contacten | Levert auditbewijsmateriaal voor onderhoud |
| Verwijzing naar test of oefening | Koppelt het contact aan tabletop-oefeningen, simulaties of gebruik bij een echt incident | Toont operationele doeltreffendheid aan |
| Bewaarlocatie | Verwijst naar ISMS, GRC-platform, ticketsysteem of repository voor bewijsmateriaal | Ondersteunt herhaalbaarheid en opvraagbaarheid bij audits |
Een volledig register moet ten minste zes contactfamilies bevatten.
Ten eerste officiële cyberbeveiligingsautoriteiten: nationale CSIRTs, bevoegde autoriteiten, single points of contact waar van toepassing en sectorale cyberbeveiligingsagentschappen.
Ten tweede financiële toezichthouders voor DORA: bevoegde autoriteiten en rapportagekanalen die worden gebruikt voor initiële, tussentijdse en definitieve rapportage van majeure ICT-gerelateerde incidenten.
Ten derde privacyautoriteiten: gegevensbeschermingsautoriteiten, logica voor de leidende toezichthoudende autoriteit bij grensoverschrijdende verwerking en escalatiepaden voor de FG.
Ten vierde opsporingsinstanties: cybercrime-eenheden, fraude-eenheden en noodcontacten voor afpersing, ransomware, ongeautoriseerde toegang en bewaring van bewijsmateriaal.
Ten vijfde leveranciers en ICT-derden: cloudproviders, managed security providers, managed service providers, identiteitsplatformen, betalingsverwerkers, aanbieders van digitaal forensisch onderzoek en juridisch adviseur.
Ten zesde interne escalatierollen: incidentleider, CISO, FG, juridisch adviseur, communicatieverantwoordelijke, continuïteitsverantwoordelijke, goedkeurend bestuurder, liaison met de raad van bestuur en service-eigenaar.
Het register moet ook speciale belangengroepen bevatten waar relevant, zoals ISACs of sectorale gemeenschappen voor informatiedeling. Dit zijn geen toezichthouders, maar zij kunnen belangrijke kanalen worden voor dreigingsinformatie en gecoördineerde respons.
De Zenith Blueprint maakt dit praktisch in stap 22:
Stel procedures op of werk deze bij voor contact met autoriteiten tijdens beveiligingsgebeurtenissen (5.5), inclusief contactgegevens voor lokale CERTs, toezichthouders en opsporingsinstanties. Houd een vergelijkbare contactlijst bij voor deelname aan beveiligingsfora of sectorspecifieke groepen (5.6). Bewaar deze informatie op een toegankelijke maar toegangsbeveiligde locatie en neem deze op in uw incidentresponsdraaiboek.
Die laatste zin is belangrijk. Als het register niet in het incidentresponsdraaiboek staat, is de kans klein dat het wordt gebruikt wanneer de druk echt is.
Voorbeeldstructuur van een contactregister voor een FinTech- of SaaS-aanbieder
Stel u een fintech-SaaS-aanbieder voor die betalingsanalyses voor EU-klanten ondersteunt. De aanbieder gebruikt een cloudprovider, een MDR-provider, een identiteitsplatform, een klantenserviceplatform en externe juridische adviseur. Afhankelijk van zijn rol kan hij een financiële entiteit, een ICT-dienstverlener van derde partijen, een digitale aanbieder binnen de reikwijdte van NIS2 of een verwerker van persoonsgegevens onder GDPR zijn.
Een praktisch register kan als volgt beginnen:
| Type autoriteit of entiteit | Specifieke instantie of naam | Contactpunt | Primaire methode | Back-upmethode | Trigger voor contact | Eigenaar |
|---|---|---|---|---|---|---|
| NIS2 CSIRT | Nationale CSIRT | Intake voor incidentrespons | Beveiligd portaal | Nood-e-mail | Significant cyberincident dat diensten raakt | CISO |
| DORA-toezichthouder | Nationale financiële autoriteit | Meldpunt voor ICT-incidenten | Portaal van toezichthouder | Aangewezen telefoonnummer | Majeur ICT-gerelateerd incident | Hoofd Compliance |
| GDPR-gegevensbeschermingsautoriteit | Gegevensbeschermingsautoriteit | Eenheid voor inbreukmeldingen | Webformulier | FG-liaison met autoriteit | Risicobeoordeling van een inbreuk in verband met persoonsgegevens geeft aan dat melding mogelijk vereist is | FG |
| Opsporingsinstantie | Nationale cybercrime-eenheid | Piketfunctionaris | Officiële meldlijn | Lokale liaisonfunctionaris | Vermoedelijke strafbare activiteit, afpersing of behoefte aan bewaring van bewijsmateriaal | Hoofd Juridische Zaken |
| Kritieke cloudprovider | Naam cloudprovider | Enterprise security support | Ticketportaal met hoge prioriteit | Technical account manager | Incident met impact op tenantomgeving, logboeken, indamming of herstel | Hoofd Cloud Ops |
| MDR-provider | Naam MDR-provider | SOC-escalatieverantwoordelijke | 24x7-escalatielijn | Escalatiecontact voor account | Bevestigde detectie met hoge ernst of vereiste forensische ondersteuning | Incidentleider |
| Interne bestuurder | CEO of gedelegeerd bestuurder | Bestuurlijke escalatie | Rechtstreeks mobiel nummer | Executive assistant | Elk incident dat externe melding of besluit over publieke impact vereist | CISO |
| Interne communicatie | Hoofd PR of communicatie | Crisiscommunicatieverantwoordelijke | Rechtstreeks mobiel nummer | Samenwerkingskanaal | Communicatie met klanten, media of markt kan vereist zijn | Juridisch adviseur |
De vermeldingen mogen geen onnodige persoonsgegevens bevatten. Gebruik waar mogelijk rolgebaseerde contacten, bescherm gevoelige contactgegevens en waarborg offline beschikbaarheid tijdens majeure uitval. Een register dat alleen toegankelijk is vanuit dezelfde systemen die door een ransomware-incident zijn geraakt, is niet weerbaar.
Mapping van het register op ISO/IEC 27001:2022-bewijsmateriaal
Auditors laten een organisatie zelden zakken omdat er geen spreadsheet is. Zij doen dat omdat de organisatie niet kan aantonen dat de spreadsheet volledig, actueel, goedgekeurd, beschermd, getest en verbonden is met daadwerkelijke processen.
ISO/IEC 27001:2022 begint met de context van de organisatie. Clausules 4.1 tot en met 4.4 vereisen dat de organisatie interne en externe kwesties begrijpt, belanghebbenden en hun eisen identificeert, de ISMS-scope definieert en interfaces en afhankelijkheden begrijpt. Een contactregister voor wettelijke en toezichthoudende meldingen is sterk bewijsmateriaal dat wettelijke, regelgevende, contractuele en stakeholdervereisten zijn vertaald naar operationele relaties.
Daarna volgt leiderschap. Clausules 5.1 tot en met 5.3 vereisen dat topmanagement leiderschap aantoont, verantwoordelijkheden toewijst, communicatie waarborgt en het ISMS ondersteunt. Als het register identificeert wie bevoegd is om een CSIRT, toezichthouder of gegevensbeschermingsautoriteit te informeren, wie externe communicatie goedkeurt en wie de incidentstatus aan topmanagement rapporteert, ondersteunt dit het bewijsmateriaal voor leiderschap.
Risicoplanning zet verplichtingen vervolgens om in actie. Clausules 6.1.1 tot en met 6.1.3 vereisen een risicobeoordelings- en risicobehandelingsproces, vergelijking met Annex A, een Verklaring van Toepasselijkheid, een risicobehandelingsplan en acceptatie van restrisico. Het register moet in het behandelplan voorkomen voor risico’s zoals het falen van juridische melding, vertraagde incidentescalatie, falende leveranciersrespons, fouten bij grensoverschrijdende meldingen en verstoring van communicatie rond bedrijfscontinuïteit.
De ankers in Annex A zijn duidelijk:
| ISO/IEC 27001:2022-beheersmaatregel | Naam van de beheersmaatregel | Relevantie van het register |
|---|---|---|
| A.5.5 | Contact met autoriteiten | Legt vooraf gedefinieerde autoriteitscontacten vast voor incidenten en regelgevende gebeurtenissen |
| A.5.6 | Contact met speciale belangengroepen | Ondersteunt sectorale informatiedeling en coördinatie van dreigingsinformatie |
| A.5.19 | Informatiebeveiliging in leveranciersrelaties | Koppelt leverancierscontacten aan beveiligingsverplichtingen en escalatieroutes |
| A.5.20 | Informatiebeveiliging opnemen in leveranciersovereenkomsten | Waarborgt dat meldings- en ondersteuningskanalen contractueel worden ondersteund |
| A.5.21 | Informatiebeveiliging beheren in de ICT-toeleveringsketen | Verbindt kritieke ICT-aanbieders met respons- en herstelworkflows |
| A.5.22 | Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten | Houdt leverancierscontacten actueel wanneer diensten of aanbieders wijzigen |
| A.5.23 | Informatiebeveiliging voor het gebruik van clouddiensten | Ondersteunt escalatie bij cloudincidenten, toegang tot bewijsmateriaal en herstel |
| A.5.24 | Planning en voorbereiding van informatiebeveiligingsincidentbeheer | Verankert het register in de planning voor incidentrespons |
| A.5.25 | Beoordeling van en besluitvorming over informatiebeveiligingsgebeurtenissen | Koppelt triggers aan beoordeling van meldplicht en besluitlogboeken |
| A.5.26 | Respons op informatiebeveiligingsincidenten | Ondersteunt externe coördinatie tijdens respons |
| A.5.27 | Leren van informatiebeveiligingsincidenten | Stuurt actualisaties van het register na incidenten en oefeningen |
| A.5.28 | Verzameling van bewijsmateriaal | Ondersteunt bewaarde meldingen, ontvangstbewijzen, gespreksnotities en feedback van toezichthouders |
| A.5.29 | Informatiebeveiliging tijdens verstoring | Waarborgt dat communicatiekanalen beschikbaar blijven tijdens verstoring |
| A.5.30 | ICT-gereedheid voor bedrijfscontinuïteit | Koppelt contactgovernance aan continuïteits- en herstelplannen |
| A.5.31 | Wettelijke, statutaire, regelgevende en contractuele vereisten | Koppelt contacten aan wettelijke en contractuele meldplichten |
| A.5.34 | Privacy en bescherming van PII | Waarborgt dat FG- en gegevensbeschermingsautoriteitspaden zijn geïntegreerd voor inbreuken in verband met persoonsgegevens |
| A.8.15 | Logging | Levert feiten en bewijsmateriaal die nodig zijn voor melding |
| A.8.16 | Monitoringactiviteiten | Maakt vroege detectie en tijdige escalatie naar meldingsworkflows mogelijk |
In Zenith Controls: de cross-compliancegids Zenith Controls wordt contact met autoriteiten behandeld als beheersmaatregel 5.5 met preventieve en corrigerende kenmerken. De maatregel ondersteunt vertrouwelijkheid, integriteit en beschikbaarheid en verbindt met de cyberbeveiligingsconcepten Identify, Protect, Respond en Recover. Zenith Controls koppelt de maatregel aan incidentplanning, gebeurtenisrapportage, dreigingsinformatie, speciale belangengroepen en incidentrespons. De gids legt ook uit waarom vooraf ingerichte contacten met toezichthouders, opsporingsinstanties, nationale CERTs of gegevensbeschermingsautoriteiten snellere escalatie en begeleiding mogelijk maken tijdens gebeurtenissen zoals significante inbreuken of ransomware-aanvallen.
De beheersmaatregel staat niet op zichzelf. Zenith Controls mapt ook beheersmaatregel 6.8, rapportage van informatiebeveiligingsgebeurtenissen, als detectieve beheersmaatregel die is verbonden met incidentplanning, gebeurtenisbeoordeling, respons, geleerde lessen, bewustwording, monitoring en disciplinaire processen. Beheersmaatregel 5.24, planning en voorbereiding van informatiebeveiligingsincidentbeheer, verbindt met gebeurtenisbeoordeling, geleerde lessen, logging, monitoring, beveiliging tijdens verstoring, continuïteit en contact met autoriteiten. Het auditverhaal wordt sterker wanneer gebeurtenissen worden gemeld, beoordeeld, geëscaleerd, gecommuniceerd, met bewijsmateriaal onderbouwd en verbeterd.
NIS2, DORA en GDPR: één register, verschillende wettelijke klokken
Eén incident kan meerdere juridische workflows activeren. Ongeautoriseerde toegang bij een SaaS-aanbieder kan een significant NIS2-incident, een GDPR-inbreuk in verband met persoonsgegevens en een contractuele kennisgeving aan klanten zijn. Uitval bij een financiële entiteit kan een majeur ICT-gerelateerd DORA-incident zijn en tegelijk GDPR-analyse en leverancierscoördinatie vereisen.
NIS2 vereist dat essentiële en belangrijke entiteiten hun CSIRT of bevoegde autoriteit zonder onnodige vertraging informeren over significante incidenten die de dienstverlening raken. Het gefaseerde rapportagemodel omvat een vroegtijdige waarschuwing zonder onnodige vertraging en binnen 24 uur na kennisneming, een incidentmelding zonder onnodige vertraging en binnen 72 uur, tussentijdse statusrapportages op verzoek en een eindrapport binnen één maand na de incidentmelding. Als het incident nog voortduurt, kan ook voortgangsrapportage vereist zijn.
DORA vereist dat financiële entiteiten een ICT-gerelateerd incidentbeheerproces onderhouden dat incidenten detecteert, beheert en meldt, incidenten en significante cyberdreigingen registreert, ernst en criticaliteit classificeert, rollen toewijst, escalatie en communicatie definieert, majeure incidenten aan het hoger management rapporteert en tijdig herstel ondersteunt. Rapportage van majeure ICT-gerelateerde incidenten volgt een initiële, tussentijdse en definitieve rapportagelogica, met classificatie op basis van factoren zoals getroffen cliënten, duur, geografische spreiding, gegevensverlies, criticaliteit van diensten en economische impact.
GDPR voegt de beoordeling van inbreuken in verband met persoonsgegevens toe. Een contactregister bepaalt niet zelfstandig of sprake is van een wettelijke meldplicht. Het zorgt ervoor dat de juiste personen snel kunnen beslissen, met actuele kanalen en gedocumenteerde criteria.
De beleidsbibliotheek van Clarysec maakt dit operationeel. In het mkb-Incidentresponsbeleid Incidentresponsbeleid - mkb bepaalt clausule 5.1.1:
De Algemeen directeur (GM) is verantwoordelijk voor het autoriseren van alle beslissingen over incidentescalatie, regelgevende meldingen en externe communicatie.
Hetzelfde mkb-beleid voegt in clausule 7.4.1 toe:
Wanneer klantgegevens betrokken zijn, moet de Algemeen directeur de juridische meldingsverplichtingen beoordelen op basis van de toepasselijkheid van GDPR, NIS2 of DORA.
Voor grote organisaties stelt het Incidentresponsbeleid Incidentresponsbeleid in clausule 5.5 het communicatiekader vast:
Alle incidentgerelateerde communicatie moet de communicatie- en escalatiematrix volgen, waarbij wordt gewaarborgd dat:
Clausule 6.4.2 voegt de bewijseis toe:
Alle meldingen van inbreuken moeten vóór indiening worden gedocumenteerd en goedgekeurd, en kopieën moeten in het ISMS worden bewaard.
Hier wordt het register ISO-bewijsmateriaal. Het gaat niet alleen om weten wie u moet bellen. Het gaat om aantonen wie bevoegd was, wat is beoordeeld, wat is goedgekeurd, wat is ingediend en waar de bewaarde kopie zich bevindt.
Het Clarysec-bewijsmodel: vier artefacten die samen werken
Een sterke capaciteit voor wettelijke en toezichthoudende meldcontacten vereist vier artefacten die als één bewijsketen samenwerken.
Het contactregister voor wettelijke en toezichthoudende meldingen identificeert contacten, kanalen, triggers en eigenaren. De communicatie- en escalatiematrix definieert wie wat doet. Het besluitlogboek registreert classificatie, beoordeling van meldplicht, juridische toetsing en goedkeuring. Het bewijspakket voor meldingen bewaart ingediende kennisgevingen, portaalontvangstbewijzen, e-mails, gespreksnotities, feedback van toezichthouders, leveranciersreacties en eindrapporten.
Het Beleid inzake juridische en regelgevende naleving van Clarysec Beleid inzake juridische en regelgevende naleving - mkb maakt het registerconcept expliciet. Clausule 5.5.2 bepaalt:
Belangrijke nalevingsvoorwaarden (bijv. meldtermijnen voor inbreuken en clausules inzake gegevensverwerking) moeten worden geëxtraheerd en gevolgd in het Nalevingsregister.
Het Nalevingsregister moet input leveren voor het contactregister voor wettelijke en toezichthoudende meldingen. De wettelijke eis kan bijvoorbeeld “NIS2-vroegtijdige waarschuwing binnen 24 uur” luiden, terwijl het contactregister het nationale CSIRT-portaal, het back-uppiketnummer, de bevoegde indiener, de juridisch beoordelaar, het vereiste bewijsmateriaal en het bewaarpad identificeert.
Beleid voor bedrijfscontinuïteit versterkt dezelfde verwachting. Het mkb-Beleid voor bedrijfscontinuïteit en herstel na verstoringen Beleid voor bedrijfscontinuïteit en herstel na verstoringen - mkb verwijst in clausule 5.2.1.1 naar:
contactlijsten en alternatieve communicatieplannen
Het Beleid voor bedrijfscontinuïteit en herstel na verstoringen voor grote organisaties Beleid voor bedrijfscontinuïteit en herstel na verstoringen vereist in clausule 5.3.3 dat continuïteitsregelingen worden:
Ondersteund door actuele contactlijsten en escalatiestromen
Leveranciersgovernance hoort ook in het model thuis. In het mkb-Beleid inzake beveiliging van derde partijen en leveranciers Beleid inzake beveiliging van derde partijen en leveranciers - mkb vereist clausule 5.4.3 een:
Aangewezen contactpersoon
Voor NIS2 en DORA mag dat contact niet generiek zijn. Als een kritieke cloudprovider, managed security service provider, identity provider of betalingsverwerker een gereguleerde dienst ondersteunt, moet het register het operationele contact, het contact voor beveiligingsincidenten, het contractuele kennisgevingskanaal en de escalatieroute voor verzoeken om bewijsmateriaal vastleggen.
Bouw het register in één werksessie
Een bruikbaar register kan snel worden opgebouwd als de juiste personen aan tafel zitten. Plan een sessie van twee uur met de CISO, FG, juridisch adviseur, leveranciersmanager, continuïteitsverantwoordelijke, incidentleider en compliance-eigenaar.
Start met het Nalevingsregister. Haal NIS2-, DORA-, GDPR-, contractuele en sectorale rapportageverplichtingen eruit. Leg termijnen, criteria voor meldplicht en bewijseisen vast.
Open het incidentresponsdraaiboek. Identificeer voor elke incidentcategorie, zoals ransomware, ongeautoriseerde toegang, dienstuitval, data-exfiltratie, leveranciersincident en uitval van een cloudregio, de benodigde externe contacten.
Vul het contactregister voor wettelijke en toezichthoudende meldingen met autoriteit, jurisdictie, trigger, primair kanaal, back-upkanaal, eigenaar, goedkeurder, benodigd bewijsmateriaal, laatste validatiedatum en bewaarlocatie.
Koppel leverancierscontacten. Identificeer voor elke kritieke of belangrijke functie het contact voor beveiligingsincidenten van de aanbieder, het contractuele kennisgevingskanaal, het auditcontact en het nood-escalatiepad.
Toets aan beleid. Bevestig dat de escalatiebevoegdheid overeenkomt met het Incidentresponsbeleid, dat meldingsbewijsmateriaal in het ISMS wordt bewaard, dat contactlijsten voor bedrijfscontinuïteit zijn afgestemd en dat leverancierscontacten aangewezen eigenaren hebben.
Test één scenario. Gebruik een gerichte tabletop-oefening: “Blootstelling van klantgegevens gedetecteerd om 02:17, met impact op EU-klanten en mogelijk veroorzaakt door gecompromitteerde referenties van een identity provider.” Vraag het team te bepalen of meldingen aan CSIRT, gegevensbeschermingsautoriteit, financiële toezichthouder, leverancier en klanten mogelijk vereist zijn. Het doel is niet om tijdens de oefening een definitieve juridische conclusie af te dwingen. Het doel is aan te tonen waar contacten te vinden zijn, wie contact goedkeurt, welk bewijsmateriaal nodig is en waar besluiten worden gelogd.
Maak het bewijspakket. Bewaar de registerversie, deelnemers aan de vergadering, goedkeuringen, scenarionotities, besluitlogboek, actiepunten en bijgewerkte verwijzing naar het draaiboek.
Hier wordt Zenith Blueprint stap 23 praktisch:
Zorg dat u beschikt over een actueel incidentresponsplan (5.24), dat voorbereiding, escalatie, respons en communicatie omvat. Definieer wat een meldingsplichtige beveiligingsgebeurtenis is (5.25) en hoe het besluitvormingsproces wordt geactiveerd en gedocumenteerd. Selecteer een recente gebeurtenis of voer een tabletop-oefening uit om uw plan te valideren.
De oefening hoeft niet uitgebreid te zijn. Zij moet gereedheid aantonen.
Cross-compliancemapping: één register, veel raamwerken
De waarde van een contactregister voor wettelijke en toezichthoudende meldingen is dat het dubbele compliance-inspanning vermindert. Eén auditklaar artefact kan governanceverwachtingen ondersteunen vanuit ISO/IEC 27001:2022, NIS2, DORA, GDPR, NIST CSF 2.0 en COBIT 2019.
| Raamwerk | Wat het register ondersteunt | Bewijsmateriaal dat auditors of beoordelaars verwachten |
|---|---|---|
| ISO/IEC 27001:2022 | Belanghebbenden, wettelijke vereisten, contact met autoriteiten, incidentbeheer, leveranciersgovernance, continuïteit en verzameling van bewijsmateriaal | Scope, Verklaring van Toepasselijkheid, register, goedkeuringen, beoordelingshistorie, tabletop-registraties en incidentlogboeken |
| NIS2 | Contact met CSIRT of bevoegde autoriteit, gefaseerde melding van significante incidenten, verantwoordingsplicht van management en coördinatie in de toeleveringsketen | Besluit over meldplicht, bewijsmateriaal van 24-uurs vroegtijdige waarschuwing, bewijsmateriaal van 72-uurs melding, eindrapport en toezicht door de raad van bestuur |
| DORA | Rapportage aan bevoegde autoriteit, incidentclassificatie, communicatie over majeure ICT-incidenten, ICT-coördinatie met derde partijen en crisiscommunicatie | Initiële, tussentijdse en definitieve rapportageregistraties, ernstclassificatie, leveranciersregister en registraties van continuïteitstesten |
| GDPR | Meldingsworkflow richting gegevensbeschermingsautoriteit, FG-escalatie, beoordeling van inbreuken in verband met persoonsgegevens en verantwoordingsplicht | Inbreukbeoordeling, analyse van rol als verwerkingsverantwoordelijke of verwerker, contact met gegevensbeschermingsautoriteit, ingediende meldingen en besluiten over communicatie met betrokkenen |
| NIST CSF 2.0 | GOVERN-uitkomsten voor stakeholders, verplichtingen, rollen, beleid, toezicht en risicobeheer in de toeleveringsketen | Current Profile, Target Profile, gap-analyse, POA&M, stakeholderkaart en bewijsmateriaal van leverancierscoördinatie |
| COBIT 2019 | Governance van stakeholderbehoeften, risico, naleving, incidentafhandeling en regelingen met derde partijen | RACI, bewijsmateriaal over procesprestaties, monitoring van beheersmaatregelen, assuranceregistraties en bewijsmateriaal van directiebeoordeling |
NIST CSF 2.0 is bijzonder nuttig als integratielaag. De GOVERN-functie verwacht dat organisaties stakeholders, wettelijke en regelgevende verplichtingen, kritieke diensten, afhankelijkheden, risicobereidheid, rollen, beleid, toezicht en leveranciersrisico begrijpen. De CSF Profiles helpen organisaties een Current Profile te documenteren, een Target Profile te definiëren, hiaten te analyseren en een geprioriteerd actieplan op te stellen. Een contactregister voor wettelijke en toezichthoudende meldingen kan concreet bewijsmateriaal zijn dat het gat tussen huidige en beoogde incidentgovernance sluit.
Voor de toeleveringsketen verwacht NIST CSF 2.0 dat leveranciers, klanten en partners gedefinieerde cyberbeveiligingsrollen en -verantwoordelijkheden hebben, dat leverancierscriticaliteit bekend is, dat cyberbeveiligingsvereisten in overeenkomsten zijn opgenomen, dat leveranciersrisico’s zijn beoordeeld en dat relevante leveranciers worden meegenomen in incidentplanning, respons en herstel. Dat sluit direct aan op DORA ICT-risico van derde partijen en NIS2-verwachtingen voor de toeleveringsketen.
Hoe auditors en toezichthouders hetzelfde register zullen testen
Een goed onderhouden register wordt verschillend onderzocht, afhankelijk van de invalshoek van de beoordelaar.
Een ISO/IEC 27001:2022-auditor begint met scope en belanghebbenden. Hij of zij vraagt hoe de organisatie toepasselijke autoriteiten, wettelijke verplichtingen, contractuele meldplichten en uitbestede afhankelijkheden heeft geïdentificeerd. Vervolgens volgt de auditor het register naar de Verklaring van Toepasselijkheid, het incidentresponsplan, het bedrijfscontinuïteitsplan en de bewaring van bewijsmateriaal. Mogelijk wordt één contact gesampled en wordt gevraagd om bewijs van de laatste validatie.
Een NIS2-beoordelaar richt zich op de vraag of de entiteit de juiste CSIRT of bevoegde autoriteit heeft geïdentificeerd en of drempels voor significante incidenten operationeel zijn gemaakt. De beoordelaar zoekt naar een proces dat een 24-uurs vroegtijdige waarschuwing, een 72-uurs melding en eindrapportage kan ondersteunen. Ook kijkt hij of zij naar toezicht door het bestuursorgaan, omdat NIS2 Article 20 cyberbeveiligingsgovernance tot een leiderschapsverantwoordelijkheid maakt.
Een DORA-toezichthouder of intern auditteam toetst of het register incidentbeheer, classificatie, rapportage van majeure ICT-gerelateerde incidenten, crisiscommunicatie, rapportage aan hoger management, leverancierscoördinatie en operationeel herstel ondersteunt. Zij kunnen vragen of contacten bestaan voor ICT-dienstverleners van derde partijen die kritieke of belangrijke functies ondersteunen en of communicatieverplichtingen in contracten zijn opgenomen.
Een GDPR-auditor of FG-beoordeling richt zich op de beoordeling van inbreuken in verband met persoonsgegevens. Zij vragen of de FG en privacyjuridische contacten vroeg worden betrokken, of rollen van verwerkingsverantwoordelijke en verwerker duidelijk zijn, of de juiste toezichthoudende autoriteit is geïdentificeerd en of besluiten over communicatie met betrokkenen zijn vastgelegd.
Een NIST CSF-beoordelaar behandelt het register als bewijsmateriaal voor GOVERN-uitkomsten: verwachtingen van stakeholders, wettelijke verplichtingen, rollen, beleid, toezicht en risico in de toeleveringsketen. Een COBIT 2019- of ISACA-achtige auditor onderzoekt of stakeholderbehoeften zijn vertaald naar governance- en managementpraktijken, of verantwoordelijkheden zijn toegewezen en of procesprestaties worden gemonitord.
Hetzelfde artefact moet al deze vragen doorstaan. Daarom moet het register beheerst, toegewezen, beoordeeld, toegangsbeveiligd en getest zijn.
Veelvoorkomende faalpatronen in contactgovernance
Organisaties falen zelden omdat zij helemaal geen contacten hebben. Zij falen omdat de contacten tijdens een echt incident niet betrouwbaar zijn.
| Faalpatroon | Waarom dit risico creëert | Praktische oplossing |
|---|---|---|
| Contact met toezichthouder is alleen een openbare homepage | Teams verliezen tijd met het vinden van de daadwerkelijke meldroute | Valideer portaal, e-mail, telefoon en back-upkanalen |
| FG heeft geen plaatsvervanger | Privacybesluiten buiten kantooruren stagneren | Wijs back-upprivacycontacten toe en train ze |
| Leverancierscontacten zitten verborgen in contracten | Incidentteams kunnen niet snel escaleren | Haal beveiligings-, contractuele en supportcontacten uit contracten en zet ze in het register |
| BCDR-lijst en IR-matrix spreken elkaar tegen | Teams volgen conflicterende escalatiepaden | Stem beide registraties af via één eigenaar en beoordelingscyclus |
| Er bestaat geen laatste-beoordelingsdatum | Auditors kunnen onderhoud niet verifiëren | Voeg validatiedatums, validators en goedkeuringsbewijsmateriaal toe |
| Opsporingsinstanties ontbreken | Respons op ransomware of afpersing mist ondersteuning voor bewijsmateriaal | Voeg contacten voor cybercrime en bewijsmateriaalbewaring toe |
| NIS2- en DORA-termijnen zijn niet geïntegreerd | Alleen op GDPR gerichte workflows missen sectorverplichtingen | Koppel triggers aan NIS2, DORA, GDPR en contracten |
| Register is alleen online beschikbaar in getroffen systemen | Uitval of ransomware blokkeert toegang | Onderhoud beschermde offline en alternatieve toegangsroutes |
| Meldingen worden niet bewaard | Naleving kan niet aantonen wat is ingediend | Bewaar kennisgevingen, ontvangstbewijzen, goedkeuringen en correspondentie in het ISMS |
| Tabletop-oefeningen slaan melding over | Het proces blijft theoretisch | Test het opzoeken van contacten, goedkeuring, indiening en bewaring van bewijsmateriaal |
Elk punt leidt tot een voorspelbare auditbevinding. De remediatie is even voorspelbaar: stem het register af op beleid, integreer het in incidentrespons, valideer contacten, test de workflow en bewaar bewijsmateriaal.
Verantwoordingsplicht van raad van bestuur en management
NIS2 vereist dat bestuursorganen cyberbeveiligingsrisicobeheersmaatregelen goedkeuren, toezicht houden op de implementatie en training volgen. DORA Article 5 maakt het bestuursorgaan verantwoordelijk voor het definiëren, goedkeuren, overzien en dragen van verantwoordelijkheid voor ICT-risicoregelingen, inclusief beleid, rollen, ICT-bedrijfscontinuïteit, respons- en herstelplannen, ICT-beleid voor derde partijen, bewustwording en training. ISO/IEC 27001:2022 vereist dat leiderschap het ISMS afstemt op de strategische richting, middelen beschikbaar stelt, verantwoordelijkheden toewijst en voortdurende verbetering ondersteunt.
De raad van bestuur hoeft het telefoonnummer van de CSIRT niet uit het hoofd te kennen. De raad moet wel assurance hebben dat meldingsgereedheid bestaat, is toegewezen, wordt getest en wordt beoordeeld.
Een kwartaalpakket voor management moet het volgende bevatten:
- Beoordelingsstatus van het contactregister voor wettelijke en toezichthoudende meldingen
- Wijzigingen in toepasselijke autoriteiten, toezichthouders of jurisdicties
- Openstaande hiaten in leverancierscontacten voor incidenten
- Uitkomsten van tabletop-oefeningen en geleerde lessen
- Bewijsmateriaal van testen van de goedkeuringsworkflow voor meldingen
- Metrieken over tijd van detectie tot escalatiebesluit
- Updates van NIS2-, DORA-, GDPR- en contractuele rapportageverplichtingen
- Restrisico’s waarvoor managementacceptatie vereist is
Dit verschuift het register van een operationele spreadsheet naar een governancebeheersmaatregel.
Hoe Clarysec u helpt auditklare contactgovernance op te bouwen
Clarysec verbindt beleidstekst, implementatievolgorde en cross-frameworkmapping van beheersmaatregelen tot één bewijspad.
De beleidsbibliotheek definieert verantwoordingsplicht en vereiste registraties. Het Incidentresponsbeleid stelt verwachtingen vast voor escalatie, goedkeuring van meldingen en bewaring. Het Beleid inzake juridische en regelgevende naleving vereist dat nalevingsvoorwaarden, zoals meldtermijnen bij inbreuken, worden gevolgd. Het Beleid voor bedrijfscontinuïteit en herstel na verstoringen vereist actuele contactlijsten en alternatieve communicatieplannen. Het Beleid inzake beveiliging van derde partijen en leveranciers vereist aangewezen leverancierscontacten.
De Zenith Blueprint geeft de implementatievolgorde. Stap 5 in de fase ISMS Foundation & Leadership behandelt communicatie, bewustwording en competentie, inclusief externe stakeholders, timing, communicatierollen en communicatieplannen. Stap 22 bouwt autoriteitscontacten en contacten met speciale belangengroepen in organisatorische beheersmaatregelen in. Stap 23 valideert incidentbeheer, besluiten over meldingsplichtige gebeurtenissen, bewaring van forensisch bewijsmateriaal en geleerde lessen.
De gids Zenith Controls geeft het cross-compliancekompas. De gids laat zien hoe contact met autoriteiten samenhangt met incidentplanning, gebeurtenisrapportage, dreigingsinformatie, speciale belangengroepen en incidentrespons. De gids laat ook zien waarom rapportage van informatiebeveiligingsgebeurtenissen en voorbereiding op incidenten noodzakelijke metgezellen zijn. Een contactregister is alleen doeltreffend als gebeurtenissen vroeg genoeg worden gemeld en beoordeeld om het register te activeren.
Voor het mkb betekent dit een slank maar verdedigbaar register, duidelijke verantwoordingsplicht en bewijsmateriaal dat past bij proportionaliteit. Voor grote organisaties betekent dit integratie over jurisdicties, juridische entiteiten, bedrijfseenheden, leveranciers, toezichthouders, supervisors, CSIRTs en rapportage aan de raad van bestuur.
Volgende stappen: bouw het register voordat de klok start
Als uw organisatie zich voorbereidt op NIS2, DORA, gereedheid voor GDPR-inbreukmelding of ISO/IEC 27001:2022-certificering, wacht dan niet op een live incident om te ontdekken of uw contactgovernance werkt.
Start deze week met vier acties:
- Maak of actualiseer uw contactregister voor wettelijke en toezichthoudende meldingen voor CSIRTs, bevoegde autoriteiten, financiële toezichthouders, gegevensbeschermingsautoriteiten, opsporingsinstanties, kritieke leveranciers en interne escalatierollen.
- Koppel elk contact aan een trigger, eigenaar, goedkeuringspad, bewijseis en bewaarlocatie.
- Voer één tabletop-oefening uit die is gericht op meldingsbesluiten, contact met autoriteiten, leverancierscoördinatie en bewaring van bewijsmateriaal.
- Werk ISMS-registraties bij, inclusief het Nalevingsregister, het incidentresponsdraaiboek, contactlijsten voor bedrijfscontinuïteit en leverancierscontactregistraties.
Clarysec kan u helpen dit snel te implementeren met de Zenith Blueprint Zenith Blueprint, Zenith Controls Zenith Controls en onze beleidsbibliotheken voor mkb en grote organisaties, waaronder het Incidentresponsbeleid Incidentresponsbeleid, Beleid inzake juridische en regelgevende naleving Beleid inzake juridische en regelgevende naleving - mkb, Beleid voor bedrijfscontinuïteit en herstel na verstoringen Beleid voor bedrijfscontinuïteit en herstel na verstoringen en Beleid inzake beveiliging van derde partijen en leveranciers Beleid inzake beveiliging van derde partijen en leveranciers - mkb.
De 24-uursklok pauzeert niet terwijl uw team naar het juiste contact zoekt. Bouw het register nu, test het en maak het onderdeel van uw ISO-bewijsmateriaal voordat het volgende incident de tijdlijn voor u bepaalt.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
