Compliance & Governance
Standaardiseren Zonder Stroperigheid
Een referentiehoofdstuk heeft pas waarde als teams er direct mee kunnen plannen, ontwerpen en opleveren.
Bij Compliance & Governance draait het om aantoonbaarheid: normen vertalen naar eigenaarschap, planning en toetsing.
Daarmee blijft dit hoofdstuk geen theorie, maar een bruikbaar kompas voor consistente uitvoering.
Directe maatregelen (15 minuten)
Waarom dit telt
De kern van Compliance & Governance is risicoreductie in de praktijk. Technische context ondersteunt de maatregelkeuze, maar implementatie en borging staan centraal.
NIS2 Verplichtingen naar Technische Maatregelen
NIS2 (Richtlijn (EU) 2022/2555) beschrijft in Artikel 21 de risicobeheermaatregelen die “essentieel” en “belangrijk” geclassificeerde entiteiten moeten nemen. Hieronder de vertaling naar concrete technische implementaties.
| NIS2 Verplichting | Wat het betekent | Technische implementatie | Zie |
|---|---|---|---|
| Risicobeheermaatregelen (Art. 21.2a) | Risicoanalyse en beleid voor informatiesysteembeveiliging | Dreigingsmodellering, asset inventarisatie, kwetsbaarheidsscanning, risicomatrix | Referentie 01, Referentie 02, Netwerk 15 |
| Incidentafhandeling (Art. 21.2b) | Detectie, analyse, beperking en respons op incidenten | SIEM, EDR, incidentresponsplan, forensische capaciteit, escalatieprocedures | Referentie 03, Netwerk 02, Netwerk 09, Cloud 10 |
| Bedrijfscontinuiteit (Art. 21.2c) | Backup-beheer, disaster recovery, crisisbeheer | Backup-strategie (3-2-1), DR-plan, RPO/RTO-definities, restore-tests | Netwerk 09, Cloud 09, Cloud 10 |
| Beveiliging toeleveringsketen (Art. 21.2d) | Beveiligingseisen voor directe leveranciers en dienstverleners | Leveranciersbeoordelingen, SLA’s met security-eisen, supply chain scanning | Cloud 06, Cloud 12, Cloud 13 |
| Beveiliging bij verwerving en ontwikkeling (Art. 21.2e) | Security in aanschaf, ontwikkeling en onderhoud van systemen | SSDLC, code review, SAST/DAST, dependency scanning, hardening baselines | Web 01, Web 02, Web 03, Web 04, Web 05, Web 06, Web 07, Web 08, Web 09, Web 10, Web 11, Web 12, Web 13, Web 14, Web 15, Web 16, Cloud 05, Cloud 06, Cloud 12 |
| Effectiviteitsbeoordeling (Art. 21.2f) | Testen en auditen van cybersecuritymaatregelen | Penetratietesten, vulnerability assessments, red teaming, hardening audits | Referentie 01, Referentie 05, Cloud 10 |
| Cyberhygiene en opleiding (Art. 21.2g) | Basispraktijken voor cyberhygiene en bewustwordingstraining | Wachtwoordbeleid, MFA-uitrol, phishing-awareness, security onboarding | Netwerk 01, Netwerk 07, Web 10 |
| Cryptografiebeleid (Art. 21.2h) | Beleid en procedures voor het gebruik van cryptografie en encryptie | TLS 1.2+, encryptie at rest, key management, certificaatbeheer, hashing | Web 13, Cloud 13, Netwerk 05, Netwerk 07, Netwerk 08 |
| Toegangsbeheer en activabeheer (Art. 21.2i) | Beveiligingsbeleid voor personeelstoegang, activabeheer | RBAC, least privilege, privileged access management, service account hardening | Web 10, Web 14, Web 16, Netwerk 03, Netwerk 04, Cloud 02, Cloud 03, Cloud 04 |
| Multi-factor authenticatie (Art. 21.2j) | MFA of continue authenticatie waar passend | FIDO2/WebAuthn, TOTP, conditional access policies, adaptive MFA | Web 10, Web 16, Netwerk 01, Cloud 02, Cloud 03, Cloud 04 |
| Kwetsbaarheidsmeldingen (Art. 23) | Melden van significante incidenten binnen 24/72 uur | Vroegtijdige waarschuwing (24u), incidentmelding (72u), tussentijdse rapportage (1 maand) | Referentie 03 |
| Coordinated vulnerability disclosure (Art. 12) | Proces voor het ontvangen en afhandelen van kwetsbaarheidsmeldingen | security.txt, responsible disclosure beleid, vulnerability intake proces | Web 11, Web 14 |
NIS2 Meldingstermijnen
| Termijn | Actie | Referentie |
|---|---|---|
| Binnen 24 uur | Vroegtijdige waarschuwing aan CSIRT/bevoegde autoriteit | Referentie 03 |
| Binnen 72 uur | Volledige incidentmelding met beoordeling ernst en impact | Referentie 03 |
| Binnen 1 maand | Eindverslag met root cause, genomen maatregelen, grensoverschrijdende impact | Referentie 03 |
NIS2 Classificatie: Essentieel vs. Belangrijk
| Categorie | Sectoren | Verschil |
|---|---|---|
| Essentieel | Energie, transport, bankwezen, gezondheidszorg, drinkwater, digitale infrastructuur, ICT-dienstverlening B2B, ruimtevaart, overheid | Proactief toezicht, hogere boetes (max 10M of 2% omzet) |
| Belangrijk | Post/koeriersdiensten, afvalbeheer, chemie, levensmiddelen, productie, digitale diensten, onderzoek | Reactief toezicht, lagere boetes (max 7M of 1,4% omzet) |
AVG Technische Maatregelen
De AVG (Algemene Verordening Gegevensbescherming / GDPR) vereist “passende technische en organisatorische maatregelen” maar specificeert niet precies welke. Onderstaande tabel vertaalt de relevante artikelen naar concrete technische implementaties.
| AVG Artikel | Verplichting | Technische implementatie | Zie |
|---|---|---|---|
| Art. 5 lid 1f | Integriteit en vertrouwelijkheid | Encryptie, toegangsbeheer, logging, netwerksegmentatie | Web 13, Netwerk 15, Netwerk 07, Cloud 13 |
| Art. 25 lid 1 | Privacy by design | Minimale dataverzameling, pseudonimisering, encryptie in transit en at rest, data flow analyse | Web 13, Cloud 13, Web 12, Web 14 |
| Art. 25 lid 2 | Privacy by default | Standaard minimale verwerking, geen overbodige data-ontsluiting via API’s, opt-in i.p.v. opt-out | Web 14, Web 12, Web 07 |
| Art. 28 | Verwerker-eisen | Beveiligingseisen in verwerkersovereenkomsten, audit-recht, sub-verwerker controle | Cloud 02, Cloud 03, Cloud 04, Cloud 06 |
| Art. 32 lid 1a | Pseudonimisering en versleuteling | TLS, disk encryption, database encryption, column-level encryption, key management | Web 13, Cloud 13, Netwerk 07 |
| Art. 32 lid 1b | Vertrouwelijkheid, integriteit, beschikbaarheid, veerkracht | Toegangsbeheer, input validation, netwerksegmentatie, redundantie, DDoS-bescherming | Web 10, Web 12, Netwerk 15, Netwerk 04, Cloud 02, Cloud 03, Cloud 04 |
| Art. 32 lid 1c | Herstel bij incidenten | Backup, disaster recovery, incidentrespons, restore-tests | Netwerk 09, Cloud 09, Referentie 03 |
| Art. 32 lid 1d | Regelmatige beoordeling en evaluatie | Pentesting, vulnerability scanning, audit logging, security reviews | Referentie 01, Cloud 10, Netwerk 02 |
| Art. 33 lid 1 | Melding datalek aan AP (72 uur) | Detectie en alerting, incidentresponsproces, logging, breach assessment | Referentie 03, Cloud 10, Netwerk 02 |
| Art. 34 | Melding datalek aan betrokkenen | Communicatieprocedure, ernst-beoordeling, contactgegevens betrokkenen | Referentie 03 |
| Art. 35 | DPIA (gegevensbeschermingseffectbeoordeling) | Dreigingsmodellering, risicoanalyse op basis van technische architectuur, data flow mapping | Referentie 01, Referentie 02 |
AVG Boetecategorieen
| Categorie | Maximum boete | Voorbeelden |
|---|---|---|
| Categorie 1 (Art. 83 lid 4) | 10 miljoen euro of 2% wereldwijde omzet | Schending Art. 25 (privacy by design), Art. 32 (beveiligingsmaatregelen) |
| Categorie 2 (Art. 83 lid 5) | 20 miljoen euro of 4% wereldwijde omzet | Schending Art. 5 (verwerkingsbeginselen), Art. 6 (rechtmatigheid) |
ISO 27001:2022 Annex A – Securitymaatregelen.nl Mapping
ISO 27001:2022 reorganiseerde de Annex A-controls van 114 controls in 14 domeinen naar 93 controls in 4 categorieen. De focus hieronder ligt op de technische controls (categorie A.8, 34 controls) en een selectie van organisatorische controls (A.5) die direct relevant zijn.
A.5 Organisatorische controls (selectie)
| ISO 27001 Control | Beschrijving | Technische vertaling | Zie |
|---|---|---|---|
| A.5.7 | Threat intelligence | Dreigingsinformatie verzamelen en verwerken, IOC-feeds, ATT&CK-mapping | Referentie 01 |
| A.5.10 | Acceptabel gebruik van informatie | Acceptable use policy, DLP, content filtering | Netwerk 10, Netwerk 15 |
| A.5.15 | Toegangsbeheer | RBAC, least privilege, periodieke access reviews | Web 10, Netwerk 04, Cloud 02, Cloud 03, Cloud 04 |
| A.5.16 | Identiteitsbeheer | Identiteitslevenscyclus, provisioning/deprovisioning, SSO | Web 16, Netwerk 04, Cloud 03 |
| A.5.17 | Authenticatie-informatie | Wachtwoordbeleid, MFA, credential management | Web 10, Netwerk 07, Cloud 13 |
| A.5.23 | Informatiebeveiliging voor cloud | Cloud security posture management, shared responsibility | Cloud 01, Cloud 02, Cloud 03, Cloud 04, Cloud 05, Cloud 06, Cloud 07, Cloud 08, Cloud 09, Cloud 10, Cloud 11, Cloud 12, Cloud 13 |
| A.5.24 | Incidentmanagement planning | Incidentresponsplan, runbooks, escalatiematrix | Referentie 03 |
| A.5.25 | Beoordeling en beslissing over incidenten | Incidentclassificatie, impactbeoordeling, triage | Referentie 03 |
| A.5.26 | Respons op incidenten | Containment, eradicatie, recovery procedures | Referentie 03 |
| A.5.27 | Leren van incidenten | Post-incident review, lessons learned, control updates | Referentie 03 |
| A.5.28 | Verzameling van bewijs | Forensische procedures, chain of custody, log preservatie | Referentie 03, Cloud 10 |
| A.5.29 | Informatiebeveiliging tijdens verstoring | BCP, failover-procedures, prioritering van beveiligingsmaatregelen | Netwerk 09, Cloud 09 |
| A.5.30 | ICT-gereedheid voor bedrijfscontinuiteit | DR-plan, backup-verificatie, failover-testen | Netwerk 09, Cloud 09, Cloud 10 |
A.8 Technologische controls
| ISO 27001 Control | Beschrijving | Zie |
|---|---|---|
| A.8.1 | User endpoint devices | Netwerk 12 (Windows), Netwerk 11 (Linux) |
| A.8.2 | Bevoorrechte toegangsrechten | Netwerk 03, Netwerk 04, Cloud 02, Cloud 03, Cloud 04 |
| A.8.3 | Beperking informatie-toegang | Web 10, Web 14, Netwerk 04 |
| A.8.4 | Toegang tot broncode | Cloud 06, Cloud 12 |
| A.8.5 | Beveiligde authenticatie | Web 10, Web 16, Netwerk 01, Netwerk 05 |
| A.8.6 | Capaciteitsbeheer | Cloud 02, Cloud 03, Cloud 04, Cloud 07 |
| A.8.7 | Bescherming tegen malware | Netwerk 02, Netwerk 12 |
| A.8.8 | Beheer van technische kwetsbaarheden | Referentie 01, Referentie 02, Netwerk 03 |
| A.8.9 | Configuratiebeheer | Referentie 05, Cloud 12, Netwerk 11, Netwerk 12 |
| A.8.10 | Verwijdering van informatie | Cloud 13, Netwerk 07 |
| A.8.11 | Data masking | Web 12, Web 14, Cloud 13 |
| A.8.12 | Preventie van datalekken | Netwerk 10, Netwerk 15, Cloud 08 |
| A.8.13 | Backup van informatie | Netwerk 09, Cloud 09 |
| A.8.14 | Redundantie van informatieverwerkingsfaciliteiten | Cloud 02, Cloud 03, Cloud 04, Cloud 11 |
| A.8.15 | Logging | Cloud 10, Netwerk 02, Netwerk 09 |
| A.8.16 | Monitoring-activiteiten | Cloud 10, Netwerk 02, Netwerk 09 |
| A.8.17 | Kloksynchronisatie | Cloud 10, Netwerk 02 |
| A.8.18 | Gebruik van geprivilegeerde hulpprogramma’s | Netwerk 03, Netwerk 12, Netwerk 02 |
| A.8.19 | Installatie van software op operationele systemen | Netwerk 02, Netwerk 12, Cloud 05 |
| A.8.20 | Netwerkbeveiliging | Netwerk 15, Netwerk 10 |
| A.8.21 | Beveiliging van netwerkdiensten | Netwerk 15, Netwerk 13, Web 13 |
| A.8.22 | Scheiding van netwerken | Netwerk 15, Cloud 08 |
| A.8.23 | Webfiltering | Netwerk 10, Netwerk 15 |
| A.8.24 | Gebruik van cryptografie | Web 13, Cloud 13, Netwerk 07 |
| A.8.25 | Levenscyclus van veilige ontwikkeling | Web 01, Web 02, Web 03, Web 04, Web 05, Web 06, Web 07, Web 08, Web 09, Web 10, Web 11, Web 12, Web 13, Web 14, Web 15, Web 16, Cloud 06, Cloud 12 |
| A.8.26 | Beveiligingseisen voor applicaties | Web 01, Web 02, Web 03, Web 04, Web 05, Web 06, Web 07, Web 08, Web 09, Web 10, Web 11, Web 12, Web 13, Web 14, Web 15, Web 16, Web 12, Web 14 |
| A.8.27 | Beveiligde systeemarchitectuur en -principes | Netwerk 15, Cloud 08, Referentie 02 |
| A.8.28 | Veilig coderen | Web 01, Web 02, Web 03, Web 04, Web 05, Web 06, Web 07, Web 08, Web 12 |
| A.8.29 | Beveiligingstesten in ontwikkeling en acceptatie | Referentie 01, Cloud 06, Web 01, Web 02, Web 03, Web 04, Web 05, Web 06, Web 07, Web 08, Web 09, Web 10, Web 11, Web 12, Web 13, Web 14, Web 15, Web 16 |
| A.8.30 | Uitbestede ontwikkeling | Cloud 06, Cloud 12 |
| A.8.31 | Scheiding van ontwikkel-, test- en productieomgevingen | Cloud 06, Cloud 02, Cloud 03, Cloud 04 |
| A.8.32 | Wijzigingsbeheer | Cloud 12, Cloud 06 |
| A.8.33 | Testinformatie | Cloud 06, Web 14 |
| A.8.34 | Bescherming van informatiesystemen tijdens audittests | Referentie 01, Cloud 10 |
BIO (Baseline Informatiebeveiliging Overheid)
De BIO is gebaseerd op ISO 27001/27002 en verplicht voor alle Nederlandse overheidsorganisaties (Rijk, gemeenten, provincies, waterschappen). De BIO voegt specifieke overheidsmaatregelen toe bovenop de ISO-basis, met extra aandacht voor classificatie van informatie en zwaardere eisen voor hogere classificatieniveaus.
De BIO kent drie basisbeveiligingsniveaus (BBN): - BBN1 – basis voor alle overheidsinformatie - BBN2 – voor vertrouwelijke informatie (meeste overheidssystemen) - BBN3 – voor staatsgeheim geclassificeerde informatie
| BIO Control | Onderwerp | Toelichting | Zie |
|---|---|---|---|
| BIO 6.1.1 | Netwerksegmentatie | Scheiding van netwerken op basis van classificatieniveau | Netwerk 15 |
| BIO 9.1.2 | Toegang tot netwerken en netwerkdiensten | Gecontroleerde toegang, authenticatie op netwerkniveau | Netwerk 01, Netwerk 15 |
| BIO 9.2.3 | Beheer van bevoorrechte toegangsrechten | Minimale privileges, gescheiden admin-accounts, PAM | Netwerk 03, Netwerk 04, Cloud 02, Cloud 03, Cloud 04 |
| BIO 9.4.1 | Beperking toegang tot informatie | Need-to-know, RBAC, object-level authorization | Web 10, Web 14 |
| BIO 9.4.2 | Beveiligde inlogprocedures | Sterke authenticatie, MFA, brute force bescherming | Web 10, Web 16, Netwerk 01 |
| BIO 10.1.1 | Beleid inzake gebruik van cryptografie | Goedgekeurde algoritmen, sleutelbeheer, TLS-configuratie | Web 13, Cloud 13, Netwerk 07 |
| BIO 10.1.2 | Sleutelbeheer | Key rotation, veilige opslag, certificate lifecycle | Cloud 13, Netwerk 08 |
| BIO 12.2.1 | Bescherming tegen malware | Endpoint protection, AMSI, AppLocker/WDAC | Netwerk 02, Netwerk 12 |
| BIO 12.4.1 | Vastleggen van gebeurtenissen | Audit logging, centraal logbeheer, tamper-proof opslag | Cloud 10, Netwerk 02 |
| BIO 12.4.3 | Logbestanden van beheerders en operators | Privileged session logging, command logging | Netwerk 02, Netwerk 03, Cloud 10 |
| BIO 12.6.1 | Beheer van technische kwetsbaarheden | Vulnerability scanning, patch management, hardening | Referentie 01, Referentie 02, Referentie 05 |
| BIO 13.1.1 | Beheersmaatregelen voor netwerken | Firewall management, IDS/IPS, network monitoring | Netwerk 15, Netwerk 10 |
| BIO 13.1.3 | Scheiding in netwerken | VLAN’s, microsegmentatie, zero trust networking | Netwerk 15, Cloud 08 |
| BIO 14.1.2 | Beveiliging van applicatiediensten op publieke netwerken | HTTPS, API-beveiliging, WAF | Web 01, Web 02, Web 03, Web 04, Web 05, Web 06, Web 07, Web 08, Web 09, Web 10, Web 11, Web 12, Web 13, Web 14, Web 15, Web 16, Web 13, Web 14 |
| BIO 14.2.1 | Beleid voor veilig ontwikkelen | Secure SDLC, code review, SAST/DAST | Web 01, Web 02, Web 03, Web 04, Web 05, Web 06, Web 07, Web 08, Web 09, Web 10, Web 11, Web 12, Web 13, Web 14, Web 15, Web 16, Cloud 06 |
| BIO 14.2.5 | Principes voor engineering van beveiligde systemen | Defense in depth, least privilege, fail secure | Netwerk 15, Referentie 02 |
| BIO 16.1.2 | Rapportage van informatiebeveiligingsgebeurtenissen | Incidentrapportage, meldplicht, communicatieprocedure | Referentie 03, Cloud 10 |
| BIO 18.2.3 | Beoordeling van technische naleving | Technische audits, penetratietesten, compliancescans | Referentie 05 |
CIS Controls v8
De CIS Controls zijn georganiseerd in drie Implementation Groups (IG’s) op basis van organisatieomvang en risico. IG1 (56 safeguards) is het minimum voor elke organisatie. IG2 (74 extra) voor organisaties met IT-personeel. IG3 (23 extra) voor organisaties met dedicated security-teams.
| CIS Control | Naam | Korte omschrijving | Zie |
|---|---|---|---|
| CIS 1 | Inventory and Control of Enterprise Assets | Actieve en passieve asset discovery, CMDB | Netwerk 04, Cloud 01 |
| CIS 2 | Inventory and Control of Software Assets | Software inventaris, allowlisting, verwijdering ongeautoriseerde software | Netwerk 02, Netwerk 12, Cloud 05 |
| CIS 3 | Data Protection | Classificatie, encryptie, DLP, toegangsbeheer op data-niveau | Netwerk 07, Cloud 13, Web 13, Netwerk 05 |
| CIS 4 | Secure Configuration of Enterprise Assets and Software | Hardening baselines, CIS Benchmarks, configuratiedrift-detectie | Referentie 05, Netwerk 11, Netwerk 12, Netwerk 14 |
| CIS 5 | Account Management | Account lifecycle, disabled accounts, minimale privileges | Netwerk 04, Web 10, Cloud 02, Cloud 03, Cloud 04, Netwerk 03 |
| CIS 6 | Access Control Management | RBAC, least privilege, access reviews, privileged access | Web 10, Web 14, Web 16, Netwerk 03, Netwerk 04 |
| CIS 7 | Continuous Vulnerability Management | Vulnerability scanning, patch prioritering, remediation tracking | Referentie 01, Referentie 02, Netwerk 03 |
| CIS 8 | Audit Log Management | Centraal logbeheer, log retentie, tamper-proof opslag, SIEM | Cloud 10, Netwerk 02, Netwerk 09 |
| CIS 9 | Email and Web Browser Protections | Email filtering, browser hardening, URL filtering, anti-phishing | Netwerk 01, Netwerk 13, Web 11, Web 09 |
| CIS 10 | Malware Defenses | Anti-malware, EDR, script execution control, sandboxing | Netwerk 02, Netwerk 12 |
| CIS 11 | Data Recovery | Backup-strategie, offline backups, restore-tests, DR-planning | Netwerk 09, Cloud 09 |
| CIS 12 | Network Infrastructure Management | Firewall management, netwerksegmentatie, secure network architecture | Netwerk 15, Netwerk 10, Netwerk 06 |
| CIS 13 | Network Monitoring and Defense | IDS/IPS, network traffic analysis, egress filtering, DNS monitoring | Netwerk 02, Netwerk 10, Netwerk 15, Cloud 10 |
| CIS 14 | Security Awareness and Skills Training | Phishing-awareness, secure coding training, role-based training | Netwerk 01 |
| CIS 15 | Service Provider Management | Leveranciersbeoordeling, cloud security review, SLA monitoring | Cloud 01, Cloud 02, Cloud 03, Cloud 04, Cloud 06 |
| CIS 16 | Application Software Security | Secure SDLC, SAST/DAST, dependency scanning, WAF | Web 01, Web 02, Web 03, Web 04, Web 05, Web 06, Web 07, Web 08, Web 09, Web 10, Web 11, Web 12, Web 13, Web 14, Web 15, Web 16, Cloud 06, Cloud 12, Netwerk 14 |
| CIS 17 | Incident Response Management | IR-plan, runbooks, tabletop exercises, lessons learned | Referentie 03 |
| CIS 18 | Penetration Testing | Interne en externe pentests, red teaming, remediation-verificatie | Referentie 01 |
Cross-referentie: Framework-overlap
Onderstaande tabel toont welke NIS2-verplichtingen direct corresponderen met controls uit andere frameworks. Gebruik deze tabel om aan te tonen dat een enkele maatregel meerdere compliance-eisen tegelijk adresseert.
| NIS2 Verplichting | ISO 27001 | CIS v8 | AVG | BIO |
|---|---|---|---|---|
| Art. 21.2a – Risicobeheer | A.5.7, A.8.8 | CIS 7 | Art. 35 | BIO 12.6.1 |
| Art. 21.2b – Incidentafhandeling | A.5.24-A.5.28 | CIS 17 | Art. 33, 34 | BIO 16.1.2 |
| Art. 21.2c – Bedrijfscontinuiteit | A.5.29, A.5.30, A.8.13 | CIS 11 | Art. 32.1c | BIO 12.3.1 |
| Art. 21.2d – Supply chain | A.5.19-A.5.22 | CIS 15 | Art. 28 | BIO 15.1.1 |
| Art. 21.2e – Ontwikkeling | A.8.25-A.8.31 | CIS 16 | Art. 25 | BIO 14.2.1 |
| Art. 21.2f – Effectiviteitsbeoordeling | A.8.34 | CIS 18 | Art. 32.1d | BIO 18.2.3 |
| Art. 21.2g – Cyberhygiene | A.6.3 | CIS 14 | – | BIO 7.2.2 |
| Art. 21.2h – Cryptografie | A.8.24 | CIS 3 | Art. 32.1a | BIO 10.1.1 |
| Art. 21.2i – Toegangsbeheer | A.5.15, A.8.2, A.8.3 | CIS 5, 6 | Art. 32.1b | BIO 9.2.3 |
| Art. 21.2j – MFA | A.8.5 | CIS 6 | Art. 32.1b | BIO 9.4.2 |
Samenvatting
De overlap tussen deze frameworks is aanzienlijk. Een organisatie die de Securitymaatregelen.nl-hoofdstukken systematisch doorwerkt, adresseert het overgrote deel van NIS2, AVG, ISO 27001, BIO en CIS Controls tegelijkertijd. De tabellen in dit hoofdstuk bieden de traceerbaarheid die auditors verwachten.
De belangrijkste lacunes zitten niet in de techniek maar in de governance: documentatie van beleid, risicoanalyses, management-review, en formele incidentresponsprocedures. Die vallen buiten de scope van dit handboek maar zijn wel vereist voor certificering en compliance-audits. Specifiek:
- ISO 27001-certificering vereist een formeel ISMS (Information Security Management System) met beleidsdocumenten, risicoregister, Statement of Applicability, en interne audits.
- NIS2-compliance vereist aantoonbaar bestuurlijk toezicht, een formeel incidentresponsproces, en periodieke effectiviteitsbeoordelingen.
- AVG-compliance vereist een verwerkingsregister, DPIA’s voor risicovolle verwerkingen, en een Data Protection Officer bij bepaalde organisaties.
Praktisch advies: gebruik de mapping in dit hoofdstuk om aan auditors te laten zien welke technische maatregelen je hebt genomen en waar ze gedocumenteerd staan. Combineer dit met Referentie 06 (Compliance Mapping Matrix) voor een compleet overzicht per hoofdstuk.
Verder lezen in de kennisbank
Deze artikelen in het portaal geven je meer achtergrond en praktische context:
- Incident Response — wanneer het misgaat
- Compliance — regels volgen zonder je verstand te verliezen
- Least Privilege — geef mensen alleen wat ze nodig hebben
- Patch management — het saaiste wat je leven kan redden
- Backups — het meest saaie onderwerp dat je leven kan redden
Je hebt een account nodig om de kennisbank te openen. Inloggen of registreren.
Gerelateerde securitymaatregelen
Deze artikelen bieden aanvullende context en verdieping: