NIS2 Auditgereedheid: Van Documentatie naar Continue Bewijsvoering
NIS2 geeft toezichthouders het recht om op elk moment bewijs op te vragen. Niet bij uw volgende audit. Niet met vooraankondiging. Op elk moment. Wat dit betekent voor uw bewijsmanagement – en waarom de meeste organisaties hier niet op voorbereid zijn.
NIS2 Auditgereedheid: Van Documentatie naar Continue Bewijsvoering
De meeste organisaties behandelen compliance-bewijs als belastingaangiftes: één keer per jaar verzamelen, voorbereiden, indienen, archiveren. Een ISMS onder ISO 27001 werkt op een driejaarscyclus – certificering, surveillance-audit, hercertificering. Tussendoor: interne audits volgens planning. Dat werkt zolang niemand tussendoor vraagt.
NIS2 vraagt tussendoor. De bewijsverplichting onder NIS2 is niet periodiek – het is permanent. Dit artikel laat zien wat dat concreet betekent, waarom de verschuiving van auditvoorbereiding naar continue bewijsvoering het meest onderschatte deel van NIS2-compliance is – en hoe u de overgang maakt.
Wat NIS2 Vereist qua Bewijs
De bewijsverplichting onder NIS2 komt niet voort uit één bepaling maar uit de wisselwerking van meerdere:
Artikel 21 – Risicomanagementmaatregelen: De tien maatregelen uit Artikel 21(2) moeten niet alleen worden geïmplementeerd maar ook aantoonbaar effectief zijn. "Passende, evenredige en doeltreffende technische, organisatorische en operationele maatregelen" – het woord "doeltreffende" is het cruciale verschil met een pure implementatieverplichting.
Artikelen 32 en 33 – Toezicht en Handhaving: Toezichthouders krijgen uitgebreide bevoegdheden. Voor essentiële entiteiten: proactief toezicht waaronder inspecties ter plaatse, beveiligingsaudits en bewijsverzoeken – zonder specifieke aanleiding. Voor belangrijke entiteiten: reactief toezicht, maar met dezelfde bevoegdheid om bewijs op te vragen zodra een trigger bestaat.
Artikel 23 – Meldverplichtingen: Het drietraps-meldregime creëert eigen bewijseisen: elk rapport moet feitelijk juist, tijdig en traceerbaar gedocumenteerd zijn. Het eindrapport na één maand is een uitgebreid bewijspakket van de gehele incidentrespons.
Kort samengevat: NIS2 vraagt niet "hebt u een proces?" Het vraagt "kunt u nu bewijzen dat uw proces werkt?"
Het Auditvoorbereidingsprobleem
De meeste organisaties – inclusief die met een volwassen ISMS – beheren bewijs in "auditvoorbereiding"-modus:
Cyclisch ritme: Bewijs wordt verzameld wanneer een audit nadert. Interne audit één keer per jaar, externe audit per certificeringscyclus. Tussendoor: documentatie wordt onderhouden, maar bewijs wordt niet actief gereed gehouden.
Retrospectieve assemblage: Wanneer de auditor arriveert, begint het zoeken: Waar is het huidige risicorapport? Wanneer was de laatste management review? Welke maatregelen zijn geïmplementeerd na de laatste audit? Het bewijs bestaat meestal – maar het is verspreid, inconsistent opgemaakt en niet direct opvraagbaar.
| Eigenschap | ISO 27001 Auditmodel | NIS2 Bewijsmodel |
|---|---|---|
| Ritme | Gepland (jaarlijks/driejaarlijks) | Op verzoek, elk moment |
| Trigger | Auditkalender | Verzoek autoriteit, incident, routinecontrole |
| Voorbereidingstijd | Weken tot maanden | Dagen |
| Verwachte status | "We waren compliant ten tijde van de audit" | "We zijn nu compliant" |
| Bewijsformaat | Auditrapport, management review | Actuele artefacten met metadata |
| Consequentie van hiaten | Minor nonconformiteit, corrigerende maatregel | Bevel, boete, persoonlijke aansprakelijkheid |
De kritische implicatie: NIS2 vereist niet dat u compliant bent bij de volgende geplande audit. NIS2 vereist dat u nu compliant bent – en dat op elk moment kunt bewijzen.
Wat Continue Bewijsvoering Concreet Betekent
Continue bewijsvoering betekent niet "constant worden geaudit." Het betekent: het bewijs van uw compliance is opvraagbaar, actueel en verifieerbaar op elk willekeurig moment.
Drie eigenschappen die elk bewijsstuk moet hebben:
- Actueel: Het bewijs reflecteert de status van vandaag – niet de status van de laatste audit.
- Verifieerbaar: Het bewijs bevat metadata die de geldigheid bevestigen: Wie heeft het gemaakt? Wanneer? In welke context? Is het goedgekeurd? Door wie?
- Opvraagbaar: Het bewijs kan binnen uren worden samengesteld en gepresenteerd – niet weken.
De Vijf Bewijscategorieën
1. Governance-Bewijs
Wat: Beleid, strategieën, frameworks – het gedocumenteerde fundament van uw cybersecurity.
NIS2-vereiste: Moet bestaan, actueel zijn, goedgekeurd door het bestuur, en bekend bij medewerkers. Regelmatige review moet aantoonbaar zijn.
2. Operationeel Bewijs
Wat: Bewijs dat governance-documenten daadwerkelijk zijn geïmplementeerd – dat processen niet alleen worden beschreven maar geleefd.
NIS2-vereiste: Regelmatig en traceerbaar. Niet "we doen dit" maar "hier is het bewijs dat we het hebben gedaan – wanneer, door wie, met welk resultaat."
3. Effectiviteitsbewijs
Wat: Bewijs dat geïmplementeerde maatregelen daadwerkelijk effectief zijn – niet alleen dat ze bestaan.
NIS2-vereiste: Expliciet vereist onder Artikel 21(2)(f). De autoriteit wil niet weten dat u een proces hebt. Het wil weten of het werkt.
4. Incidentbewijs
Wat: Documentatie van incidentrespons – van detectie tot eindrapport.
NIS2-vereiste: Compleet, versiebeheerd, traceerbaar. Het eindrapport na één maand moet uitgebreide documentatie van de gehele incidentrespons bevatten.
5. Toeleveringsketen-Bewijs
Wat: Documentatie van de beveiligingsbeoordeling en monitoring van leveranciers en dienstverleners.
NIS2-vereiste: Overweging van de "specifieke kwetsbaarheden van elke individuele leverancier" en de "algehele kwaliteit van cybersecuritypraktijken" (Art. 21(2)(d)).
Bewijs Is Niet Hetzelfde als Documentatie
Een document wordt pas bewijs door context:
- Wie heeft het gemaakt? (Verantwoording)
- Wanneer is het gemaakt of laatst bijgewerkt? (Actualiteit)
- Is het goedgekeurd? Door wie? (Autorisatie)
- Hoe lang is het geldig? (Reikwijdte)
- Waar bevindt het zich? Wie heeft toegang? (Opvraagbaarheid)
- Welke versie is actueel? (Versiebeheer)
Het gaat niet om meer documenteren. Het gaat om het structureren van wat al bestaat zodat het op elk moment als bewijs kan dienen.
Opbouwen in de Praktijk
Fase 1: Inventarisatie (Week 1–2)
Breng in kaart wat al bestaat over de vijf bewijscategorieën. De meeste organisaties hebben aanzienlijk meer bewijs dan ze denken – het is alleen verspreid en niet als zodanig gelabeld.
Fase 2: Consolidatie (Week 3–6)
Centraliseer bestaand bewijs. Elk bewijsstuk krijgt metadata: eigenaar, aanmaakdatum, geldigheidsdatum, goedkeuringsstatus, versie.
Fase 3: Hiaten Dichten (Maand 2–4)
Bouw effectiviteitsbewijs op, werk toeleveringsketen-bewijs bij, bereid incidentbewijsstructuren voor.
Fase 4: Automatisering (Maand 3–6)
Identificeer welk bewijs automatisch kan worden gegenereerd: trainingsrecords uit het LMS, patchstatus uit vulnerability management, toegangslogs uit IAM.
Fase 5: Testen (Maand 4–6)
Simuleer een verzoek van de toezichthouder. Kunt u binnen vijf werkdagen leveren?
Bronnen
- Richtlijn (EU) 2022/2555 (NIS2-richtlijn) – Volledige tekst – Artikel 21(2)(f) over effectiviteitsbeoordeling, Artikelen 32 en 33 over toezichtbevoegdheden.
- ENISA – Implementing Guidance on NIS2 Security Measures – Implementatierichtlijnen inclusief bewijseisen.
- ISO/IEC 27001:2022 – Eisen voor interne audits, management reviews en continue verbetering als vergelijkingsbasis.