Governance voor beveiligde toegang op afstand en VPN voor NIS2 en DORA
Om 07:42 op maandagochtend ontvangt Maria, de CISO van een snelgroeiende fintech-SaaS-aanbieder, nog vóór haar koffie drie berichten.
Het eerste komt van het SOC: een VPN-account van een supportengineer is geauthenticeerd vanuit een land waar het bedrijf geen medewerkers heeft. Het tweede komt van Sales: een klant in de financiële dienstverlening wil bewijsmateriaal dat alle geprivilegieerde toegang op afstand wordt beschermd met MFA, wordt gelogd, gesegmenteerd en beoordeeld binnen DORA-afgestemde ICT-risicobeheersmaatregelen. Het derde komt van Juridische Zaken: dezelfde gebeurtenis kan betrekking hebben op toegang tot persoonsgegevens, dus de functionaris voor gegevensbescherming (DPO) wil weten of het bewijsmateriaal voor GDPR Article 32 volledig genoeg is om passende technische en organisatorische maatregelen aan te tonen.
Er is nog niets geëxplodeerd. Geen ransomwarebericht. Geen bevestigde exfiltratie. Geen klantuitval.
Maar Maria kent de ongemakkelijke waarheid. Als governance voor toegang op afstand zwak is, wordt elk gesprek over naleving defensief. Een VPN-aanmelding wordt een NIS2-vraag over cyberhygiëne. Een account van een contractant wordt een DORA-vraag over ICT-risico’s van derde partijen. Een remote-desktopsessie naar een klantomgeving wordt een GDPR-vraag over beveiliging van de verwerking. Een ontbrekend logboek wordt een auditbevinding.
Het externe auditrapport dat al op haar bureau ligt, maakt de situatie erger. De auditors vonden geen geavanceerde zero-day-aanval. Ze vonden gedeelde accounts van contractanten, inconsistente multifactorauthenticatie, legacy-VPN-groepen, onbeheerde uitzonderingen en gigabytes aan logboeken die te veel ruis bevatten om onderzoek te ondersteunen. Technische schuld was omgeslagen in blootstelling aan regelgeving.
In 2026 is governance voor beveiligde toegang op afstand en VPN geen beperkt onderwerp van netwerkbeveiliging. Het is een beheersingssysteem op bestuursniveau dat identiteit, endpointbeveiliging, leverancierstoegang, kwetsbaarhedenbeheer, logging, incidentrespons, privacyverantwoordingsplicht en operationele weerbaarheid met elkaar verbindt.
Het probleem rond toegang op afstand is veranderd
Enkele jaren geleden betekende governance voor toegang op afstand vaak één eenvoudig antwoord: “we hebben een VPN.” Dat antwoord doorstaat geen serieuze toetsing meer.
Een moderne omgeving voor toegang op afstand kan bestaan uit bedrijfs-VPN-concentrators, Zero Trust Network Access-gateways, jump hosts voor beheer van geprivilegieerde toegang, bastionhosts voor cloudbeheer, infrastructuur voor remote desktops, onderhoudstunnels van leveranciers, toegang voor managed service providers, noodaccounts voor break-glass, SaaS-beheerportalen, ontwikkelaarstoegang tot productie, mobiele apparaten, thuisnetwerken, openbare wifi en BYOD-uitzonderingen.
Elk pad kan een bewijsstuk voor regelgeving worden.
NIS2 Article 21 verwacht passende en evenredige technische, operationele en organisatorische maatregelen. Daaronder vallen risicoanalyse en informatiebeveiligingsbeleid voor informatiesystemen, incidentafhandeling, bedrijfscontinuïteit, beveiliging van de toeleveringsketen, veilige verwerving en onderhoud, omgang met kwetsbaarheden, beleid om de doeltreffendheid van cyberbeveiliging te beoordelen, cyberhygiëne, cybersecuritytraining, cryptografie en encryptie waar relevant, HR-beveiliging, toegangscontrolebeleid, beheer van bedrijfsmiddelen, multifactorauthenticatie of continue authenticatie waar passend, beveiligde communicatie en beveiligde noodcommunicatie.
DORA vereist dat financiële entiteiten gedocumenteerde ICT-risicobeheerkaders, ICT-incidentprocessen, testen van digitale operationele weerbaarheid en governance van ICT-risico’s van derde partijen onderhouden. DORA Article 5 legt de verantwoordelijkheid bij het bestuursorgaan om ICT-risicobeheer te definiëren, goed te keuren, te overzien en daarvoor verantwoordelijk te blijven. Article 28 vereist dat ICT-risico’s van derde partijen als integraal onderdeel van dat kader worden beheerd.
GDPR Article 32 vereist passende technische en organisatorische maatregelen voor beveiliging van de verwerking, waaronder vertrouwelijkheid, integriteit, beschikbaarheid, weerbaarheid, herstelcapaciteit, testen en het vermogen om aan te tonen dat persoonsgegevens worden beschermd tegen ongeautoriseerde toegang, verlies, wijziging of openbaarmaking.
Het probleem van de CISO is niet of de VPN werkt. De echte vraag is of de organisatie kan aantonen dat toegang op afstand wordt beheerst, op risico is beoordeeld, goedgekeurd, gehard, bewaakt, beoordeeld, getest en geïntegreerd in incidentrespons.
Daar wordt ISO/IEC 27001:2022 nuttig. De norm behandelt VPN niet als een losstaand apparaat. Zij plaatst toegang op afstand binnen het ISMS: toepassingsgebied, belanghebbenden, risicobeoordeling, selectie van beheersmaatregelen, operationele planning, leveranciersmanagement, interne audit, directiebeoordeling en voortdurende verbetering.
Begin met het ISMS-toepassingsgebied, niet met de firewallregel
Wanneer Clarysec governance voor toegang op afstand beoordeelt, beginnen we niet met de vraag om een screenshot van de VPN-configuratie. We beginnen met de ISMS-grens.
ISO/IEC 27001:2022 vereist dat de organisatie haar context, belanghebbenden, eisen en ISMS-toepassingsgebied definieert, inclusief interfaces en afhankelijkheden met andere organisaties. Voor toegang op afstand moet het toepassingsgebied expliciet de personen, systemen, leveranciers en netwerkdiensten omvatten die werken op afstand mogelijk maken.
Een SaaS- of financiëletechnologieorganisatie moet het volgende identificeren:
- Medewerkers die productiesystemen op afstand benaderen
- Contractanten en ontwikkelaars met rechten voor beheer op afstand
- MSP’s, MSSP’s en andere leveranciers met operationele toegang
- Medewerkers van klantenondersteuning die tenantgegevens benaderen
- Gebruikers bij Finance, HR en Juridische Zaken die persoonsgegevens op afstand benaderen
- Cloudconsoles en API’s voor beheer op afstand
- VPN-, ZTNA-, identityprovider- en endpointmanagementplatformen
- Logboeken, SIEM-integraties en opslaglocaties voor bewaring
- Uitzonderingen voor toegang op afstand en noodprocedures voor toegang
- Door leveranciers beheerde edge-apparaten en tools voor ondersteuning op afstand
Dit is meer dan documentatiehygiëne. Het NIS2-toepassingsgebied kan cloudproviders, datacenters, MSP’s, MSSP’s, aanbieders van elektronischecommunicatiediensten, digitale-infrastructuuraanbieders en aanbieders van ICT-servicemanagement omvatten, afhankelijk van omvang, sector en aanwijzing. DORA is van toepassing op financiële entiteiten en functioneert voor die entiteiten als het sectorspecifieke regime voor ICT-risico’s. GDPR kan van toepassing zijn op organisaties binnen en buiten de EU wanneer de verwerking betrekking heeft op personen in de EU, vestigingen in de EU, diensten die worden aangeboden aan personen in de Unie of monitoring van gedrag.
Als uw ISMS-toepassingsgebied toegang op afstand door derden, beheer op afstand, VPN-infrastructuur of door leveranciers beheerde connectiviteit negeert, kan uw set beheersmaatregelen al onvolledig zijn voordat de auditor begint met steekproeven.
Bouw een gelaagde set beheersmaatregelen voor toegang op afstand
Een sterk programma voor toegang op afstand moet worden opgebouwd als een gelaagde set beheersmaatregelen, niet als één enkel beleid. In implementatiewerk van Clarysec omvatten de kernbeheersmaatregelen uit ISO/IEC 27002:2022 doorgaans:
- 6.7 Werken op afstand
- 5.15 Toegangscontrole
- 5.16 Identiteitsbeheer
- 5.17 Authenticatie-informatie
- 5.18 Toegangsrechten
- 8.5 Beveiligde authenticatie
- 8.1 Gebruikersendpointapparaten
- 8.8 Beheer van technische kwetsbaarheden
- 8.9 Configuratiebeheer
- 8.15 Logging
- 8.16 Monitoringactiviteiten
- 8.20 Netwerkbeveiliging
- 8.22 Scheiding van netwerken
- 5.19 Informatiebeveiliging in leveranciersrelaties
- 5.20 Informatiebeveiliging behandelen binnen leveranciersovereenkomsten
- 5.21 Informatiebeveiliging beheren in de ICT-toeleveringsketen
- 5.22 Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten
- 5.23 Informatiebeveiliging voor het gebruik van cloudservices
- 5.24 Planning en voorbereiding van beheer van informatiebeveiligingsincidenten
- 5.26 Respons op informatiebeveiligingsincidenten
- 5.28 Verzameling van bewijsmateriaal
- 5.30 ICT-gereedheid voor bedrijfscontinuïteit
Zenith Controls: The Cross-Compliance Guide brengt Werken op afstand 6.7 in kaart als een preventieve beheersmaatregel ter ondersteuning van vertrouwelijkheid, integriteit en beschikbaarheid, met operationele koppelingen naar beheer van bedrijfsmiddelen, informatiebescherming, fysieke beveiliging en systeem- en netwerkbeveiliging. De gids koppelt Werken op afstand ook aan Beveiliging van bedrijfsmiddelen buiten de bedrijfslocatie 7.9, Gebruikersendpointapparaten 8.1, Informatiebeveiligingsbewustzijn, opleiding en training 6.3, Informatieoverdracht 5.14, Netwerkbeveiliging 8.20, Scheiding van netwerken 8.22, Opgeruimde werkplek en afgeschermd scherm 7.7, en ICT-gereedheid voor bedrijfscontinuïteit 5.30.
Die samenhang doet ertoe. Een VPN-eis zonder endpointmanagement beschermt niet tegen een gestolen laptop. MFA zonder logging ondersteunt geen onderzoek. Leverancierstoegang zonder segmentatie vergroot de blast radius. Werken op afstand zonder incidentmelding vertraagt indamming.
| Risico bij toegang op afstand | Focus van ISO/IEC 27002:2022-beheersmaatregelen | Bewijsmateriaal dat auditors verwachten |
|---|---|---|
| Gestolen inloggegevens worden via VPN gebruikt | 8.5 Beveiligde authenticatie, 5.15 Toegangscontrole, 5.17 Authenticatie-informatie | MFA-configuratie, regels voor voorwaardelijke toegang, waarschuwingen bij mislukte aanmeldingen, authenticatielogboeken |
| Voormalige contractant behoudt toegang | 5.18 Toegangsrechten, 5.16 Identiteitsbeheer, leveranciersbeheersmaatregelen 5.19 tot en met 5.23 | Registraties van instromers, doorstromers en uitstromers, tickets voor offboarding van leveranciers, bewijsmateriaal van toegangsrechtenbeoordelingen |
| Gecompromitteerde laptop maakt op afstand verbinding | 8.1 Gebruikersendpointapparaten, 6.7 Werken op afstand, 8.8 Beheer van technische kwetsbaarheden | MDM-compliance, EDR-status, bewijsmateriaal van encryptie, patchrapportages |
| VPN-edge-apparaat is niet gepatcht | 8.8 Beheer van technische kwetsbaarheden, 8.9 Configuratiebeheer, 8.20 Netwerkbeveiliging | Assetregistratie, scanresultaten, patch-SLA, goedkeuring van uitzondering |
| Leverancier gebruikt gedeeld account voor toegang op afstand | 5.15 Toegangscontrole, 5.16 Identiteitsbeheer, 8.5 Beveiligde authenticatie | Unieke gebruikers-ID’s, persoonlijke leveranciersaccounts op naam, MFA-logboeken, contractuele eisen |
| Verdachte sessie op afstand kan niet worden gereconstrueerd | 8.15 Logging, 8.16 Monitoringactiviteiten, 5.24 Planning en voorbereiding van beheer van informatiebeveiligingsincidenten | VPN-logboeken, bron-IP’s, sessieduur, SIEM-waarschuwingen, incidenttijdlijn |
De gelaagde set beheersmaatregelen verandert het gesprek. In plaats van te discussiëren of “VPN voldoet”, creëert de organisatie een traceerbaar model: risico bij toegang op afstand, ISO-beheersmaatregel, beleidseis, technische implementatie, eigenaar van bewijsmateriaal en beoordelingsritme.
Zet beleidsintentie om in auditbewijsmateriaal
Auditors accepteren zelden “we gebruiken meestal MFA” als bewijsmateriaal. Zij zoeken formeel goedgekeurde eisen, geïmplementeerde beheersmaatregelen en registraties die de werking aantonen.
De beleidstoolkit van Clarysec geeft teams precieze formuleringen die zij kunnen overnemen en op maat maken. Het Network Security Policy - SME bepaalt in clausule 5.5.1:
“VPN-toegang moet multifactorauthenticatie (MFA) vereisen en worden beperkt tot aangewezen personeel”
Hetzelfde SME-beleid zet logging om in een bewaarplicht in clausule 6.3.3:
“Toegang via VPN moet worden gelogd, waarbij sessieduur en bron-IP-adressen minimaal 6 maanden worden bewaard”
Voor gedrag bij werken op afstand bepaalt het Remote Work Policy - SME in clausule 5.2.3:
“Openbare wifi mag alleen worden gebruikt wanneer een beveiligde tunnel (VPN) actief is.”
Voor enterprise-omgevingen is het Remote Work Policy nog directer. Clausule 5.2.1.1 vereist dat medewerkers:
“Door het bedrijf goedgekeurde VPN of remote-desktopinfrastructuur gebruiken”
Clausule 5.2.1.2 vereist dat organisaties:
“Multifactorauthenticatie (MFA) vereisen voor alle aanmeldpogingen”
Het Network Security Policy stemt de technische baseline af met clausule 6.3.1:
“Alle toegang op afstand moet versleuteld zijn, bijvoorbeeld via IPsec of SSL VPN, en multifactorauthenticatie (MFA) vereisen.”
Het Access Control Policy bepaalt in clausule 5.6.1:
“Toegangsgebeurtenissen moeten worden gelogd en bewaard overeenkomstig het Logging and Monitoring Policy.”
Voor leveranciers vereist het Third party and supplier security policy in clausule 6.3.2:
“Alle toegang door derden moet worden gelogd en gemonitord en, waar haalbaar, worden gesegmenteerd via bastionhosts, VPN’s of Zero Trust-gateways.”
Het Vulnerability and Patch Management Policy - SME bepaalt in clausule 6.5.1:
“Systemen die persoonsgegevens verwerken, toegang op afstand bieden of extern bereikbaar zijn, moeten prioriteit krijgen voor scanning en updates”
Deze clausules worden krachtig wanneer zij worden gekoppeld aan operationeel bewijsmateriaal. Het beleid zegt dat MFA vereist is. De identityprovider bewijst de afdwinging. Het VPN-logboek bewijst het gebruik. De SIEM-waarschuwing bewijst monitoring. De toegangsrechtenbeoordeling bewijst de blijvende zakelijke noodzaak. Het kwetsbaarheidsrapport bewijst dat de dienst voor toegang op afstand prioriteit krijgt. Het incidentdraaiboek bewijst paraatheid voor respons.
Dat is het verschil tussen een beleid hebben en een beheersmaatregel laten werken.
De vijf vragen die iedere CISO moet beantwoorden
Het governancemodel van Clarysec voor toegang op afstand is opgebouwd rond vijf vragen die werken voor ISO 27001-audits, NIS2-gereedheid, DORA-beoordelingen van ICT-risico’s en bewijspakketten voor GDPR Article 32.
1. Wie mag op afstand verbinding maken?
Toegang op afstand moet worden beperkt tot geautoriseerde gebruikers, rollen en leveranciers. ISO/IEC 27002:2022 Toegangscontrole 5.15, Identiteitsbeheer 5.16 en Toegangsrechten 5.18 vormen de governancebasis.
Zenith Controls brengt Toegangscontrole 5.15 in kaart als preventieve beheersmaatregel gericht op identiteits- en toegangsbeheer. De beheersmaatregel wordt gekoppeld aan Identiteitsbeheer, Toegangsrechten, Authenticatie-informatie, Gebruikersendpointapparaten, Beveiligde authenticatie en naleving van beleid. In de praktijk is toegangsbeleid alleen geloofwaardig als identiteiten uniek, levenscyclusbeheerd, geauthenticeerd en beoordeeld zijn.
Een goede registratie voor toegang op afstand moet antwoord geven op:
- Welke persoon of leverancier heeft toegang?
- Welke systemen kan deze bereiken?
- Welke rol of welk contract rechtvaardigt de toegang?
- Wie heeft dit goedgekeurd?
- Wordt MFA afgedwongen?
- Wanneer is de toegang voor het laatst beoordeeld?
- Wanneer verloopt tijdelijke toegang?
- Welke logbron bewijst het gebruik?
Dit ondersteunt ook de PR.AA-uitkomsten van het NIST Cybersecurity Framework 2.0 voor identiteitsbeheer, authenticatie, autorisatie, het principe van minimale privileges en functiescheiding.
2. Welke apparaat- en netwerkstatus is vereist?
Toegang op afstand moet afhangen van vertrouwen in het apparaat, niet alleen van gebruikersinloggegevens. Een geldig wachtwoord en MFA-goedkeuring vanaf een onbeheerd, geïnfecteerd of ongepatcht apparaat blijft een hoog risico.
Zenith Blueprint: An Auditor’s 30-Step Roadmap legt dit uit in de fase Beheersmaatregelen in actie, stap 16, Personele maatregelen II:
“Medewerkers die op afstand werken moeten uitsluitend door het bedrijf goedgekeurde apparaten gebruiken die door IT zijn geconfigureerd met volledige schijfversleuteling, actieve endpointbescherming, automatische patching en afgedwongen timers voor schermvergrendeling.”
Dezelfde stap benadrukt dat toegang op afstand via bedrijfs-VPN moet verlopen, bij voorkeur beschermd met MFA, en dat BYOD moet worden verboden of alleen onder strikte voorwaarden mag worden toegestaan, zoals MDM-inschrijving, containerisatie en wissen op afstand.
Hier komen Gebruikersendpointapparaten 8.1, Werken op afstand 6.7, Beheer van technische kwetsbaarheden 8.8, Configuratiebeheer 8.9 en Netwerkbeveiliging 8.20 samen.
Voor GDPR Article 32 is apparaatstatus relevant omdat externe endpoints onderdeel zijn van de technische en organisatorische maatregelen die persoonsgegevens beschermen. Voor DORA ondersteunt apparaatstatus ICT-risicobeheer en operationele weerbaarheid. Voor NIS2 ondersteunt dit cyberhygiëne, toegangscontrole, beheer van bedrijfsmiddelen en omgang met kwetsbaarheden.
3. Hoe wordt de sessie beschermd?
Een beveiligde sessie voor toegang op afstand moet gebruikmaken van versleuteld transport, sterke authenticatie, segmentatie en gecontroleerde beheerpaden.
Zenith Blueprint, fase Risicobeheer, stap 14, Risicobehandelingsbeleid en kruisverwijzingen naar regelgeving, geeft de verwachting voor toegang op afstand:
“Alle toegang op afstand tot interne systemen moet gebruikmaken van beveiligde VPN of een gelijkwaardige versleutelde verbinding. Multifactorauthenticatie (MFA) is vereist voor aanmelding op afstand bij bedrijfsnetwerken.”
Stap 20, Beheersmaatregelen 8.18 tot en met 8.26, instrueert organisaties om de beveiliging van netwerkdiensten te valideren door alle interne en externe netwerkdiensten zoals DNS, VPN, SMTP, DHCP en API-gateways te inventariseren, veilige protocollen te bevestigen, toegangscontroles te beoordelen en beveiligingsclausules voor derden te controleren wanneer diensten extern worden beheerd.
Een VPN is niet alleen een apparaat. Het is een netwerkdienst met protocolkeuzes, toegangsbeperkingen, certificaten, firewallpaden, afhankelijkheden van derden, patchverplichtingen en logboeken.
4. Hoe wordt toegang gemonitord en onderzocht?
Governance voor toegang op afstand moet logging en monitoring omvatten. NIS2 Article 23 stelt gefaseerde rapportageverwachtingen voor significante incidenten, waaronder een vroegtijdige waarschuwing binnen 24 uur, een incidentmelding binnen 72 uur en een eindrapport binnen één maand. DORA vereist dat financiële entiteiten grote ICT-gerelateerde incidenten detecteren, beheren, classificeren, escaleren en melden, inclusief oorzaakanalyse en communicatie wanneer de financiële belangen van cliënten worden geraakt. GDPR-analyse van inbreuken hangt af van inzicht in de vraag of persoonsgegevens zijn benaderd, gewijzigd, openbaar gemaakt, verloren gegaan of anderszins gecompromitteerd.
Zonder logboeken van toegang op afstand kan de organisatie de eerste vraag van de toezichthouder niet met vertrouwen beantwoorden: wat is er gebeurd?
Sterke logging moet gebruikersidentiteit, authenticatieresultaat, bron-IP, geolocatie waar passend, apparaatidentiteit, doeldienst, geprivilegieerde handeling, sessieduur, mislukte pogingen, beheerswijzigingen en correlatie met endpoint- en identiteitsgebeurtenissen vastleggen.
5. Hoe worden uitzonderingen en kwetsbaarheden afgehandeld?
Infrastructuur voor toegang op afstand heeft hoge waarde. VPN-gateways, ZTNA-appliances, identityproviders, bastionhosts en remote-desktopdiensten moeten behoren tot de strakst beheerde bedrijfsmiddelen binnen het kwetsbaarhedenprogramma.
Een volwassen uitzonderingsproces moet asset-eigenaar, getroffen dienst voor toegang op afstand, ernst van de kwetsbaarheid, exploiteerbaarheid, gegevensblootstelling, tijdelijke compenserende beheersmaatregelen, goedkeuring door de risico-eigenaar, vervaldatum, bewijsmateriaal van hertesten en een koppeling naar het risicoregister en het risicobehandelingsplan omvatten.
Voor ISO/IEC 27001:2022 ondersteunt dit risicobehandeling, operationele beheersing en voortdurende verbetering. Voor DORA ondersteunt het ICT-risicobeheer, testen en remediatie. Voor NIS2 ondersteunt het omgang met kwetsbaarheden en corrigerende maatregelen zonder onnodige vertraging. Voor GDPR helpt het aan te tonen dat beveiliging van de verwerking risicogebaseerd was en niet ad hoc.
Leverancierstoegang op afstand is de verborgen auditvalkuil
Veel fouten bij toegang op afstand zijn geen fouten van medewerkers. Het zijn fouten in leveranciersgovernance.
Een MSP heeft een oud VPN-account. Een softwareleverancier gebruikt een gedeelde inlogreferentie. Een supportpartner maakt via remote desktop verbinding om een probleem met klantimpact op te lossen. Een cloudprovider beheert de gateway voor toegang op afstand. Een contractant behoudt toegang na projectafsluiting.
DORA is hier bijzonder strikt. Article 28 vereist dat financiële entiteiten ICT-risico’s van derde partijen beheren als onderdeel van het ICT-risicobeheerkader en volledig verantwoordelijk blijven, ook wanneer ICT-diensten worden uitbesteed. De verordening verwacht registers van ICT-contractuele regelingen, due diligence, informatiebeveiligingsstandaarden, audit- en inspectierechten, beëindigingsrechten, analyse van concentratierisico en exitstrategieën voor kritieke of belangrijke functies. Article 30 specificeert contractuele bepalingen zoals gegevensbescherming, serviceniveaus, locaties van verwerking, toegang tot en herstel van gegevens, ondersteuning tijdens incidenten, samenwerking met autoriteiten, beveiligingsmaatregelen, auditrechten en exitondersteuning.
NIS2 Article 21 omvat ook beveiliging van de toeleveringsketen en relaties met leveranciers en dienstverleners, met aandacht voor leveranciersspecifieke kwetsbaarheden en cyberbeveiligingspraktijken van leveranciers.
NIST CSF 2.0 GV.SC biedt een praktisch operationeel model: strategie voor risico’s in de toeleveringsketen, rollen, criticaliteit van leveranciers, contractuele eisen, due diligence, monitoring, deelname aan incidenten en activiteiten na beëindiging van de relatie.
Voor klanten van Clarysec is de praktische regel eenvoudig: toegang op afstand door derden moet worden behandeld als geprivilegieerde toegang, tenzij het tegendeel is aangetoond. Deze toegang moet op naam staan, goedgekeurd, tijdgebonden, beschermd met MFA, gelogd, gemonitord en gesegmenteerd zijn.
Cross-compliance mapping: één beheersingssysteem, veel verplichtingen
Governance voor toegang op afstand is een van de sterkste voorbeelden van cross-compliance. Hetzelfde bewijsmateriaal kan aan meerdere verplichtingen voldoen als het goed is ontworpen.
| Drijfveer voor naleving | Verwachting voor toegang op afstand | Te onderhouden bewijsmateriaal |
|---|---|---|
| ISO/IEC 27001:2022 | Risicogebaseerde selectie van beheersmaatregelen, toegangsgovernance, leveranciersbeheersing, operationeel bewijsmateriaal en voortdurende verbetering | Risicobeoordeling, Verklaring van Toepasselijkheid, beleidsdocumenten, toegangsrechtenbeoordelingen, logboeken, bevindingen van interne audit |
| NIS2 | Cyberhygiëne, toegangscontrole, beheer van bedrijfsmiddelen, MFA waar passend, incidentafhandeling, bedrijfscontinuïteit en beveiliging van de toeleveringsketen | MFA-registraties, training in cyberhygiëne, beheersmaatregelen voor leverancierstoegang, incidentrapportages, corrigerende maatregelen |
| DORA | ICT-risicogovernance, sterke authenticatie, incidentlevenscyclus, weerbaarheidstesten, ICT-risico van derde partijen en verantwoordingsplicht van het bestuursorgaan | ICT-risicoregister, testen van toegang op afstand, incidentclassificaties, leveranciersregisters, exitplannen, auditrechten |
| GDPR Article 32 | Passende beveiliging van de verwerking, vertrouwelijkheid, integriteit, beschikbaarheid, weerbaarheid, testen en verantwoordingsplicht | Toegangslogboeken, bewijsmateriaal van encryptie, afdwinging van MFA, registraties van inbreukbeoordelingen, testresultaten |
| NIST CSF 2.0 | Uitkomsten voor Govern, Identify, Protect, Detect, Respond en Recover | Huidige en doelprofielen, inventaris van bedrijfsmiddelen, PR.AA-identiteitsbeheersmaatregelen, DE.CM-monitoring, RS.AN-analyse |
| COBIT 2019 en ISACA-assurance | Governancedoelstellingen, managementpraktijken, ontwerp van beheersmaatregelen en operationele doeltreffendheid | RACI, proceseigenaarschap, prestatiemetrieken van beheersmaatregelen, audittrail, opvolging van remediatie |
Een gedetailleerdere ISO-controlcrosswalk laat zien waarom governance voor toegang op afstand zoveel nalevingswaarde heeft.
| ISO/IEC 27002:2022-beheersmaatregel | Afstemming op NIS2 | Afstemming op DORA | Bewijsmateriaal voor GDPR Article 32 |
|---|---|---|---|
| 6.7 Werken op afstand | Ondersteunt Article 21 inzake cyberhygiëne, toegangscontrole en veilige werkpraktijken | Ondersteunt ICT-beleid en procedures voor werken op afstand en operationele weerbaarheid | Toont organisatorische maatregelen aan voor medewerkers die persoonsgegevens buiten kantoor verwerken |
| 8.5 Beveiligde authenticatie | Ondersteunt Article 21(2)(j) inzake multifactorauthenticatie of continue authenticatie waar passend | Ondersteunt verwachtingen voor sterke authenticatie onder ICT-beschermings- en preventiemaatregelen | Toont een technische maatregel aan om ongeautoriseerde toegang tot persoonsgegevens te beperken |
| 8.20 Netwerkbeveiliging | Ondersteunt beveiligde communicatie, encryptie en bescherming van netwerkdiensten | Ondersteunt bescherming tegen binnendringing, misbruik en ongeautoriseerde ICT-toegang | Toont bescherming van gegevens tijdens transport en gecontroleerde netwerkpaden aan |
| 8.22 Scheiding van netwerken | Ondersteunt beperking van impact en afdwinging van toegangsgrenzen | Ondersteunt weerbaarheid en indamming voor kritieke of belangrijke functies | Vermindert blootstelling van persoonsgegevens door bereikbare systemen te beperken |
| Leveranciersbeheersmaatregelen 5.19 tot en met 5.23 | Ondersteunt Article 21(2)(d) inzake beveiliging van de toeleveringsketen | Ondersteunt Articles 28 en 30 inzake ICT-risico’s van derde partijen en contractuele governance | Ondersteunt verantwoordingsplicht van verwerkers en leveranciers voor beveiligde toegang |
| 8.15 Logging en 8.16 Monitoringactiviteiten | Ondersteunt incidentafhandeling en beoordeling van doeltreffendheid | Ondersteunt detectie, classificatie, escalatie en rapportage van ICT-incidenten | Ondersteunt beoordeling van inbreuken en forensisch bewijsmateriaal |
| 8.8 Beheer van technische kwetsbaarheden | Ondersteunt veilig onderhoud en omgang met kwetsbaarheden | Ondersteunt ICT-risicoreductie, testen en remediatie | Toont risicogebaseerde bescherming aan van systemen die persoonsgegevens verwerken |
NIS2 introduceert ook expliciete bestuurlijke verantwoordingsplicht. Article 20 vereist dat bestuursorganen van essentiële en belangrijke entiteiten cyberbeveiligingsrisicobeheersmaatregelen goedkeuren, toezicht houden op de implementatie en training volgen. DORA Article 5 vereist eveneens dat het bestuursorgaan van financiële entiteiten ICT-risicobeheerregelingen definieert, goedkeurt, overziet en ervoor verantwoordelijk blijft.
Het bestuur hoeft niet elke firewallregel goed te keuren. Maar het moet de risicopositie voor toegang op afstand goedkeuren: MFA verplicht, leverancierstoegang gelogd, geprivilegieerde toegang gesegmenteerd, infrastructuur voor toegang op afstand gepatcht binnen gedefinieerde termijnen, uitzonderingen tijdgebonden en cyberincidenten geëscaleerd via afgesproken kanalen.
Een bewijssprint van 90 minuten voor toegang op afstand
Een praktische manier om hiaten bloot te leggen is het bouwen van een klein bewijspakket rond één toegangspad. Kies één voorbeeld, zoals “VPN-toegang voor productiesupportengineers”, en voer vervolgens de volgende sprint uit.
| Minuut | Activiteit | Output |
|---|---|---|
| 0 tot 10 | Definieer het toegangspad | Eén zin die beschrijft wie verbinding maakt, vanaf waar, waarmee en waarom |
| 10 tot 25 | Breng toepasselijke beleidsdocumenten in kaart | Clausules uit Remote Work Policy, Network Security Policy, Access Control Policy en Supplier Security Policy indien relevant |
| 25 tot 40 | Leg technische afdwinging vast | Screenshots of exports die MFA, encryptie, groepslidmaatschap en voorwaardelijke toegang bewijzen |
| 40 tot 55 | Leg logboeken vast | Recente geslaagde aanmelding, mislukte aanmelding, bron-IP, sessieduur en voorbeeld van SIEM-waarschuwing |
| 55 tot 70 | Beoordeel kwetsbaarheden en apparaatstatus | Patchstatus van het VPN-asset, rapport over endpointcompliance en openstaande uitzonderingen |
| 70 tot 80 | Controleer bewijsmateriaal van toegangsrechtenbeoordelingen | Laatste toegangsrechtenbeoordeling, verwijderde gebruikers, goedgekeurde uitzonderingen en goedkeuring door eigenaar |
| 80 tot 90 | Maak auditnarratief | Uitleg van één pagina waarin risico, beheersmaatregel, beleid, implementatie en bewijsmateriaal worden gekoppeld |
Het doel is geen papierwerk. Het doel is beleid aan bewijs koppelen. Als het bewijspakket niet kan worden voltooid voor één toegangspad, heeft de organisatie een echt governancehiaat gevonden voordat de auditor of toezichthouder het vindt.
Deze oefening past ook bij de profielmethode van NIST CSF 2.0: definieer de reikwijdte van het profiel, verzamel beleid en eisen, documenteer huidige en beoogde uitkomsten, analyseer hiaten, maak een geprioriteerd actieplan en implementeer verbeteringen.
Hoe auditors toegang op afstand zullen toetsen
Een audit van toegang op afstand kan anders aanvoelen afhankelijk van de achtergrond van de auditor. Zenith Controls helpt organisaties zich voor te bereiden omdat het relaties tussen ISO/IEC 27002:2022-beheersmaatregelen in cross-complianceperspectief plaatst in plaats van in één checklist.
| Auditorperspectief | Waarschijnlijke vraag | Sterk antwoord |
|---|---|---|
| ISO 27001 | Waarom hebt u deze beheersmaatregelen voor toegang op afstand geselecteerd? | Risicobeoordeling, onderbouwing in de SoA, behandelplan en beleidsmapping |
| NIST CSF 2.0 | Wat is uw huidige en beoogde situatie? | Profiel, hiaatanalyse, geprioriteerd actieplan en geïmplementeerde verbeteringen |
| COBIT 2019 | Wie is verantwoordelijk voor governance van toegang op afstand? | RACI, proceseigenaar, directiebeoordeling en metrieken van beheersmaatregelen |
| DORA | Hoe beheert u ICT-toegang op afstand door derde partijen? | Leveranciersregister, due diligence, contractuele clausules, auditrechten en exitplan |
| GDPR | Kunt u aantonen dat toegang tot persoonsgegevens werd beheerst? | MFA, principe van minimale privileges, logboeken, toegangsrechtenbeoordelingen en registraties van inbreukbeoordelingen |
Een organisatie die gereed is voor audits, zoekt niet op het laatste moment naar screenshots. Zij onderhoudt een levend systeem van bewijsmateriaal.
Veelvoorkomende bevindingen in 2026
In assessments ziet Clarysec telkens dezelfde problemen rond toegang op afstand terug:
- MFA is ingeschakeld voor medewerkers, maar niet voor leveranciers, noodaccounts of legacy-VPN-profielen
- Logboeken van toegang op afstand bestaan, maar worden niet lang genoeg bewaard, niet gecentraliseerd of niet aan identiteiten gekoppeld
- Endpointcompliance wordt los van VPN-toegang beheerd, waardoor onbeheerde apparaten nog steeds verbinding kunnen maken
- Toegangsrechtenbeoordelingen richten zich op bedrijfsapplicaties, maar negeren VPN-groepen, bastionrechten en cloudbeheerdersrollen
- Infrastructuur voor toegang op afstand ontbreekt op de prioriteitenlijst voor kwetsbaarheden
- Leverancierstoegang wordt informeel goedgekeurd en is niet in contracten vastgelegd
- Uitzonderingen hebben geen vervaldatum, compenserende beheersmaatregel of goedkeuring door de risico-eigenaar
- Break-glass-accounts worden niet getest, gemonitord of beoordeeld
- Geprivilegieerde sessies zijn niet gesegmenteerd van algemeen verkeer voor toegang op afstand
- Draaiboeken voor incidentrespons bevatten geen verzameling van bewijsmateriaal over toegang op afstand
Deze bevindingen zijn te voorkomen. Ze ontstaan meestal door versnipperd eigenaarschap. Netwerkteams beheren VPN. IAM beheert MFA. IT beheert apparaten. Inkoop beheert leverancierscontracten. Juridische Zaken beheert verwerkingsvoorwaarden. Het SOC beheert waarschuwingen. Compliance beheert auditbewijsmateriaal.
Het ISMS moet ze verbinden.
Het operationele doelmodel voor beveiligde toegang op afstand
Een volwassen governancemodel voor beveiligde toegang op afstand en VPN moet de volgende operationele praktijken omvatten:
- Onderhoud een inventaris van alle methoden voor toegang op afstand, waaronder VPN, ZTNA, RDP, bastionhosts, SaaS-beheerportalen en leverancierstunnels
- Vereis MFA voor alle toegang op afstand, inclusief leveranciers, beheerders en noodaccounts
- Dwing apparaatcompliance af vóór toegang waar dit technisch haalbaar is
- Gebruik segmentatie, bastionhosts of Zero Trust-gateways voor geprivilegieerde toegang en toegang door derden
- Log bron-IP, gebruikersidentiteit, authenticatieresultaat, doelsysteem en sessieduur
- Bewaar logboeken overeenkomstig beleid, regelgeving en onderzoeksbehoeften
- Geef systemen voor toegang op afstand prioriteit bij kwetsbaarheidsscans en patching
- Beoordeel toegangsrechten periodiek en bij rolwijziging, beëindiging of wijziging van een leverancierscontract
- Maak noodtoegang, tijdelijke toegang en leverancierstoegang tijdgebonden
- Neem toegang op afstand op in incidentrespons, inbreukbeoordeling en crisisoefeningen
- Test de weerbaarheid van toegang op afstand en back-uptoegangsroutes waar dit voor continuïteit vereist is
- Integreer leverancierstoegang op afstand in contracten, due diligence, monitoring en exitplanning
- Rapporteer risicometrieken voor toegang op afstand aan het management
Voor Maria wordt dit een praktisch actieplan. In de eerste twee weken gebruikt zij Zenith Blueprint om governancedocumenten bij te werken, beleid af te stemmen op NIS2- en DORA-verplichtingen en goedkeuring van het management te verkrijgen. In de daaropvolgende maand dwingen haar IT- en beveiligingsteams MFA af voor alle profielen voor toegang op afstand, segmenteren zij toegang voor contractanten, tunen zij logging en geven zij VPN- en ZTNA-systemen prioriteit voor herstel van kwetsbaarheden. Doorlopend voert zij kwartaalgewijze toegangsrechtenbeoordelingen uit, test zij het verzamelen van incidentbewijsmateriaal en rapporteert zij risicometrieken aan het bestuur.
Het resultaat is niet alleen een schonere VPN-configuratie. Het is een beheersingssysteem voor toegang op afstand dat audits kan doorstaan, incidentrespons ondersteunt en reëel operationeel risico verlaagt.
Bouw uw bewijspakket voor toegang op afstand vóór het volgende incident
De VPN-waarschuwing op maandagochtend hoeft geen crisis te worden. Maar zij moet wel een governancetest worden.
Kunt u de gebruiker identificeren? Kunt u MFA aantonen? Kunt u de apparaatstatus bevestigen? Kunt u de sessie reconstrueren? Kunt u bepalen of persoonsgegevens toegankelijk waren? Kunt u laten zien dat het account was goedgekeurd en beoordeeld? Kunt u bewijzen dat het VPN-apparaat was gepatcht? Kunt u aantonen dat leverancierstoegang wordt gelogd en gesegmenteerd? Kan het management het risico zien?
Als het antwoord “nog niet” is, kan Clarysec helpen.
Begin met Zenith Blueprint: An Auditor’s 30-Step Roadmap om uw implementatieroadmap voor ISO/IEC 27001:2022 te structureren, in het bijzonder stap 14 voor risicobehandelingsbeleid, stap 16 voor beheersmaatregelen voor werken op afstand, stap 19 voor beveiligde authenticatie en stap 20 voor beveiliging van netwerkdiensten. Gebruik Zenith Controls: The Cross-Compliance Guide om Werken op afstand, Toegangscontrole, Beveiligde authenticatie, leveranciersbeheersmaatregelen, logging en netwerkbeveiliging te koppelen aan gerelateerde ISO/IEC 27002:2022-beheersmaatregelen en cross-compliancebewijsmateriaal.
Operationaliseer de eisen vervolgens met Clarysec-beleidsdocumenten zoals het Remote Work Policy, Network Security Policy, Access Control Policy, Third party and supplier security policy, en SME-ready equivalenten.
Uw volgende audit mag niet de eerste keer zijn dat uw bewijsmateriaal voor toegang op afstand wordt samengesteld. Bouw het nu, test het nu en maak governance voor beveiligde toegang op afstand tot een van de sterkste onderdelen van uw nalevingsprogramma. Neem contact op met Clarysec voor een assessment van governance voor toegang op afstand, download de beleidssjablonen of boek een demo om te zien hoe uw huidige beheersmaatregelen worden gemapt op ISO 27001, NIS2, DORA en GDPR Article 32.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
