Hoe is patchmanagement van cruciaal belang geworden voor compliance, en niet alleen voor IT?
Patchbeheer, ooit het domein van stille IT-teams, is nu een zichtbaar probleem op bestuursniveau. Onder NIS 2, ISO 27001 :2022 en moderne inkoopnormen, is patching van louter onderhoud uitgegroeid tot een vertrouwensmaatstaf voor klanten, toezichthouders en de directie. Directeuren erkennen steeds vaker dat hiaten in het bewijsmateriaal van het patchproces wijzen op operationele risico's, financiële risico's en een bedreiging voor de geloofwaardigheid van het bedrijf. Het huidige compliancelandschap vereist rigoureuze, exporteerbare logs voor elke patch, uitzondering en leveranciersgebeurtenis (ENISA NIS2-richtlijnen; Gartner Security Reports).
Een patch die niet is bewezen, is nu net zo riskant als een patch die niet is uitgevoerd. Naleving, aanschaf en beveiliging zijn allemaal afhankelijk van het bewijs.
De lat voor regelgeving is hoger komen te liggen: het is niet langer voldoende om patches toe te passen, je moet je proces, goedkeuringen en onderbouwing in realtime kunnen weergeven. Directies willen dashboards die KPI's in kaart brengen, zoals de time-to-patch, openstaande uitzonderingen en de status van de toeleveringsketen. Auditors vragen nu: "Kun je met één klik laten zien wie een vertraagde update heeft goedgekeurd, welke leverancier te laat is en hoe het risico is beperkt?" Beveiligingsleiders moeten klaarstaan om te antwoorden – niet alleen intern, maar ook aan partners, klanten en toezichthouders.
Waarom routinematige updates niet langer voldoen aan de eisen van audit-ready patch management en welke eisen dat vereist
Aanvallers bepalen het ritme. Kwetsbaarheden duiken dagelijks op en de "maandelijkse patchcyclus" is veel te traag voor zowel wettelijke verplichtingen als het dreigingslandschap. Een ISMS dat geen respons kan documenteren, erkent risico's en uitzonderingsafhandeling is niet langer een privé-IT-aangelegenheid: elke lacune moet worden beoordeeld, risicogebaseerd en met bewijsmateriaal worden ingediend bij toezichthouders, klanten en besturen (TechRadar AI Threats 2025; ENISA Audit). Lessons Learned).
Een hiaat in het patchproces wordt een probleem van morgen als je op verzoek geen bewijs, rechtvaardiging en oplossingsrichting kunt aandragen.
Moderne naleving vereist:
- Beoefenaars: om werk te loggen, vertragingen of uitzonderingen te rechtvaardigen en te documenteren risicobeoordelingen-alles in realtime.
- Senior leiders: om KPI's te monitoren: de leeftijd van niet-gepatchte CVE's, de tijd tot het sluiten van uitzonderingen en openstaande problemen met leveranciers.
- Juridische/privacyteams: om bewijsmateriaal voor DPIA te coördineren, incidentmeldingen SAR's, met verwijzing naar elke uitzondering en vertraging.
Nationale instanties en contractpartners verwachten dit holisme: geen losse registraties meer, geen 'het archiveren aan het einde van het kwartaal' meer. Als uw documentatie niet live en traceerbaar is, kan een inbreuk op de leverancierswetgeving of een trage patch de regelgevings- en financiële risico's binnen uw organisatie vergroten.
Beheers NIS 2 zonder spreadsheetchaos
Centraliseer risico's, incidenten, leveranciers en bewijsmateriaal op één overzichtelijk platform.
Is uw patchproces daadwerkelijk risicogebaseerd en hoe bewijst u dit?
Geen enkel bedrijf kan alles tegelijk patchen. De opdracht: documenteer uw onderbouwing, triage en resultaten, met name voor kritieke assets, bekende kwetsbaarheden en afhankelijkheden in de toeleveringsketen (ISO 27001:2022 Bijlage A.8.8, A.5.21; ENISA Supply Chain Study).
Uit statistieken over inbreuken blijkt dat de grootste contract- en auditfouten beginnen bij één enkel, onverklaard probleem, meestal in de toeleveringsketen.
De nieuwe standaard is risicogewogen en gebaseerd op bewijs:
- Prioriteit: Concentreer u op bedrijfskritische activa en integraties met kernleveranciers.
- Bewijs: Houd continu exporteerbare logboeken bij met koppelingen naar risicoregister en SoA.
- Uitzonderingen: Laat elke uitzondering goedkeuren en koppel deze aan een specifieke asset, bedrijfsrisico en beoordelaar.
Voorbeeldtabel traceerbaarheid
| **Trekker** | **Risico-update** | **Controle/SoA-koppeling** | **Bewijs** |
|---|---|---|---|
| Nieuwe CVE-kritiek | Risico verhogen | Bijlage A.8.8 (kwetsbaarheidsbeheer) | Dashboardbewijs, invoer risicotracker |
| Leveranciersvertraging | Contractrisico bijwerken | Bijlage A.5.21, leverancier | SLA-document, uitzonderingsnotitie, contractuele kruiskoppeling |
| Uitzondering nodig | Risiconotitie geregistreerd | Wijzigingslogboek, leveranciers-SLA | Uitzonderingsgoedkeuring + reviewer in log |
| Patch toegepast | Activa/KPI bijgewerkt | Vermogensbeheer, audittraject | Ondertekende voltooiing, bewijs, auditkoppeling |
Tegenwoordig wordt elk bedrijf niet alleen beoordeeld op de snelheid van technische patches, maar ook op de nauwkeurigheid en volledigheid van zijn oplossingen. bewijsspoor.
De ISMS.online-aanpak: naadloze naleving, geautomatiseerd bewijs en leveranciersbewijs
ISMS.online is ontworpen voor deze post-NIS 2-realiteiten. Waar patching vroeger een bijzaak was voor de beheerder, integreren onze gebruikers het nu als een continue, geregistreerde workflow, waardoor zowel de interne als de leveranciersbeheerintegratie wordt geautomatiseerd. Deze aanpak is ontworpen voor:
- Kickstarters voor compliance: Geen patchverwarring meer; elke actie wordt gekoppeld aan controles, beleidsregels en bewijslogboeken.
- CISO's/beveiligingsleiders: “Dashboards houden elke gebeurtenis, uitzondering en risico bij, waardoor u over meetgegevens voor het bestuur beschikt.”
- Beoefenaars: “Batch-ondertekeningen en sjabloongestuurde goedkeuringen vervangen tijdrovende administratie.”
- Privacy/Juridisch: “Elke patch, gebeurtenis en incident is direct gekoppeld aan SAR, DPIA en proces verbaaling-protocollen.”
Zorg dat uw ISMS-documentatie altijd vooropstaat bij uw volgende audit of aanvraag voor de toeleveringsketen.
Onze mapping is afgestemd op ISO 27001, NIS 2, DORA en GDPR van patch-activiteiten op activaniveau tot de risicoregister en contractdashboards. Patchgaten bij leveranciers activeren uitzonderingsregistratie en inkoopacties. Bewijspakketten zijn klaar vóór audits, niet erna, waardoor de risico's in de verkoopcyclus worden verminderd en het vertrouwen van de klant wordt vergroot (ISMS.online Features).
Wees vanaf dag één NIS 2-ready
Ga aan de slag met een bewezen werkruimte en sjablonen: pas ze aan, wijs ze toe en ga aan de slag.
Automatisering van auditbestendige patchlogs: hoe ISMS.online de werklast vermindert en het vertrouwen vergroot
Handmatige documentatie kan het tempo simpelweg niet bijbenen. ISMS.online verplaatst het proces van "papierjacht bij audit" naar live, georkestreerd bewijs:
- Dashboards: Status en uitzonderingen in realtime weergeven.
- Rolgebaseerde workflow: registreert elke rechtvaardiging, beoordelaar en goedkeuring - elke actie wordt aan de juiste belanghebbende gepresenteerd ("wie, wanneer, wat, waarom").
- Leveranciersgegevens: Patchlogs en SLA's van derden worden geregistreerd en zijn beschikbaar voor export, waardoor inkoopcycli en controles op naleving van contracten worden vereenvoudigd.
- Terugdraaien van incidenten: Handmatige aanpassingen of urgente problemen moeten worden gedocumenteerd en er moet een risicobeoordeling worden uitgevoerd voordat ze worden afgesloten. Logboeken worden automatisch gekoppeld aan herstelmaatregelen en controles (TechTarget Patch Management Software).
De voorbereiding op een audit is niet alleen vóór de audit zelf, maar ook elke dag, in elke workflow.
Teams die automatiseren, zien niet alleen minder auditbevindingen, maar ook een strakker leveranciersmanagement en een meetbare vermindering van operationele risico's. Automatisering is niet alleen technische efficiëntie - het is een onderscheidende factor die auditors, inkopers en toezichthouders in één klap geruststelt.
Patchdocumentatie auditklaar maken en daar houden
De meest voorkomende bevinding bij audits? Geen ontbrekende patch, maar een onduidelijke "wie/wanneer/waarom" voor uitzonderingen en vertragingen. Voor moderne compliance is het alleen onveranderlijke, contextuele logs toegewezen aan risico en SoA zullen volstaan (ISO 27001 Clausule Review).
Patch Compliance Traceability Tabel
| **Evenement** | **Bewijs vereist** | **ISMS.online-logboek** |
|---|---|---|
| Patch uitgesteld | Risiconota, goedkeuring, uitzondering | Uitzonderingsrecord, ondertekenaar, datum |
| Rollback | Incident oorzaak, wijzigingslogboek | Memo over gekoppeld incident en grondoorzaak |
| Patch succes | Testresultaten, goedkeuringen, beoordelaar | Activa-invoer, goedkeuring, dashboard |
Als u klaar bent voor een audit, hoeft u nooit meer te zoeken naar bewijsmateriaal. Uw systeem moet ervoor zorgen dat u altijd voorbereid bent.
Voor leidinggevenden betekent dit dat de logs even nuttig zijn voor inkoop en audits als voor beveiliging. Voor professionals betekent het een goede nachtrust en vertrouwen bij elke bestuursvergadering of elk klantgesprek.
Al uw NIS 2, allemaal op één plek
Van artikelen 20-23 tot auditplannen: voer ze uit en bewijs dat ze van begin tot eind voldoen aan de regelgeving.
Continue verbetering: de patchmanagementlus sluiten
Goed patchmanagement is circulair, niet lineair. Uw uitzonderingen en incidenten moeten de basis vormen voor toekomstige veerkracht. Frameworks (NIS 2, ISO 27001, DORA) vereisen steeds vaker bewijs van continue verbetering: geleerde lessen moeten leiden tot meetbare veranderingen (ENISA Outage Reduction Case).
- Bij elk incident of elke terugdraaiing wordt een analyse van de grondoorzaak uitgevoerd, waarna het patchbeleid en de automatiseringsinstellingen opnieuw worden gekalibreerd.
- Bij de kwartaal- of jaarlijkse managementbeoordeling worden ISMS.online-dashboards gebruikt om de aandacht te vestigen op nog openstaande uitzonderingen, knelpunten bij leveranciers en de volgende doelen voor proces- of gereedschapsupgrades.
- Hiermee is de cirkel rond: *documentatie → beoordeling → aanpassing → verbeterde veerkracht*.
Uw auditlogboek is meer dan een trofee voor naleving: het is een controlebord voor wat er moet worden verbeterd vóór het volgende kwartaal of de volgende aanvaller.
Maak van patchcompliance uw trustversneller, niet alleen een controlemiddel
Patchbeheer, ooit onzichtbaar, is nu cruciaal voor de geloofwaardigheid en compliance van uw bedrijf. Met ISMS.online worden elke patch, uitzondering, leveranciersgebeurtenis en elk bedrijfsrisico niet alleen geregistreerd, maar ook direct zichtbaar, gekoppeld en geëxporteerd voor audit, inkoop of wettelijke beoordeling. Het resultaat: u besteedt minder tijd aan brandjes blussen en meer tijd aan het tonen van veerkracht en het ontsluiten van kansen.
In een wereld waarin herstel nooit gegarandeerd is, zorgen realtime patchlogs met bewijsvoering ervoor dat u niet alleen voldoet aan de regelgeving, maar ook concurrerend blijft.
Transformeer patchmanagement tot een zakelijk voordeel. Implementeer de workflows en het bewijs waar kopers, auditors en het bestuur om vragen. Upgrade uw praktijk: laat bewijs voor u werken.
Veelgestelde Vragen / FAQ
Waarom is patchbeheer volgens NIS 2 Sectie 6.6 een keerpunt voor compliance- en beveiligingsteams?
NIS 2 Sectie 6.6 transformeert patchmanagement van een interne IT-routine naar een continue, controleerbare controle die zowel door toezichthouders als klanten moet worden gecontroleerd. Elke beveiligingspatchactie – goedkeuring, uitstel, uitzondering of leveranciersupdate – moet nu worden beoordeeld op risico, rolgoedkeuring en direct exportklaar zijn. "Best effort" of "IT-logs" zijn niet langer voldoende: organisaties moeten gedetailleerde, stapsgewijze procesdiscipline aantonen. Autoriteiten en klanten verwachten dat alle patching, inclusief die van derden, traceerbaar is en direct gekoppeld kan worden aan echte risicobeslissingen en verantwoordelijk personeel.
Bewijs, en niet alleen intentie, is nu de valuta van digitaal vertrouwen.
Belangrijkste verschillen:
- Elk uitstel van een patch of elke uitzondering moet worden goedgekeurd door een risico-eigenaar, worden geregistreerd en klaarstaan om de redenatie aan een auditor te laten zien. Het mag niet worden weggestopt in een e-mail of ticketsysteem.
- Logboeken moeten onveranderlijk, rolgebaseerd en centraal zijn en mogen niet verspreid of met terugwerkende kracht samengevoegd zijn.
- Leverancierspatches vallen volledig binnen de scope: u bent verantwoordelijk voor het vastleggen en produceren van hun updatebewijs als onderdeel van uw nalevingsartefacten.
Het vermogen van een team om een ononderbroken keten van patchbeslissingen te produceren - intern of extern - is nu een ononderhandelbare pijler van compliance. Deze verschuiving stelt u in staat om operationele volwassenheid aan te tonen, snel auditgoedkeuringen te verkrijgen en het vertrouwen van klanten te behouden, zelfs onder verhoogde controle.
Hoe is ISO 27001:2022 rechtstreeks van toepassing op NIS 2-patchbeheer en wat verwachten auditors te zien?
ISO 27001:2022 en NIS 2 Sectie 6.6 zijn afgestemd op patchmanagement als een continu, risicogestuurd proces dat interne omgevingen en uw volledige toeleveringsketen omvat. ISO 27001 A.8.8 vereist het risicogeclassificeerd volgen en beoordelen van elke technische kwetsbaarheid - dit vormt de basis voor NIS 2's aandringen op rol-goedgekeurde, exporteerbare audittrajectenIn A.5.21 wordt in het toezicht op de toeleveringsketen benadrukt dat de patchcycli van leveranciers moeten worden vastgelegd en in kaart gebracht naast uw eigen cycli.
Controleurs zullen op zoek gaan naar een levende ‘keten van bewaring’ voor patches:
- Wie heeft het risico beoordeeld, wanneer en met welk resultaat?
- Waar is het volledige overzicht van de testresultaten, mislukte pogingen en terugdraaiingen?
- Hoe worden leverancierspatches en SLA-bewijsmateriaal opgenomen in uw compliance-dossier?
- Beschouwt het bestuur of management patching als een strategisch risico en niet alleen als een probleem voor de IT-afdeling?
ISO 27001 ↔ NIS 2 Patch-uitlijningstabel
| Controleer: | Operationeel bewijs vereist | ISO/NIS 2 Referentie |
|---|---|---|
| Risicobeoordeling van de patch | Risicologboek met goedkeuring door roleigenaar | ISO 27001 A.8.8 / NIS 2 6.6 |
| Test- en terugdraairesultaten | Ondertekende wijziging/testlogboeken per patchcyclus | ISO 27001 A.8.31 |
| Patchbeheer voor de toeleveringsketen | Leverancier SLA-bewijs, leverancierupdate uploaden | ISO 27001 A.5.21 |
| Toezicht door het bestuur/management | Export van kwartaalrapportages | ISO 27001 9.3 / NIS 2 6.6 |
Een ISMS dat activa, rollen, leveranciersupdates en bestuursbeoordelingen aan elkaar koppelt, is essentieel om aan beide normen te voldoen en bestand te zijn tegen elk auditscenario.
Welke operationele waarborgen garanderen dat patch-compliance bestand is tegen toezicht door toezichthouders en klanten?
Robuust patchmanagement is gebaseerd op continue, gestandaardiseerde workflows - nooit ad-hoc checklists of losse goedkeuringen. Uw systeem zou automatisch elke patch, risicobeoordeling, uitzondering en leveranciersupdate moeten registreren, waarbij elke beslissing wordt gekoppeld aan een benoemde persoon en een bedrijfsmiddel. Uitzonderingen of vertragingen vereisen formele risicoacceptatie - niet alleen IT-urgentie. De patchprestaties van leveranciers worden een levende input, geen bijkomstigheid bij een audit. Kwartaalbeoordelingen door het management of de raad van bestuur moeten worden gedocumenteerd als bewijs dat het patchrisico op het hoogste niveau wordt beoordeeld.
De fout die je maakt, is niet altijd de fout die je hebt gemist, maar de fout die je niet met bewijs kunt verdedigen.
Stappen voor audit-proof patchbeheer:
- Koppel elke patch of uitzondering aan een risicogeval, verkrijg goedkeuring van de eigenaar voordat u actie onderneemt of uitstel verleent en leg de rechtvaardigingsdetails vast in uw ISMS.
- Voeg bewijs van leverancierspatches rechtstreeks toe aan uw workflow, zodat er nooit twijfel bestaat over de dekking door derden.
- Standaardiseer KPI's, zoals gemiddelde patchtijd en auditfrequentie, zodat het management op de hoogte is van trends.
- Documenteer elke kwartaalbeoordeling met de uitkomsten en verbeteracties, waarmee u de cirkel rondmaakt van IT-actie tot governance.
Deze structuur zorgt ervoor dat patchcompliance niet langer een bron van stress is, maar juist een concurrentievoordeel bij audits, aanbestedingen en toezichthouders.
Hoe automatiseert en documenteert ISMS.online het NIS 2 patchmanagementproces van begin tot eind?
ISMS.online stroomlijnt patchbeheer door elke gebeurtenis - intern of door leveranciers aangestuurd - te automatiseren in een exportklaar, rolgelinkt compliance-record. Elke patch, risicoacceptatie of uitzondering wordt automatisch geregistreerd en gekoppeld aan relevante bedrijfsmiddelen en controleurs. Het platform registreert patchuploads of gewaarmerkte SLA's van leveranciers en voert deze in hetzelfde compliance-grootboek in.
Herinneringen en escalatieworkflows minimaliseren vertragingen; achterstallige patches of uitzonderingen activeren incidentbeheer, zodat er niets verloren gaat in inboxen of handmatige trackers. Elke beoordeling - door een technisch team, leverancier of directie - is exporteerbaar en voldoet direct aan de eisen van auditors of toezichthouders.
Voordelen van de workflow:
- Gecentraliseerde dashboards: Realtime weergave van de patchstatus, openstaande risico's en leveranciersbewijs, op elk gewenst moment gereed voor een audit of bestuursdemonstratie.
- Geautomatiseerde goedkeuringen en herinneringen: Patchacties, uitzonderingen en beoordelingen worden aangestuurd door de workflow en worden nooit gemist.
- Leveranciers-API/uploadpijplijn: Patchgegevens van derden worden opgenomen als native compliance-artefacten.
- Escalatie van incidenten: Elke te late, mislukte of uitzonderlijke patch activeert een incidentworkflow. De registraties en de hoofdoorzaak worden aan elkaar gekoppeld, zodat het bestuur of de toezichthouder deze snel kan beoordelen.
Auditgereedheid is geen gedoe: uw geschiedenis is altijd met slechts één klik te raadplegen.
Welke reële risico's (compliance, commercieel en operationeel) ontstaan door vertragingen of ontbrekende patch-bewijzen?
Onvolledige of ontbrekende patchrecords blijven de meest voorkomende oorzaak van mislukte audits en, steeds vaker, van boetes in de sector of gemiste commerciële kansen. ENISA heeft gerapporteerd dat tot 80% van de gerapporteerde NIS-incidenten zijn het gevolg van kwetsbaarheden van leveranciers of derdenDit betekent dat uw risico vaak evenzeer wordt bepaald door hiaten in de toeleveringsketen als door interne zorgvuldigheid. Inkoopteams en toezichthouders vragen nu routinematig om volledige patch-bewijspakketten voordat ze deals goedkeuren of nalevingsaudits afronden.
Bedrijven die niet op korte termijn gedetailleerd patch- en leveranciersbewijs kunnen overleggen, worden direct onder de loep genomen, lopen vertragingen op in de verkoopcyclus en worden – in ernstige gevallen – uitgesloten van sectoren of gedwongen incidenten aan klanten te melden. De wereldwijde Log4j-respons op kwetsbaarheden toonde aan dat organisaties met realtime patchinformatie over meerdere leveranciers veel beter omgingen met wettelijke rapportage en klantvertrouwen dan organisaties met verspreide of onvoorbereide patchrecords.
| Bedreigingsgebeurtenis | Commerciële en regelgevende impact |
|---|---|
| Ontbrekende patch-audit | Audit mislukt, vertraagde verkoop, boetes |
| Ongerechtvaardigde uitzondering | Niet-naleving, uitsluiting van de sector |
| Lacunes in leveranciersbewijs | Onderzoek naar inbreuken, gedwongen openbaarmaking |
| Onvolledig SLA-record | Verloren aanbestedingen, erosie van merkvertrouwen |
Hoe kunnen patch management en incident response een continue verbetercyclus vormen, zonder extra administratieve lasten?
Elk patchincident - gemist, vertraagd of uitzonderlijk - moet een kans worden om te leren en systematisch te verbeteren. Met ISMS.online worden mislukte of vertraagde patches automatisch gekoppeld aan workflows voor incident- en root cause-analyses. Lessen resulteren in tastbare procesverbeteringen: risicobeoordelingen worden bijgewerkt, SLA's van leveranciers worden aangepast en beleidsmaatregelen worden verder ontwikkeld. Alle reviews en geleerde lessen worden opgeslagen als exporteerbaar, tijdstempelbaar bewijs, waardoor uw verbetercyclus direct aan auditors en senior stakeholders wordt gedemonstreerd.
Beschouw gemiste patches als feedback: uw bewijsmateriaal vormt de ruggengraat van veerkrachtige naleving.
Feedbackloop in actie:
- Elke mislukte patch genereert een gekoppeld incidentrapport en activeert een managementbeoordeling.
- Problemen met de prestaties van leveranciers brengen risiconiveaus in kaart en vormen de basis voor de volgende inkoop- of onboardingfase.
- Tijdens kwartaalbeoordelingen worden de geleerde lessen geconsolideerd en gepresenteerd, waardoor de nalevingscyclus in één systeem wordt gesloten. Er is geen extra administratie nodig.
Welke praktische stappen brengt uw team van gefragmenteerd patchen naar een leiderschap dat klaar is voor audits?
- Schakel over naar workflowgestuurde, op rollen gebaseerde patchtracking in uw ISMS-beëindiging van handmatige spreadsheets en ad-hoc e-mailgoedkeuringen.
- Wijs elke goedkeuring, uitzondering en leveranciersregistratie toe aan een verantwoordelijke partij, zodat er een actief auditlogboek ontstaat.
- Train personeel en leveranciers in het nieuwe goedkeuringsproces; zorg ervoor dat het goedkeuren van uitzonderingen routine wordt, niet zeldzaam.
- Plan kwartaallijkse dashboardbeoordelingen met risico-eigenaren of besturen en gebruik exportfuncties om de gereedheid te testen.
- Creëer een cultuur van 'continue export': elke nieuwe patch, uitzondering of update van een leverancier is direct klaar voor audits, waardoor de rompslomp tot een minimum wordt beperkt en het vertrouwen wordt gemaximaliseerd.
Bent u klaar om patchcompliance om te zetten in uw concurrentievoordeel?
Exporteer een 'audit-ready' patchpack van ISMS.online of ervaar een begeleide workflowbeoordeling.
ISO 27001:2022–NIS 2 Patch Control-uitlijning (minitabel)
| Auditverwachting | Operationalisering in ISMS.online | ISO/NIS 2 Referentie |
|---|---|---|
| Risicogebaseerde registraties | Ondertekende recensies per patch/evenement | ISO 27001 A.8.8 / NIS 2 6.6 |
| End-to-end testtracking | Live rollback/test/wijzigingsaudit | ISO 27001 A.8.31 |
| Bewijs voor de toeleveringsketen | SLA-uploads van leveranciers, gekoppeld aan activa | ISO 27001 A.5.21 |
| Continu toezicht | Kwartaalrapportage van het management/bestuur | ISO 27001 9.3 / NIS 2 6.6 |
Voorbeeld traceerbaarheidstabel
| Trigger-gebeurtenis | Update van risicobeslissingen | Gekoppelde controle/SoA | Bewijsmateriaal vastgelegd |
|---|---|---|---|
| Patch gemist | Verhoogde kwetsbaarheid | A.8.8/NIS 2 6.6 | Ondertekend risicologboek, audit-export |
| Leverancierspatchvertraging | Uitzondering voor derden | A.5.21 / SoA | Leveranciersupload, SLA-revisie |
| Uitzonderingsvertraging | Formele acceptatie | A.8.8/A.8.31/NIS 2 6.6 | Uitzonderingslogboek, goedkeuringsrecord |
| Kwartaaloverzicht | Verbetering van de controle | 9.3, toezicht door de raad van bestuur | Actielogboek en dashboard bekijken |
