Zero Trust Architecture 2026: auditklaar bewijs

De Zero Trust-audit op maandagochtend die niemand had gepland
Om 08:12 op een maandag ontvangt de CISO van een Europese SaaS-fintech binnen vijf minuten drie berichten.
Het eerste komt van een bancaire klant: “Kunt u ons uw bewijspakket voor Zero Trust Architecture aanleveren voor onze jaarlijkse ICT-beoordeling van derde partijen?”
Het tweede komt van Juridische Zaken: “We kunnen in één lidstaat mogelijk als belangrijke entiteit onder NIS2 worden aangemerkt, en sommige klanten vragen of DORA via contractuele verplichtingen op ons doorwerkt als ICT-dienstverlener.”
Het derde komt van het hoofd engineering: “We hebben MFA, SSO, EDR, Kubernetes-netwerkbeleid en SIEM-alerts. Is dat Zero Trust?”
Dit is waar veel organisaties vastlopen. Ze hebben beveiligingstools, maar geen operationeel Zero Trust-model voor compliance. Ze kunnen verwijzen naar MFA-screenshots, maar niet uitleggen hoe identiteit, apparaatstatus, het principe van minimale privileges, segmentatie, monitoring, incidentmelding, privacywaarborgen en leveranciersafhankelijkheden samenhangen. Ze kunnen beheersmaatregelen tonen, maar geen traceerbaarheid.
In 2026 moet Zero Trust Architecture op basis van NIST SP 800-207 meer zijn dan “never trust, always verify”. Voor CISO’s, complianceverantwoordelijken, auditors en proceseigenaren is de praktische vraag scherper:
Hoe zetten we Zero Trust om in bewijs dat voldoet aan ISO/IEC 27001:2022, de cyberhygiëneverwachtingen van NIS2, ICT-risicobeheer onder DORA, GDPR Article 32 beveiliging van de verwerking, due diligence door klanten en toezicht door het bestuur?
Het antwoord is niet nog een tool. Het is een risicogebaseerd bewijsmodel dat beleid, beheersmaatregelen, technische implementatie, monitoring en verantwoordingsplicht van het management met elkaar verbindt.
Zero Trust in 2026: van beveiligingsstrategie naar compliancebewijs
NIST SP 800-207 definieert Zero Trust als een reeks principes voor het ontwerpen en beheren van beveiligde systemen waarin vertrouwen nooit impliciet wordt toegekend. Toegang wordt verleend op basis van identiteit, context, beleid, status van bedrijfsmiddelen en continue beoordeling.
De zeven NIST Zero Trust-principes zijn bijzonder bruikbaar omdat ze een vage beveiligingsslogan omzetten in iets dat kan worden gemapt, getest en geaudit:
- Alle gegevensbronnen en computingdiensten worden beschouwd als resources.
- Alle communicatie wordt beveiligd, ongeacht de netwerklocatie.
- Toegang tot afzonderlijke enterprise-resources wordt per sessie verleend.
- Toegang tot resources wordt bepaald door dynamisch beleid, inclusief kenmerken van identiteit, apparaat, applicatie en gedrag.
- De onderneming monitort en meet de integriteit en de risicopositie op het gebied van informatiebeveiliging van alle eigen en gekoppelde bedrijfsmiddelen.
- Alle authenticatie en autorisatie voor resources zijn dynamisch en worden strikt afgedwongen voordat toegang wordt toegestaan.
- De onderneming verzamelt informatie over bedrijfsmiddelen, infrastructuur en communicatie en gebruikt die informatie om de risicopositie op het gebied van informatiebeveiliging te verbeteren.
Voor een moderne SaaS-aanbieder, digitale bank, managed service provider of cloud-native platform vertalen deze principes zich naar praktische beheersingsdomeinen:
- Identiteit wordt geverifieerd en beheerst.
- Apparaten worden beoordeeld voordat toegang wordt verleend.
- Geprivilegieerde toegang wordt geminimaliseerd en beoordeeld.
- Netwerkpaden worden gesegmenteerd en gecontroleerd.
- Applicaties, API’s en gegevensopslagplaatsen dwingen autorisatie af.
- Logboeken en telemetrie ondersteunen continue monitoring.
- Incidenten activeren indamming, melding en herstel.
- Bewijs toont aan dat de beheersmaatregelen werken en niet alleen ontworpen zijn.
Dat laatste punt is waar compliance begint.
ISO/IEC 27001:2022 vereist dat organisaties context, belanghebbenden, toepasselijke wettelijke en contractuele eisen, scope, interfaces en afhankelijkheden definiëren. De norm vereist ook risicobeoordeling, risicobehandeling, een Verklaring van Toepasselijkheid, verantwoordingsplicht van het leiderschap, interne audit, directiebeoordeling en voortdurende verbetering.
Zero Trust past vanzelf in die structuur wanneer het wordt behandeld als onderdeel van het beheersingssysteem. Het hoort niet buiten het ISMS te staan als een engineeringinitiatief. Het moet onderdeel zijn van risicobeoordeling, selectie van beheersmaatregelen, beleidsgovernance, leveranciersmanagement, privacybescherming, incidentrespons en rapportage aan het bestuur.
De regelgevingsdruk achter Zero Trust-bewijs
De druk om Zero Trust-bewijs te leveren komt meestal voort uit overlappende verplichtingen, niet uit één enkele norm.
NIS2 kan van toepassing zijn op publieke of private entiteiten in sectoren uit Bijlage I of Bijlage II die voldoen aan omvang- en activiteitsdrempels, en kan ook van toepassing zijn op bepaalde kleinere maar kritieke entiteiten. Bijlage I omvat aanbieders van cloudcomputingdiensten, datacenterdiensten, content delivery network-diensten, vertrouwensdienstverleners, managed service providers, managed security service providers, banken en entiteiten voor financiële marktinfrastructuur. Bijlage II omvat digitale aanbieders zoals online marktplaatsen, zoekmachines en sociale netwerkplatforms.
NIS2 Article 20 maakt cyberbeveiliging tot een verantwoordelijkheid van het bestuursorgaan. Het bestuur moet maatregelen voor cyberbeveiligingsrisicobeheer goedkeuren, toezicht houden op de implementatie en cyberbeveiligingstraining ontvangen. Article 21 vereist passende en evenredige technische, operationele en organisatorische maatregelen voor risicoanalyse, incidentenafhandeling, bedrijfscontinuïteit, beveiliging van de toeleveringsketen, veilige ontwikkeling, behandeling van kwetsbaarheden, doeltreffendheidsbeoordeling, cyberhygiëne, training, cryptografie, HR-beveiliging, toegangscontrole, beheer van bedrijfsmiddelen en, waar passend, MFA of continue authenticatie. Article 23 introduceert gefaseerde melding van significante incidenten, inclusief een vroegtijdige waarschuwing binnen 24 uur, kennisgeving binnen 72 uur en eindrapportage.
DORA is van toepassing vanaf 17 januari 2025 en creëert een uniform regime voor digitale operationele weerbaarheid voor financiële entiteiten. Het omvat ICT-risicobeheer, melding van majeure ICT-gerelateerde incidenten, testen van operationele weerbaarheid, het delen van dreigingsinformatie en ICT-risico’s van derde partijen. DORA Articles 5 en 6 vereisen governance en een gedocumenteerd ICT-risicobeheerkader. Article 9 behandelt bescherming en preventie, inclusief beleid, procedures, protocollen en tools om ICT-systemen te beschermen. Article 17 vereist een proces voor het beheer van ICT-gerelateerde incidenten.
GDPR is van toepassing op verwerking in het kader van een vestiging in de EU en ook op verwerkingsverantwoordelijken of verwerkers buiten de EU die goederen of diensten aanbieden aan personen in de EU of hun gedrag monitoren. GDPR Article 5 vereist verantwoordingsplicht. Article 32 vereist passende technische en organisatorische maatregelen om een beveiligingsniveau te waarborgen dat passend is voor het risico. Article 33 vereist melding van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit zonder onredelijke vertraging en, waar mogelijk, binnen 72 uur nadat men kennis heeft gekregen van de inbreuk.
Een Zero Trust-bewijsmodel helpt omdat dezelfde beheersmaatregel meerdere raamwerken kan ondersteunen. MFA kan bijdragen aan ISO/IEC 27001:2022-toegangscontrole, NIS2-authenticatiemaatregelen, DORA-beschermingseisen en GDPR-beveiliging van de verwerking. Maar alleen als de organisatie scope, eigenaarschap, implementatie, monitoring en beoordeling kan aantonen.
NIST Zero Trust-principes koppelen aan ISO/IEC 27001:2022-beheersmaatregelen
De beheersmaatregelen in ISO/IEC 27001:2022 Annex A, ondersteund door implementatierichtlijnen in ISO/IEC 27002:2022, bieden de audittaal die de meeste organisaties nodig hebben. De onderstaande tabel vertaalt NIST Zero Trust-principes naar ISO-beheersingsgebieden die auditors herkennen.
| NIST SP 800-207 Zero Trust-principe | Kernprincipe van Zero Trust | Relevante ISO/IEC 27001:2022 Annex A-beheersmaatregelen |
|---|---|---|
| Alle gegevensbronnen en computingdiensten zijn resources | Identificatie van bedrijfsmiddelen en gegevens | A.5.9 Inventaris van informatie en andere gerelateerde bedrijfsmiddelen, A.5.10 Aanvaardbaar gebruik van informatie en andere gerelateerde bedrijfsmiddelen, A.5.12 Classificatie van informatie |
| Alle communicatie wordt beveiligd, ongeacht de netwerklocatie | Beveiligde communicatie en versleutelde kanalen | A.8.20 Netwerkbeveiliging, A.8.22 Segregatie van netwerken, A.8.24 Gebruik van cryptografie |
| Toegang wordt per sessie verleend | Sessiegebonden authenticatie en autorisatie | A.5.17 Authenticatie-informatie, A.8.5 Beveiligde authenticatie |
| Toegang wordt bepaald door dynamisch beleid | Contextbewuste toegang en toegang volgens het principe van minimale privileges | A.5.15 Toegangscontrole, A.5.18 Toegangsrechten, A.8.3 Beperking van toegang tot informatie |
| Assetintegriteit en risicopositie op het gebied van informatiebeveiliging worden gemonitord | Verificatie van endpoint- en workloadstatus | A.8.1 Gebruikersendpointapparaten, A.8.8 Beheer van technische kwetsbaarheden |
| Authenticatie en autorisatie zijn dynamisch en worden strikt afgedwongen | Identiteitslevenscyclus en beheer van geprivilegieerde toegang | A.5.16 Identiteitsbeheer, A.8.2 Geprivilegieerde toegangsrechten, A.8.5 Beveiligde authenticatie |
| Informatie wordt verzameld om de risicopositie op het gebied van informatiebeveiliging te verbeteren | Continue monitoring, logging en verbetering | A.8.15 Logging, A.8.16 Monitoringactiviteiten, A.8.23 Webfiltering |
Deze mapping is niet alleen een technische ontwerpoefening. Zij vormt de structuur voor het risicoregister, de Verklaring van Toepasselijkheid, het bewijspakket en de agenda voor de directiebeoordeling.
Een risicoscenario zoals “gecompromitteerd ontwikkelaarsaccount wijzigt productiecode en krijgt toegang tot klantgegevens” moet bijvoorbeeld worden gekoppeld aan identiteitsbeheer, MFA, geprivilegieerde toegang, netwerksegmentatie, logging, monitoring, veilige ontwikkeling, wijzigingsbeheer en incidentrespons. Dat ene scenario kan ISO/IEC 27001:2022, NIS2 Article 21, DORA ICT-risicobeheer en GDPR Article 32 ondersteunen.
De Clarysec Zero Trust-beheersingsstack
Clarysec bouwt Zero Trust rond vijf bewijsgebieden: identiteit, apparaat, netwerk, applicatie en gegevens, met monitoring en governance over alle vijf heen.
De basis bestaat uit toegangscontrole en identiteitsbeheer. In Zenith Controls: de gids voor raamwerkoverstijgende compliance wordt ISO/IEC 27002:2022 beheersmaatregel 5.15, Toegangscontrole, geclassificeerd als een preventieve beheersmaatregel die vertrouwelijkheid, integriteit en beschikbaarheid ondersteunt, afgestemd op de NIST CSF-functie Protect en de capability Identiteits- en toegangsbeheer. Beheersmaatregel 5.16, Identiteitsbeheer, is eveneens preventief en gekoppeld aan dezelfde BIV-eigenschappen en IAM-capability. Beheersmaatregel 8.16, Monitoringactiviteiten, wordt geclassificeerd als detectief en corrigerend en ondersteunt Detect en Respond via beheer van informatiebeveiligingsgebeurtenissen.
Die combinatie is belangrijk. Zero Trust is niet alleen toegangscontrole. Het is toegangscontrole plus identiteitslevenscyclus plus apparaatstatus plus netwerksegmentatie plus monitoring plus respons.
Clarysec-beleidsclausules zetten dat model om in afdwingbare governance.
Uit het Enterprise-beleid inzake toegangscontrole, sectie Doelstellingen, clausule 3.4:
Zero Trust-principes ondersteunen door toegang standaard te weigeren, tenzij deze expliciet is goedgekeurd en gerechtvaardigd.
Uit het Enterprise-beleid inzake beheer van gebruikersaccounts en privileges, sectie Vereisten voor beleidsimplementatie, clausule 6.2.1:
Aan alle gebruikers moet het minimale toegangsniveau worden toegekend dat nodig is om hun functietaken uit te voeren.
Uit het Enterprise-beleid inzake netwerkbeveiliging, sectie Governancevereisten, clausule 5.2:
Al het verkeer tussen zones moet worden gecontroleerd door firewalls of softwaregedefinieerde perimeteroplossingen, met expliciete configuraties waarbij verkeer standaard wordt geweigerd.
Uit het Enterprise-beleid voor logging en monitoring, sectie Doelstellingen, clausule 3.4:
Centrale logging- en waarschuwingssystemen instellen, zoals SIEM, om verdachte activiteiten vrijwel realtime te aggregeren, te correleren en te escaleren.
Uit het Enterprise-informatiebeveiligingsbeleid, sectie Vereisten voor beleidsimplementatie, clausule 6.6.1:
Alle geïmplementeerde beheersmaatregelen moeten auditeerbaar zijn, worden ondersteund door gedocumenteerde procedures en voorzien zijn van bewaard bewijs van werking.
Voor het mkb kan dezelfde governance-intentie worden geïmplementeerd met lichtere beleidsdocumentatie. Het Beleid inzake beheer van gebruikersaccounts en privileges - mkb, sectie Doelstellingen, clausule 3.2 stelt:
Het principe van minimale privileges afdwingen, zodat gebruikers alleen het minimale toegangsniveau krijgen dat nodig is om hun taken uit te voeren.
Het Beleid inzake toegangscontrole - mkb, sectie Governancevereisten, clausule 5.4.3 voegt toe:
Geprivilegieerde accounts moeten multifactorauthenticatie (MFA) gebruiken waar dit wordt ondersteund.
Het Beleid inzake netwerkbeveiliging - mkb, sectie Vereisten voor beleidsimplementatie, clausule 6.2.3 stelt:
Verkeer tussen segmenten moet worden gefilterd, en toegang tussen segmenten moet het principe van minimale privileges volgen.
Het Beleid voor logging en monitoring - mkb, sectie Doel, clausule 1.3 legt uit:
Logging en monitoring ondersteunen dreigingsdetectie, naleving van regelgeving, incidentmelding en -beheer, en forensische analyse.
Voor privacygedreven Zero Trust stelt het Beleid inzake gegevensbescherming en privacy - mkb, sectie Governancevereisten, clausule 5.3.2:
Gebruikerstoegang tot persoonsgegevens moet worden beperkt tot rollen met een gedocumenteerde zakelijke behoefte.
Deze clausules creëren auditankers. Een auditor kan toetsen of toegang standaard wordt geweigerd, privileges worden geminimaliseerd, verkeer tussen zones wordt gecontroleerd, logboeken centraal worden verzameld en bewijs wordt bewaard.
Raamwerkoverstijgende Zero Trust-bewijsmatrix
Een sterk Zero Trust-bewijsmodel moet gefragmenteerde screenshots vermijden. Bewijs moet governance, ontwerp, implementatie, monitoring en beoordeling aantonen.
| Zero Trust-capability | ISO/IEC 27001:2022- en ISO/IEC 27002:2022-bewijs | NIS2-bewijs | DORA-bewijs | GDPR-bewijs |
|---|---|---|---|---|
| Identiteitsverificatie en -levenscyclus | ISMS-scope, risicoregister, SoA-vermeldingen voor A.5.15 en A.5.16, registraties van instromers, doorstromers en uitstromers | Article 21-maatregelen voor HR-beveiliging, toegangscontrole en beheer van bedrijfsmiddelen | Governance van ICT-bedrijfsmiddelen en gebruikerstoegang binnen het ICT-risicokader | Toegang beperkt tot geautoriseerde rollen, verantwoordingsregistraties van de verwerkingsverantwoordelijke |
| MFA en continue authenticatie | Beleid inzake toegangscontrole, procedure voor geprivilegieerde toegang, rapportages over MFA-afdwinging | Article 21-maatregelen voor MFA of continue authenticatie waar passend | Beheersmaatregelen ter ondersteuning van beveiligde toegang tot ICT-systemen en kritieke functies | Article 32-bewijs voor beveiliging van de verwerking bij toegang tot persoonsgegevens |
| Apparaatstatus en endpointvertrouwen | Inventaris van bedrijfsmiddelen, baseline voor endpointconfiguratie, EDR-dekking, goedkeuringen van uitzonderingen | Cyberhygiëne, behandeling van kwetsbaarheden en beleid voor veilige systemen | ICT-assetinventaris, weerbaarheidstesten, monitoring van ICT-systemen | Bescherming tegen ongeautoriseerde of onrechtmatige verwerking vanaf gecompromitteerde endpoints |
| Netwerksegmentatie en microsegmentatie | Netwerkdiagrammen, firewallregels, testresultaten van segmentatie, wijzigingsregistraties | Maatregelen om de impact van incidenten te voorkomen of te beperken en bedrijfscontinuïteit te ondersteunen | Referentiearchitectuur, impacttolerantie, testen van kritieke systemen | Gegevensisolatie, minimalisatie van de omvang van een inbreuk |
| Minimale privileges voor applicaties en API’s | RBAC- of ABAC-matrices, cloud-IAM-beleid, token-scopes, API-toegangsbeoordelingen | Veilige verwerving, ontwikkeling en onderhoud, behandeling van kwetsbaarheden | Mapping van door ICT ondersteunde functies en afhankelijkheidsdocumentatie | Doelbinding, toegang tot persoonsgegevens op basis van zakelijke noodzaak |
| Continue monitoring en detectie | SIEM-detectiescenario’s, alerttriage, monitoringprocedure, incidentregistraties | Incidentenafhandeling en gereedheid voor melding van significante incidenten | Incidentclassificatie, escalatie naar het management en rapportagelevenscyclus | Detectie van inbreuken in verband met persoonsgegevens en bewijs voor verantwoordingsplicht |
| Leveranciers- en cloudvertrouwen | Leveranciersovereenkomsten, cloud-exitplan, leveranciersmonitoring, mapping van gedeelde verantwoordelijkheid | Beveiliging van de toeleveringsketen voor directe leveranciers en dienstverleners | Strategie voor ICT-risico’s van derde partijen, register van ICT-contracten, auditrechten en exitplannen | Due diligence bij verwerkers, contractuele waarborgen en beveiligingsmaatregelen |
Deze tabel vormt de kern van een Zero Trust-programma dat geschikt is voor het bestuur. Zij laat zien hoe één beheersingsomgeving meerdere assurancebehoeften kan ondersteunen zonder afzonderlijke bewijspakketten voor elk raamwerk te creëren.
Zenith Blueprint gebruiken om traceerbaarheid te creëren
Clarysec’s Zenith Blueprint: 30-stappenroadmap voor auditors is ontworpen om te voorkomen dat Zero Trust een ongedocumenteerde engineeringfilosofie wordt. In de fase Risicobeheer, stap 13, Planning van risicobehandeling en Verklaring van Toepasselijkheid, wordt uitgelegd:
De SoA is in feite een brugdocument: het koppelt uw risicobeoordeling en risicobehandeling aan de
daadwerkelijke beheersmaatregelen die u heeft. Door het document in te vullen controleert u ook of u beheersmaatregelen hebt gemist.
Dezelfde stap beveelt aan om beheersmaatregelen aan risico’s te koppelen, Annex A-verwijzingen naar beheersmaatregelen toe te voegen aan risicobehandelingsitems en kruisverwijzingen op te nemen naar regelgeving zoals GDPR, NIS2 of DORA wanneer beheersmaatregelen worden geïmplementeerd om aan die verplichtingen te voldoen.
Voor Zero Trust is dit de ontbrekende brug. Als een auditor vraagt waarom u voorwaardelijke toegang hebt geïmplementeerd, moet het antwoord niet zijn: “omdat Zero Trust dat voorschrijft”. Een beter antwoord is:
- Het risicoscenario is ongeautoriseerde toegang tot klantgegevens via gecompromitteerde inloggegevens.
- De risico-eigenaar is de CTO of het hoofd engineering.
- De behandeling omvat SSO, MFA, voorwaardelijke toegang, validatie van endpointstatus, minimale privileges, segmentatie en monitoring.
- De SoA koppelt de behandeling aan toegangscontrole, identiteitsbeheer, logging, monitoring, cryptografie, kwetsbaarhedenbeheer en beheer van clouddiensten.
- Dezelfde behandeling ondersteunt NIS2 Article 21, DORA ICT-risicobeheer en GDPR Article 32.
- Bewijs omvat beleidsclausules, toegangsrechtenbeoordelingen, SIEM-alerts, EDR-statusrapportages, firewallregels, IAM-exporten, incidentoefeningen en notulen van directiebeoordelingen.
Zo wordt Zero Trust Architecture auditklaar.
Endpointvertrouwen, API’s en netwerksegmentatie in de praktijk
Zero Trust faalt vaak omdat organisaties zich richten op identiteit en daarbij apparaat-, workload-, gegevens- en netwerkcontext negeren.
Zenith Blueprint stap 19, Technische beheersmaatregelen I, licht de eis voor endpointstatus duidelijk toe:
Toegang tot informatie via endpoints moet contextbewust zijn. Voldoet het apparaat bijvoorbeeld
aan minimale beveiligingsstandaarden voordat het toegang krijgt tot bedrijfsresources? Heeft het onlangs
een malwarescan doorstaan? Verbindt het vanaf een ongebruikelijke locatie of een ongebruikelijk netwerk? Door integratie met Zero
Trust-principes kan endpointstatus worden gebruikt voor voorwaardelijke toegang, waarbij toegang wordt geweigerd totdat het
apparaat aantoont dat het veilig is.
Dit maakt het apparaat onderdeel van de autorisatiebeslissing. Een geldig wachtwoord vanaf een onbeheerde laptop mag niet hetzelfde worden behandeld als een geldige aanmelding vanaf een compliant, versleuteld en gemonitord bedrijfsendpoint.
Dezelfde stap benadrukt dat toegangsbeperkingen van toepassing zijn op applicaties, diensten en API’s, niet alleen op gebruikers:
Toegangsbeperkingen moeten ook worden toegepast op applicaties, diensten en API’s, niet alleen op personen.
Een microservice heeft bijvoorbeeld mogelijk alleen leestoegang nodig tot een databasetabel, niet volledige CRUD-
rechten. Een back-uptool heeft mogelijk alleen toegang nodig tot specifieke opslagbuckets, niet tot alle tenantresources.
Deze richtlijn is cruciaal voor cloud-native omgevingen. API-scopes, serviceaccounts, workloadidentiteiten, Kubernetes-rollen en cloud-IAM-beleid moeten allemaal het principe van minimale privileges volgen. Menselijke toegang is slechts één onderdeel van het controlevlak.
Stap 20 van Zenith Blueprint behandelt segregatie van netwerken:
Segregatie is een van de oudste en meest effectieve principes in cyberbeveiliging: beperk de
verspreiding, reduceer het risico en beperk de schade. Control 8.22 richt zich op netwerk-
segregatie: de praktijk waarbij systemen, diensten en gebruikers over verschillende logische of
fysieke zones worden gescheiden om ongeautoriseerde toegang te voorkomen en laterale beweging bij
compromittering te beperken.
Dit is cruciaal voor weerbaarheid onder DORA en NIS2. Een Zero Trust-netwerk moet ervan uitgaan dat één account, workload of endpoint kan worden gecompromitteerd. Segmentatie voorkomt dat een lokaal event een systemisch incident wordt.
Een Zero Trust-bewijspakket in 10 dagen
Stel u een SaaS-fintech voor die fraudedetectieanalyses levert aan banken. De organisatie verwerkt persoonsgegevens, gebruikt cloudinfrastructuur, vertrouwt op beheerde Kubernetes, integreert met klant-API’s en gebruikt een externe identiteitsprovider. Een klant vraagt om Zero Trust-bewijs en het bedrijf heeft tien werkdagen.
Een praktische Clarysec-bewijssprint ziet er als volgt uit.
| Tijdlijn | Actie | Bewijsoutput |
|---|---|---|
| Dag 1 tot 2 | Definieer de Zero Trust-scope voor productiecloudaccounts, identiteitsprovider, CI/CD, beheerderswerkstations, klant-API-gateway, datawarehouse, SIEM, EDR en kritieke leveranciers | Scopeverklaring, afhankelijkheidskaart, grensdiagram |
| Dag 3 | Bouw risico-naar-beheersmaatregel-traceerbaarheid met Zenith Blueprint stap 13 | Risicoregisteritems, behandelplan, SoA-mappings |
| Dag 4 tot 5 | Pas enterprise- of mkb-beleidsclausules toe en documenteer uitzonderingen | Goedgekeurd beleid, uitzonderingenregister, registraties van risicoacceptatie |
| Dag 6 tot 7 | Verzamel technisch bewijs | MFA-rapportages, beleid voor voorwaardelijke toegang, PAM-registraties, endpointdashboards, firewallregels, Kubernetes-netwerkbeleid, IAM-exporten, SIEM-detectiescenario’s |
| Dag 8 | Voeg privacy- en gegevensbeschermingsbewijs toe | Rollen-naar-gegevensmatrix, verwerkingsregistraties, encryptiebewijs, bewaarregels, procedure voor escalatie van inbreuken |
| Dag 9 | Voeg NIS2- en DORA-overlays toe | Article 21-mapping, gereedheid voor incidentmelding, ICT-functiekaart, leveranciersregister, bewijs voor exitplannen |
| Dag 10 | Maak een managementsamenvatting | Bestuursgeschikt narratief, samenvatting van restrisico, verbeterroadmap |
Het doel is niet om te doen alsof de organisatie in tien dagen perfecte Zero Trust heeft bereikt. Het doel is een verdedigbare bewijsketen te creëren voor de belangrijkste risico’s en aan te tonen dat het programma wordt bestuurd, meetbaar is en verbetert.
Hoe verschillende auditors Zero Trust zullen toetsen
Een veelgemaakte fout is één technisch verhaal voorbereiden en aannemen dat elke auditor dezelfde vragen stelt. Dat doen zij niet.
Een ISO/IEC 27001:2022-auditor kijkt naar het managementsysteem. Die zal vragen of Zero Trust-risico’s zijn opgenomen in de risicobeoordeling, of behandelingen zijn goedgekeurd, of de SoA volledig is, of beleid gecontroleerde documenten betreft, of toegangsrechtenbeoordelingen plaatsvinden, of interne audits de beheersmaatregelen toetsen en of directiebeoordelingen prestaties volgen.
Een DORA-beoordelaar zal vragen of Zero Trust-beheersmaatregelen onderdeel zijn van het gedocumenteerde ICT-risicobeheerkader. Verwacht worden inventarissen van bedrijfsmiddelen en afhankelijkheden, mapping van kritieke of belangrijke functies, incidentclassificatie, escalatie naar het bestuur, testen, contractuele eisen aan derde partijen, auditrechten, exitstrategieën en opvolging van herstelmaatregelen.
Een NIS2-assessor richt zich op verantwoordingsplicht van het bestuursorgaan, Article 21-maatregelen voor cyberbeveiligingsrisicobeheer en gereedheid voor incidentmelding onder Article 23. Daarnaast wordt bewijs verwacht dat beveiliging van de toeleveringsketen, bedrijfscontinuïteit, behandeling van kwetsbaarheden, toegangscontrole en cyberhygiëne worden beheerst.
Een GDPR-beoordelaar of privacyauditor zal vragen of toegang tot persoonsgegevens noodzakelijk, gedocumenteerd, beperkt, gemonitord en afgestemd op verwerkingsdoeleinden is. Die onderzoekt rollen van verwerkingsverantwoordelijke en verwerker, detectie van inbreuken in verband met persoonsgegevens, rolgebaseerde toegang, encryptie, pseudonimisering waar passend, bewaartermijnen en verantwoordingsplicht.
| Auditorperspectief | Waarschijnlijke vraag | Bewijs dat de vraag beantwoordt |
|---|---|---|
| ISO/IEC 27001:2022-auditor | Is Zero Trust risicogebaseerd, goedgekeurd en opgenomen in de SoA? | Risicoregister, SoA, risicobehandelingsplan, beleidsgoedkeuringen, notulen van directiebeoordelingen |
| NIST CSF-assessor | Zijn governance, identiteit, bescherming, detectie, respons en hersteluitkomsten geïntegreerd? | CSF-profiel, gap-plan, IAM-beheersmaatregelen, logging-detectiescenario’s, responsdraaiboeken, hersteltests |
| DORA-beoordelaar | Ondersteunt Zero Trust ICT-risicobeheer en weerbaarheid van kritieke functies? | ICT-assetinventaris, afhankelijkheidskaart, testprogramma, incidentclassificatie, leveranciersregister |
| GDPR-/privacyauditor | Is toegang tot persoonsgegevens beperkt en aantoonbaar beschermd? | Rollen-naar-gegevensmatrix, toegangsrechtenbeoordelingen, encryptiebewijs, inbreukprocedures, verwerkingsregistraties |
| COBIT 2019-/ISACA-auditor | Worden verantwoordelijkheden, metrieken en prestaties van beheersmaatregelen beheerst? | RACI, KPI’s, uitzonderingenregister, auditbevindingen, hersteltracker |
Dezelfde beheersmaatregel kan meerdere vragen beantwoorden, maar alleen als het bewijs georganiseerd is.
Leveranciers-, cloud- en ICT-risico’s van derde partijen
Zero Trust stopt niet bij de firewall, en in cloudomgevingen bestaat er mogelijk helemaal geen traditionele firewallgrens meer. Identiteitsproviders, cloudplatformen, CI/CD-tools, managed detection providers, betalingsverwerkers, API-gateways en uitbestede ontwikkelteams worden allemaal onderdeel van het vertrouwensweefsel.
NIS2 Article 21 omvat expliciet beveiliging van de toeleveringsketen voor directe leveranciers en dienstverleners, inclusief kwetsbaarheden bij leveranciers, weerbaarheid van producten en diensten, cyberbeveiligingspraktijken van leveranciers en veilige ontwikkelprocedures.
DORA vereist dat ICT-risico’s van derde partijen worden beheerd als onderdeel van het ICT-risicobeheerkader, met een register van ICT-dienstverleningscontracten, due diligence voorafgaand aan contractering, beoordeling van criticaliteit, concentratierisico, contractuele beveiligingseisen, incidentondersteuning, samenwerking met autoriteiten, auditrechten, beëindigingsrechten, exitstrategieën en transitieplannen.
Voor Zero Trust is de praktische regel eenvoudig: vertrouw een leveranciersverbinding niet alleen omdat deze contractueel is vastgelegd. Vereis technische beheersmaatregelen en bewijs.
Een klant-API-integratie moet afgebakende tokens, rate limiting, monitoring, rotatie, eigenaarschap en intrekking hebben. Een managed service provider moet MFA, persoonlijke gebruikersaccounts op naam, minimale privileges, sessielogging en tijdbeperkte toegang gebruiken. Een relatie met een cloudprovider moet mapping van gedeelde verantwoordelijkheid, encryptieconfiguratie, logretentie, back-uptesten en exitplanning omvatten.
Daarom hoort leveranciers- en cloudbewijs binnen het Zero Trust-model thuis, niet in een afzonderlijke inkoopmap.
Metrieken die aantonen dat Zero Trust werkt
Besturen en auditors willen niet alleen architectuurdiagrammen. Zij willen operationeel bewijs en verbeteringstrends.
Nuttige Zero Trust-metrieken zijn onder meer:
- Percentage geprivilegieerde accounts dat door MFA wordt beschermd.
- Percentage gebruikers dat onder voorwaardelijke toegang valt.
- Aantal permanente geprivilegieerde accounts vergeleken met just-in-time-accounts.
- Aantal achterstallige toegangsrechtenbeoordelingen.
- Percentage endpoints dat voldoet aan de statusvereisten.
- EDR-dekking over kritieke bedrijfsmiddelen.
- Aantal geweigerde toegangspogingen vanwege apparaat- of locatierisico.
- Gemiddelde detectietijd van verdachte geprivilegieerde activiteit.
- Gemiddelde tijd tot intrekking van toegang na uitdiensttreding.
- Percentage firewallregels tussen zones dat in het laatste kwartaal is beoordeeld.
- Aantal kritieke leveranciers met actueel beveiligingsbewijs.
- Aantal Zero Trust-uitzonderingen waarvan de hersteldatum is verstreken.
- Percentage kritieke applicaties dat logboeken naar SIEM stuurt.
- Resultaten van incidentsimulaties voor compromittering van inloggegevens.
Deze metrieken ondersteunen voortdurende verbetering onder ISO/IEC 27001:2022, doeltreffendheidsbeoordeling onder NIS2, test- en herstelverwachtingen onder DORA en verantwoordingsplicht onder GDPR.
Veelvoorkomende tekortkomingen in Zero Trust-bewijs
De meest voorkomende tekortkomingen worden niet veroorzaakt door een gebrek aan tools. Ze worden veroorzaakt door zwakke traceerbaarheid.
Ten eerste implementeren organisaties MFA, maar kunnen zij niet aantonen dat geprivilegieerde accounts volledig zijn afgedekt. Serviceaccounts, break-glass-accounts en lokale beheerdersaccounts blijven vaak buiten de beheersmaatregel.
Ten tweede worden toegangsrechtenbeoordelingen handmatig uitgevoerd, maar niet gekoppeld aan bedrijfsrollen, gegevensgevoeligheid of risico-eigenaren. Het bewijs toont dat iemand op “reviewed” heeft geklikt, niet dat onnodige toegang is verwijderd.
Ten derde bestaat netwerksegmentatie in diagrammen, maar niet in geteste regels. Auditors zullen vragen of toegang tussen segmenten standaard wordt geweigerd en of uitzonderingen zijn goedgekeurd.
Ten vierde worden logboeken verzameld, maar zijn ze niet bruikbaar. Een SIEM zonder gedefinieerde detectiescenario’s, alerttriage en responsprocedures toont geen continue monitoring aan.
Ten vijfde is leverancierstoegang onbeheerd. Leveranciers kunnen gedeelde inloggegevens, permanente VPN-toegang of brede cloudrollen gebruiken zonder sessiemonitoring.
Ten zesde wordt privacybewijs gescheiden van beveiligingsbewijs. GDPR vereist aantoonbare bescherming van persoonsgegevens, dus identiteits- en toegangscontroles moeten worden gekoppeld aan gegevenscategorieën en verwerkingsdoeleinden.
Tot slot zijn uitzonderingen niet gedocumenteerd. Zero Trust kan uitzonderingen verdragen als ze risicogebaseerd zijn beoordeeld, goedgekeurd, tijdgebonden en gemonitord. Het kan geen onzichtbare uitzonderingen verdragen.
Bouw uw Zero Trust-bewijspakket met Clarysec
Zero Trust Architecture in 2026 is geen slogan. Het is een operationeel compliancemodel dat identiteit, apparaten, applicaties, netwerksegmentatie, minimale privileges, continue monitoring, leveranciersbeheersing en privacywaarborgen verbindt tot één auditeerbaar systeem.
Als u zich voorbereidt op ISO/IEC 27001:2022-certificering, reageert op NIS2-klantvragen, afstemt op DORA ICT-risicobeheer of GDPR Article 32-beveiliging van de verwerking aantoont, begin dan met traceerbaarheid.
Gebruik Zenith Blueprint: 30-stappenroadmap voor auditors om Zero Trust-risico’s te mappen naar uw risicoregister, behandelplan en SoA. Gebruik Zenith Controls: de gids voor raamwerkoverstijgende compliance om toegangscontrole, identiteitsbeheer en monitoring af te stemmen op raamwerkoverstijgende verwachtingen. Gebruik de beleidsbibliotheek van Clarysec, waaronder Enterprise-beleid inzake toegangscontrole, Enterprise-beleid inzake beheer van gebruikersaccounts en privileges, Enterprise-beleid inzake netwerkbeveiliging, Enterprise-beleid voor logging en monitoring, Enterprise-informatiebeveiligingsbeleid en Beleid inzake gegevensbescherming en privacy - mkb, om architectuur om te zetten in afdwingbare governance.
Uw volgende praktische stap is één hoogrisicoscenario te selecteren, zoals gecompromitteerde geprivilegieerde toegang tot klantgegevens, en daaromheen een volledige Zero Trust-bewijsketen op te bouwen. Als u dat scenario end-to-end kunt aantonen, heeft u de basis voor een schaalbaar, auditeerbaar en toezichthoudergereed Zero Trust-programma.
Download de Clarysec-beleidsbundels of plan een strategisch gesprek om te zien hoe Zenith Blueprint en Zenith Controls Zero Trust kunnen transformeren van een auditriscio naar een compliancevoordeel.
Frequently Asked Questions
About the Author

Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council


