Kunt u NIS 2 overleven als uw meest cruciale IT geen MFA of logging ondersteunt?
Legacy IT is de olifant die iedereen ziet, maar weinigen willen bezitten. Of u nu water naar steden brengt, fabrieken van stroom voorziet of klinische apparatuur laat draaien, uw organisatie is vrijwel zeker afhankelijk van endpoints of servers die al jaren geen beveiligingspatch hebben gehad. De ongemakkelijke waarheid: NIS 2 plaatst deze ‘niet-migreerbare’ activa uit de operationele achtergrond in de schijnwerpers, waarbij aan elke onbeheerde levenscyclus en controlekloof een persoonlijk risico wordt toegekend (ENISA, 2023). Het is niet langer voldoende om deze te verdoezelen met beperkingen op het gebied van bedrijfscontinuïteit of bestaande leveranciers. De regelgeving vereist actief bestuur en afdwingbare controles, zelfs wanneer basisbeveiliging zoals multifactorauthenticatie (MFA) of bruikbare gebeurtenislogboeken technisch niet mogelijk zijn.
U heeft de impact al gezien: verlengingen liepen vast, vragen over verzekeringen liepen op, directies waren ongerust en klanten drongen aan op bewijs. Plotseling voelt de spreadsheet die 'oude servers' bijhoudt minder als technische schuld en meer als de auditboete van morgen. De centrale paradox is duidelijk: Hoe verzekert en bewijst u dat u de controle heeft over de activa die u het moeilijkst kunt veranderen?
Elk verouderd risico is een open vraag die om een gedocumenteerd antwoord vraagt, en geen passief excuus.
De inzet is niet theoretisch. Het niet demonstreren van risicomanagement voor verouderde systemen leidt niet alleen tot boetes van toezichthouders; het kan ook een reputatieschade opleveren in de bestuurskamer, deals in het due diligence-onderzoek doen mislukken of na een incident de verzekering ongeldig verklaren. En naarmate het eigenaarschap van deze risico's verschuift van het IT-team naar het bestuur, verdwijnen oude comfortzones. NIS 2 prikt in elk apparaat, elk systeem en elk schaduwspreadsheet dat veilig in de anonimiteit leek te blijven. Er is een draaiboek nodig waarin ‘onherstelbaar’ niet langer een blinde vlek is, maar een oproep tot leiderschap, daadkracht en geloofwaardige vooruitgang.
Waarom traditionele uitzonderingen u geen tijd of vertrouwen meer opleveren
Als u al meer dan een jaar compliance-kaders beheert, bent u waarschijnlijk bekend met de dans: de legacy-kloof blootleggen, deze in een register noteren, een mogelijke toekomstige upgrade voorstellen en hopen dat toezichthouders, verzekeraars of klanten het excuus van de noodzaak accepteren. NIS 2 transformeert deze dans in een choreografie van verantwoording. Artikel 21(2) is expliciet: Elk risico, inclusief die welke voortvloeien uit verouderde of verouderde systemen, moet worden toegewezen aan een eigenaar, formeel worden beoordeeld op bestuursniveau en worden aangetoond als actief verzacht of voorzien van middelen voor afsluiting. (EUR-Lex). Als u deze thread niet kunt weergeven-uitzondering verhoogd, eigenaar genaamd, controles in kaart gebracht, plan ingelogd, beoordeeld volgens het bestuur is uw houding ten aanzien van naleving objectief gezien ongeschikt.
De nieuwe lens: Uitzonderingen zijn niet langer ‘toestemming om stil te staan’ – ze zijn brandende lontenVerzekeraars hebben het gemerkt, net als inkoopteams en examinatoren. Als u een risicovolle legacy asset presenteert zonder volgende mijlpaal of door de raad van bestuur bekrachtigde beoordeling, kunt u hogere premies, dekkingsclausules of zelfs volledig verlies van omzet verwachten. De reden is simpel: zonder structuur wordt aangenomen dat legacy risk onbeheerd is en onbeheerd risico onverzekerbaar (AGCS).
De toezichthouder beschouwt het uitzonderingslogboek als een levende belofte, niet als een begraafplaats van inactiviteit.
Auditfouten in de praktijk hangen steeds vaker samen met een gebrek aan duidelijkheid: wie is de risicoeigenaar, wat is de interim-controle en hoe wordt het momentum richting afsluiting geforceerd. Bekijk deze momentopname van de risico-inventarisatie:
| Verouderd bezit | Eigenaar | Risicoscore | Sanering/migratieplan | Bestuursbeoordeling/ondertekend |
|---|---|---|---|---|
| Windows Server 2008 | IT Oeps | Hoog | “Buitengebruikstelling Q2 2025” | Ja (gemeten) |
| PLC aan het einde van de levensduur | Plant Direct | Gemiddeld–Hoog | Netwerksegment + monitor | Ja (2024) |
| Ongepatchte röntgen-pc | Klinisch | Hoog | Dubbele goedkeuring, vervang '26 | gemarkeerd |
Elke regel zonder een benoemde eigenaar, een haalbaar plan of een goedkeuring is nu een directe aanleiding voor een audittekort. Geen enkele technische rechtvaardiging compenseert een leemte in governance en eigenaarschap.
Beheers NIS 2 zonder spreadsheetchaos
Centraliseer risico's, incidenten, leveranciers en bewijsmateriaal op één overzichtelijk platform.
Wat telt en wat faalt als controles zoals MFA of logging niet mogelijk zijn
Moderne regelgeving is niet naïef ten aanzien van de beperkingen van operationele technologie (OT), gezondheidszorg, nutsbedrijven en productie. De verwachting is niet dat elk legacy-asset op magische wijze MFA, volledige SIEM-integratie of onmiddellijke uitfasering ondersteunt. De richtlijnen van NIS 2 en ENISA maken het duidelijk: als u geen standaardcontrole kunt implementeren (zoals MFA of logging), moet u een tijdelijke, gelaagde compenserende controle documenteren en een vervaldatum instellen om actief bestuur te bewijzen in plaats van technische overgave. (ENISA).
Veelvoorkomende auditvallen:
- Handmatige toegangslogboeken zonder reviewer: “Ploegleiders tekenen een papieren blad.” Alleen kortetermijnopdrachten if Er zijn aanwijzingen dat het wordt gecontroleerd, ondertekend en geleidelijk zal worden uitgefaseerd.
- Netwerkisolatie zonder toezicht: "We hebben het naar een VLAN verplaatst." Werkt alleen als het gedocumenteerd is, regelmatig wordt gevalideerd en gekoppeld is aan de vermeldingen in het risicoregister.
- Niet-gecontroleerde uitzonderingsregisters: "We houden een spreadsheet bij." Mislukt zonder duidelijke beoordelingscycli, toewijzing van eigenaren en mijlpalen voor de afsluiting.
Essentiële compenserende maatregelen wanneer ‘modern’ niet past:
- *Netwerksegmentatie met regelmatige audit en toegangscontrole.*
- *Dubbele controle (twee personen tekenen voor alle wijzigingen of bevoorrechte toegang.*
- *Videobewaking van toegangszones, met name in operatiekamers.*
- *Handmatige logboeken, die door het management op de voorgeschreven tijdstippen worden gecontroleerd en ondertekend.*
- *Gelaagde controles: vertrouw nooit op één noodoplossing.*
| Aanwinst | MFA? | Loggen? | Compenserende controle | Beoordelingsdatum | Sluitingsplan |
|---|---|---|---|---|---|
| Oude factureringsapp | Nee | Nee | Dienstlogboek + dubbele aftekening | Q2 2024 | Vervang Q1 2025 |
| Industriële PLC | Nee | Partieel | Gesegmenteerde, supervisor-toegangslogboeken | Monthly | Firmware-update in '25 |
Vergeet niet: Handmatige of alternatieve controles zijn altijd ‘tijdelijk en onderhevig aan verplichte herziening’. Het standpunt van ENISA is bot: tijdelijke oplossingen winnen tijd, maar geen vrijwaring van compliance. Hoe ouder of kwetsbaarder het bedrijfsmiddel, hoe strenger de beoordeling en hoe urgenter het sluitingsplan.
Een noodoplossing is een aftelling, geen vangnet. Het signaal is managementambitie, niet operationele inertie.
Hoe u compenserende controles structureert: toewijzing aan ISO 27001 en NIS 2
Het is verleidelijk om de kantjes eraf te lopen en een uitzondering "geaccepteerd" te verklaren wanneer IT geen MFA of logging kan implementeren. Maar in de praktijk draait het bij regelgevende en verzekeringstechnische controles allemaal om structuurISMS.online en ISO 27001:2022 geven u een blauwdruk: elke controlekloof moet worden gekoppeld aan:
- Een vermelding in het risicoregister (met een expliciete beschrijving van de activa, de kloof en de waarschijnlijke impact).
- Een vermelding in de Verklaring van Toepasselijkheid (SoA) (identificatie van de getroffen controle en waarom deze niet wordt gehaald).
- Compenserende controle(s) toegepast, gedocumenteerd en gelaagd (meer dan één verdedigingslinie).
- Benoemde vermogensbezitter en auditor of beheerder als beoordelaar.
- Bewijs van regelmatige evaluatie, voortgang en uiteindelijke oplossingen of risicoacceptatie op bestuursniveau.
Voorbeeld ISO 27001-brug:
| Verwachting | Operationalisering | ISO 27001 / Bijlage A Ref |
|---|---|---|
| Verantwoordingsplicht van het bestuur | Genoemde goedkeuring, risicobeoordeling | 5.3, A.5.4, A.5.36 |
| Activa-specifieke risicotracking | systeemstatus + expliciete eigenaar in register | 6.1, A.5.9, A.8.10 |
| Compenserende controles | Gedocumenteerd, gelaagd, tijdelijk | 6.1.3, A.8.15, A.8.34 |
| Beoordelings- en sluitingscyclus | Mijlpaal registreren, door het bestuur beoordeeld bewijsmateriaal | A.5.35, A.8.34 |
| Bewijsspoor | Goedkeuringslogboeken, SoA-update, sluitingsrecord | A.5.19–A.5.21 |
Minitabel traceerbaarheid:
| Trigger | Risico-update | Controle/SoA-koppeling | Bewijs geregistreerd |
|---|---|---|---|
| NIS 2-artikel, audit | Uitzondering geopend | A.5.19, A.8.15 | Uitzondering, aftekening |
| Personeelsverhuizingen, systeem omhoog | Eigenaar gewijzigd | Risicoregister, SoA | Notulen van de raad van bestuur, plan |
| Activa geüpgraded | Uitzondering gesloten | SoA-update | Migratieplan, ondertekenen |
Bij sterke controle gaat het minder om technische perfectie en meer om gedocumenteerde, beoordeelde voortgang richting risicoafsluiting, met bewijsmateriaal bij iedere schakel voor accountants, verzekeraars en besturen.
Wees vanaf dag één NIS 2-ready
Ga aan de slag met een bewezen werkruimte en sjablonen: pas ze aan, wijs ze toe en ga aan de slag.
Praktische auditoverleving: van uitzondering naar bewijsspoor
Geen enkel verhaal over naleving van verouderde IT-normen eindigt met een nette intentieverklaring. Auditparaatheid is de som van een levend bewijsspoor dat aantoont dat elke uitzondering wordt beheerd, beoordeeld, voorzien van middelen en gedwongen wordt om te worden afgesloten in een bepaald ritme. (BSI). ISMS.online bouwt deze cyclus rechtstreeks in platformwerkruimten en dashboards:
1. Identificatie en eigendom
- Elk bestaand bezit wordt ingevoerd in een traceerbaar register, getagd door de technische eigenaar en de board reviewer.
- Compenserende controles worden, hoe handmatig ook, expliciet toegewezen en gelaagd.
2. Documentatie en tijdelijke controles
- Alle controles worden als 'tijdelijk' vermeld, met verval-, beoordelings- en escalatiedata gecodeerd in het platform.
- Voor elke uitzondering is SoA gekoppeld, met verwijzingen naar activa, risico's en bewijs.
3. Actieve beoordeling en handtekening
- Goedkeuring door het management is vereist, niet alleen tijdens de risico-update, maar bij elke beoordelingscyclus. Er zijn geen ‘stille’ logboeken.
- Voor elke uitzondering is een sluitingsplan nodig. Standaard worden onbepaalde uitzonderingen gemarkeerd en niet verborgen.
4. Sluiting of risicoacceptatie
- De migratie of buitengebruikstelling van activa wordt vastgelegd met bewijs.
- Als migratie niet mogelijk is, moet de risicoacceptatie worden goedgekeurd door het bestuur of de directie. Deze goedkeuring moet worden vastgelegd in zowel de SoA als het risicoregister, zodat audittracering mogelijk is.
Checklist voor het overleven van een audit of verzekeringsbeoordeling:
- Is elke lacune in het risicoregister, de SoA en het goedkeuringslogboek-en komen de data, handtekeningen en mijlpalen overeen?
- Worden handmatige logboeken of tijdelijke oplossingen gecontroleerd, ondertekend en begrensd door de geplande vervaldatum?
- Kunt u dit bewijsmateriaal direct exporteren naar accountants, verzekeraars of klanten?
Het sterkste compliance-verhaal wordt verteld op basis van het bewijs, niet op basis van de intentie.
Het beheren van de houdbaarheid van handmatige logboeken en compensaties
Handmatige logboeken, spreadsheets en badgebladen zijn geen nalevingsplannen, maar afteltimers. De houdbaarheid wordt bepaald door zichtbaarheid, controle en sluitkracht.
Audit-geïnspecteerde aanvaardbaarheid voor handmatig bewijsmateriaal:
| Handmatig bewijstype | Houdbaarheid van de audit | Voorwaarde voor acceptatie |
|---|---|---|
| Getekend logboek | ≤ 12 maanden (max) | Gekoppeld aan risicobeheersing, beoordeeld, sluitingsplan |
| Badge-/toegangsbladen | ≤ 6 maanden | Dubbele controle, regelmatige beoordeling, geplande afsluiting |
| Controlelijst voor spreadsheets | 1 auditcyclus | Bij elke beoordeling bijgewerkt, ondertekend en uitgevoerd |
| Niet-beoordeelde logs/bestanden | Geen | Onmiddellijke rode vlag/falen |
Elke keer dat een uitzondering ter beoordeling wordt voorgelegd en niet wordt afgesloten – of op zijn minst richting afsluiting wordt gebracht – neemt de bewijskracht ervan af. Een compenserende controle die niet wordt beoordeeld, verandert binnen een kwartaal van een actief in een passief. Het ‘bewijs’ is altijd hoe dicht u bij een afsluiting bent, niet hoe goed u uw inactiviteit kunt rechtvaardigen.
Wanneer u twijfelt, vraag dan het volgende: Als onze verzekeringsclaim of de deal met de klant op dit logboek zou zijn gebaseerd, zou een externe beoordelaar dan het traject naar de afsluiting kunnen zien?
Al uw NIS 2, allemaal op één plek
Van artikelen 20-23 tot auditplannen: voer ze uit en bewijs dat ze van begin tot eind voldoen aan de regelgeving.
Sector- en nationale overlays: wanneer NIS 2 slechts de basislijn is
De werkelijkheid is simpel: Sectorale en nationale regels overschaduwen vaak de basismandaten van de EUVoor energie, gezondheidszorg, kritieke productie en bepaalde nationale aanbieders (Duitsland, Spanje, VK) ligt de lat aanzienlijk hoger. Uw uitzonderingslogboek moet zowel de meest stringente lokale sjabloon en NIS 2-kern.
Voorbeelden van nationale overlays:
| Sector | Nationale regel | Frequentie van uitzonderingsbeoordeling | Eigenaar | Sjabloonbron |
|---|---|---|---|---|
| NHS (VK) | NCSC NHS Digitaal | Jaarlijks minimum, goedkeuring door het bestuur | CIO | nhsdigital.nhs.uk |
| Duitse Energie | BSI IT-SiG3 | Jaarlijkse + maandelijkse controle | CISO | bsi.bund.de |
| Spaanse nutsbedrijven | Koninklijk besluit 43/2021 | Maandelijks, regelgevend leidend | Regelgevende | mincotur.gob.es |
Uw ISMS moet deze structuren importeren, aanvullen of aanpassen aan de Europese kernvereisten. Ga ervan uit dat audits en verzekeraars de strengste lokaal relevante overlay toepassen, niet alleen de NIS 2-standaard.
Het opstellen van een verdedigbare legacy IT-routekaart: vervangen, isoleren of documenteren.
Een modern legacy-risicoplan is een levend systeem, geen eindejaarsspreadsheet. De operationele discipline vereiste:
- Catalogus van alle activa: Per eigenaar, risico, compenserende controle, beoordelingsschema en sluitingsplan.
- Toewijzen aan bedieningselementen: Koppel elke asset en uitzondering aan ISO 27001 of NIS 2 artikel 21(2) referenties.
- Force review-cadans: Verificatie, toewijzing van middelen of migratie moeten op bestuursniveau worden afgedwongen met behulp van systeemgestuurde herinneringen.
- Automatiseer het vastleggen van bewijsmateriaal: Elke goedkeuring van de eigenaar, beoordeling door een beoordelaar of planwijziging is zichtbaar in een digitaal auditlogboek en zit niet verstopt in e-mails of verspreide bestanden.
- Sjabloonupdates: Nationale overlayplannen en sectorspecifieke rapportages moeten gekoppeld zijn aan uw ISMS en mogen niet als schaduwprocessen fungeren.
Wanneer er beoordelingen door het bestuur of toezichthouders plaatsvinden, moet uw routekaart zich ontvouwen als een reeks actieve, door de eigenaar toegewezen, op afsluitingen gebaseerde uitzonderingen, die het momentum en de verantwoordingsplicht aantonen. Niet-behandeld erfgoed is nu een contractuele, financiële en strategische verplichting.
Het zichtbaar en veerkrachtig maken van het Risk Loop Board: het voordeel van ISMS.online
Er is een operationeel verschil tussen ‘compliant op papier’ en ‘audit-ready in action’. ISMS.online biedt meer dan alleen een risicoregister: het automatiseert kruisverbanden tussen activa, eigenaren, mitigatiestappen, goedkeuringslogboeken, SoA-vermeldingen en bewijsmateriaal voor afsluiting, waardoor de verantwoordelijkheid wordt vastgelegd en uitzonderingen een centraal onderdeel van de nalevingscyclus worden in plaats van een blinde vlek..
Voordelen in de dagelijkse praktijk:
- Dashboards geven voor elk item weer of het is gemigreerd, is gemitigeerd of in afwachting is van acceptatie.
- Het bestuur of de toezichthouder kan elke uitzondering traceren op basis van eigenaar, risico, ingevoerde controles en beoordelingscyclus. Alle handtekeningen en mijlpalen zijn voorzien van een tijdstempel en zijn direct beschikbaar.
- Crosswalking sector overlays en NIS 2 worden beheerd via gekoppelde registers, bewijsbanken en sjabloongestuurde meldingen.
- Audit- en verzekeringsbeoordelingen veranderen van paniek in een showcase: een kaart van veerkracht, geen verontschuldiging voor uitzonderingen.
Laatste CTA:
Uw legacy IT wordt niet alleen getolereerd, maar is ook essentieel voor de naam en reputatie van uw bedrijf. Beheer de uitzonderingscyclus. Maak elk risico verantwoord, zichtbaar en sluitend - niet eeuwig vastzitten in onderhoud. Bewijs aan elke auditor, klant en bestuurslid dat uw uitzonderingsbeheer actief, gestructureerd is en risico's in elke cyclus afremt. Moderne naleving wordt niet gemeten aan de hand van een technische utopie, maar aan de hand van uw controleerbare reis van gap naar closure. Maak die reis realistisch, meetbaar en zichtbaar voor het bestuur met ISMS.online.
Wanneer legacy niet langer wordt beheerd, is het risico de baas van het bedrijf. Wanneer u de exception loop beheert, wordt risico uw bewijs van controle.
Veelgestelde Vragen / FAQ
Wie is verantwoordelijk voor de hiaten in de IT-naleving onder NIS 2, en welke veranderingen moeten directies en managers doormaken?
NIS 2 legt de directe verantwoordelijkheid voor legacy IT-risico's bij de raad van bestuur en het management – niet alleen bij de IT-leiding – waardoor elk onopgelost hiaat een zorgpunt in de bestuurskamer wordt. Artikel 21(2) van de richtlijn schrijft voor dat elk "onherstelbaar" legacy asset (niet-ondersteunde servers, verouderde PLC's, legacy netwerkapparatuur) een benoemde eigenaar, een controlecyclus en een formeel vastgelegd mitigatie- of risicoacceptatieplan op managementniveau moet hebben. Dit is meer dan procedureel: als eigenaarschap of voortgang vaag is, verwachten toezichthouders en auditors nu dat ze het management, en niet de IT-afdeling, aanspreken op aanhoudende risico's.
Leiderschap wordt niet langer gemeten aan de hand van handtekeningen op een beleid, maar aan transparante vooruitgang op elk open punt.
Traditioneel risicomanagement is een test van zichtbaar leiderschap geworden. Spreadsheets of ongetekende logboeken zijn onvoldoende: elke uitzondering moet terug te voeren zijn op specifieke bestuurlijke verantwoordelijkheden, waarbij actieplannen regelmatig worden vastgelegd en geëvalueerd. Van besturen wordt nu verwacht dat ze overstappen van passieve goedkeuring van uitzonderingen naar proactieve beoordeling, waarbij het sluiten van uitzonderingen en de voortgang bij het mitigeren ervan onderdeel uitmaken van de voortdurende nalevingsprestaties.
Tabel met eigendom van oude activa
| Verouderd bezit | Eigenaar | Volgende recensie | Mitigatieplan |
|---|---|---|---|
| 2010 Betalingsserver | CTO | 2024-10-01 | Segregatie; geen MFA mogelijk |
| Fabrieks-PLC (lijn 2) | Hoofd Operaties | 2024-07-15 | Geplande pensionering Q1 2025 |
| Legacy-router | Netwerkleider | 2024-09-01 | Toegang alleen met badge, netwerkisolatie |
De conclusie? Besturen moeten voor elke uitzondering traceerbare, controleerbare eigenaarschaps- en actieplannen bijhouden, anders lopen ze het risico op directe blootstelling tijdens audits of incidentbeoordelingen.
Welke compenserende maatregelen zijn sterk genoeg voor oudere systemen, en wat zijn de grenzen?
Echte compenserende controles worden alleen geaccepteerd voor bestaande activa als ze worden behandeld als tijdelijke bruggen, niet als permanente mazen in de wet. Zowel accountants als toezichthouders verwachten nu een gelaagde, verdedigbare aanpak, inclusief (maar niet beperkt tot):
- Strikte fysieke toegangscontroles (badges, biometrie, afgesloten ruimtes),
- Verharde netwerksegmentatie (geïsoleerde VLAN's met firewallbeperkingen),
- Goedkeuring door twee personen (dubbel) voor kritieke administratieve acties,
- Handmatige logboeken met geplande managementbeoordeling en goedkeuring,
- Afgedwongen periodieke wachtwoordwijzigingen,
- Geplande beoordelingen op bestuursniveau en notulen van updates over elke uitzondering.
Deze controles worden echter alleen geaccepteerd als uit bewijsmateriaal blijkt dat:
- Elke uitzondering wordt formeel gerechtvaardigd, niet alleen door IT-beheer,
- Controles worden met geplande tussenpozen herzien en ofwel uitgebreid ofwel afgeschaft,
- Er zijn sluitings- of migratieplannen opgesteld en deze worden gevolgd,
- Toezicht door het management is controleerbaar, maar niet impliciet.
Controleurs vertrouwen op wat ze kunnen traceren: compenserende controles zonder tijdslimieten worden compliance-zwakheden.
Compenserende controle snapshot
| Aanwinst | Controle toegepast | Locatie van auditbewijs | Volgende recensie |
|---|---|---|---|
| Payroll-server (verouderd) | Afgesloten serverruimte | Badge-logboek, afmelding | 2024-11-01 |
| Verouderde schakelaar | Gesegmenteerde VLAN | Netwerkconfiguratiedocumentatie | 2024-09-15 |
| PLC (lijn 2) | Handmatig logboek | Ploegendienst, ondertekend | 2024-07-15 |
Besturen moeten er rekening mee houden dat compenserende maatregelen in twijfel worden getrokken en moeten aantonen dat zij regelmatig overgaan tot het sluiten van risico's of het migreren van activa.
Hoe moeten uitzonderingen voor oudere technologie worden gedocumenteerd voor NIS 2-audits en beoordelingen van cyberverzekeringen?
Uitzonderingsbeheer onder NIS 2 is nu een test van traceerbaarheid en verdedigbaarheid. In plaats van statische goedkeuringslogboeken of algemene uitzonderingen, wordt een levend verslag verwacht:
- Elk legacysysteem moet in uw risicoregister worden vermeld,
- Technische leemte en zakelijke onderbouwing moeten duidelijk zijn,
- Specifieke compenserende controles worden gedocumenteerd en getest,
- Er wordt een bepaald eigenaarschap toegekend (idealiter met zichtbaarheid voor het bestuur/management),
- Evaluatiedata en voortgangsmijlpalen worden gepland en vastgelegd (handtekeningen, notulen van vergaderingen, geëxporteerde logboeken),
- Sluitings- of migratiedoelen moeten expliciet zijn, niet alleen taalgebruik in de ‘routekaart’.
Dit alles is gekoppeld aan uw Verklaring van Toepasselijkheid (SoA), waarin uitzonderingen worden gekoppeld aan beheersmaatregelen zoals ISO 27001:2022 Bijlage A.8.8 of analoge clausules (ISO/IEC 27001:2022). Geïntegreerde platforms zoals ISMS.online kunnen dit automatiseren door activagegevens, risicologboeken, compenserende beheersregistraties, goedkeuringen en ondersteunend bewijsmateriaal op één plek te koppelen, waardoor uitzonderingen direct auditklaar zijn.
Of er sprake is van volwassen naleving, wordt gemeten aan de hand van het aantal gesloten uitzonderingen, niet aan de hand van geregistreerde excuses.
Uitzonderingstraceerbaarheidstabel
| Trigger | Risico Logboek Ref | SoA-koppeling | Controle toegepast | bewijsmateriaal |
|---|---|---|---|---|
| Einde levensduur van activa | A.8.8 kloof | Activa_x123 | VLAN, handmatige logs | Bestuur min, auditpakket Q2 |
Het ontbreken van actieve, gecontroleerde uitzonderingsrecords is nu een waarschuwingssignaal voor zowel auditors als cyberverzekeraars. Elke uitzondering zou moeten wijzen op een geplande sluitings- of migratiedatum.
Hoe veranderen nationale of industriële regels de naleving van NIS 2-legacysystemen?
Compliance stopt niet bij de EU-grenzen: de meeste landen en gereguleerde sectoren voegen nu extra regels of strengere regels toe aan NIS 2. Enkele belangrijke voorbeelden:
- VK NHS Digital: Vereist jaarlijkse goedkeuring door het bestuur, ontmantelingsplannen en volledige documentatie over activa en voortgang van zorgsystemen.
- BSI van Duitsland: Vereist maandelijks door het bestuur beoordeeld bewijs en unieke toewijzing van eigenaren voor de energie-/infrastructuursectoren.
- Koninklijk Besluit 43/2021 van Spanje: Vereist maandelijkse uitzonderingsbeoordelingen en regelgevende bewijsstukken voor nutsbedrijven/leveranciers.
De 'goedkeuring' van het ene land kan elders mislukken, vooral als sectorbeoordelingen een hogere frequentie, extra documentatie of speciale rapportagesjablonen vereisen. Zorg voor versiebeheerde pakketten om te voldoen aan zowel EU- als sector-/nationale audits en controleer regelmatig op aankomende wetswijzigingen.
Nationale overlays zijn geen prettige bijkomstigheid voor compliance, maar behoren nu tot het kernrisicogebied.
Overlay-vergelijkingstabel
| Aanwinst | Land | Sector | Beoordelingscyclus | Regelgevend sjabloon |
|---|---|---|---|---|
| MRI-scanner | UK | Gezondheidszorg | Annual | NHS Digitale Naleving |
| SCADA-mainframe | Duitsland | Energy | Monthly | BSI KritisV |
| Utility-server | Spain | Nutsbedrijven | Monthly | Koninklijk besluit 43/2021 |
Voor multinationale organisaties moet de integratie van overlays deel uitmaken van uw SoA- en interne beoordelingscyclus.
Worden handmatige logboeken of spreadsheets nog steeds geaccepteerd als bewijs voor verouderde controles? En wat is de auditdrempel?
Handmatige logboeken en spreadsheets worden onder NIS 2 alleen geaccepteerd als kortetermijn-, overgangsbewijs-nooit als permanente nalevingsmaatregelen. Auditors eisen:
- Directe koppeling met het risicoregister en SoA,
- Goedkeuring en beoordeling door het management (niet alleen IT) op elk vastgesteld tijdstip (minimaal per kwartaal),
- Een vastgesteld sluitingsplan met een concrete deadline voor de migratie naar geautomatiseerde, veilige oplossingen,
- Logboeken en bewijsmateriaal dat regelmatig wordt beoordeeld en bijgewerkt (BSI Group, 2024).
Ongecontroleerde, permanente spreadsheets vormen nu een compliance-risico, geen tijdelijke oplossing. De gebruikelijke 'houdbaarheid' is één auditcyclus of 6-12 maanden. Het verlopen van spreadsheets, de beoordeling ervan en de overgang naar een robuustere oplossing moeten worden gedocumenteerd en het bewijs moet voor het bestuur zichtbaar worden gemaakt.
Spreadsheets die permanent worden, erven de aansprakelijkheid voor elk gemist logboek en elke niet-ondertekende goedkeuring.
Handmatige bewijstabel
| Bewijstype | Beoordelingsinterval | Geplande sluitingstrigger |
|---|---|---|
| Badge-logboekblad | 3–6 maanden | Geplande migratie |
| Excel-risicoblad | Auditcyclus | Geautomatiseerde logboeken geïmplementeerd |
| Gesigneerd logboek | <12 maanden | Activa ontmanteld |
Koppel de vervaldatum aan een migratie of een wijziging in activa. Laat de vervaldatum nooit als een open einde gelden.
Wat is het proces op bestuursniveau voor het wegwerken van verouderde IT-risico's en hoe implementeert ISMS.online NIS 2/ISO 27001-maatregelen?
Een verdedigbare routekaart voor het bestuur van risico's op het gebied van legacy-IT combineert:
- Volledige activacatalogus met een gap/criticality score,
- Duidelijke toewijzing van technisch en uitvoerend eigenaar naar elk legacy-systeem,
- Uitzondering in kaart brengen aan specifieke ISO 27001 / Bijlage A en NIS 2 Artikel 21(2) controles,
- Bewijsworkflow- mijlpalen, actielogboeken, afsluitingstracking en audit-/verzekeraarsklare exporten beoordelen,
- Automatisering- met platforms zoals ISMS.online die dashboards bieden voor het actief sluiten van uitzonderingen, geplande herinneringen en exporteerbaar bewijs van de voortgang ((https://nl.isms.online/solutions/legacy-systems-and-isms/)).
Naleving door het bestuur betekent dat elk risicovol actief een naam, een beoordelingsdatum, een actie en een afsluitingslogboek heeft dat elke audit verder brengt.
Tabel met nalevingsmijlpalen
| Stap voor | uitgang |
|---|---|
| Activa inventaris | Geregistreerde activa, kritieke hiaten |
| Toewijzing van eigenaar | Live matrix met geplande reviews |
| Uitzondering in kaart brengen | SoA/risicokoppeling aan elke uitzondering |
| Bewijs volgen | Controlelogboeken, auditklare exporten |
| Sluiting voortgang | Status + data, ondertekend door het management |
Met ISMS.online is elke stap traceerbaar, papierloos en klaar voor beoordeling door de raad van bestuur of een audit. U mist geen uitzonderingen meer in de ruis.
Hoe zorgen ISO 27001:2022 en NIS 2 ervoor dat uitzonderingsbeheer een uitvoerbaar, auditklaar proces wordt?
Zowel ISO 27001:2022 als NIS 2 vereisen traceerbaarheid, rolgebaseerde verantwoording en bewijs voor elke technische lacune en uitzondering. Begin met het in kaart brengen van actieve uitzonderingen en activaregistraties aan hun Annex A- en NIS 2-beheerpunten, wijs eigenaren toe, stel geautomatiseerde beoordelingscycli in en koppel elke actie aan goedkeurings-/exportlogboeken. Het doel is om een bewijsketen te creëren die direct van activa naar uitzondering tot sluitingsdatum kan worden overgedragen, klaar voor documentatiecontrole tijdens elke audit, bestuurs- of verzekeraarsvergadering (ISO/IEC 27001:2022).
Uw volgende stap: implementeer (of update) een uitzonderingsregister dat is gekoppeld aan alle relevante controles, integreer het met bewijsworkflows en beoordelingsschema's van het bestuur en automatiseer herinneringen zodat de uitzonderingsstatus nooit kan verouderen. ISMS.online biedt kant-en-klare tools om elke lacune, goedkeuring en actie te koppelen aan één enkel, voor het bestuur zichtbaar pad.
Elke afgesloten uitzondering zet verouderde risico's om in leiderschap op het gebied van compliance. Elke actie is een bewijs.
Maak uw uitzonderingsproces openbaar, koppel het aan bestuursschema's en toon continue, op afsluiting gerichte voortgang. Dat is de nieuwe norm voor audits en het vertrouwen van verzekeraars onder NIS 2 en ISO 27001:2022.
