Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

CIS Controls

Processen

Een set van internationaal erkende best practices voor cybersecurity, ontwikkeld door het Center for Internet Security. Helpt organisaties om hun systemen te beschermen tegen de meest voorkomende dreigingen.

De CIS Critical Security Controls zijn een geprioriteerde, concrete set van beveiligingsmaatregelen ontwikkeld door het Center for Internet Security (CIS). Het framework bevat 18 controls met in totaal 153 safeguards die organisaties stapsgewijs kunnen implementeren om hun cybersecurityniveau te verhogen. Het onderscheidende kenmerk van CIS Controls is de praktische insteek: elke control is gebaseerd op reële aanvalspatronen en bewezen verdedigingstechnieken. Waar frameworks zoals ISO 27001 zich richten op managementsystemen, bieden CIS Controls concrete, technische handvatten die je direct kunt toepassen. De meest recente versie (v8.1) is aangepast voor hybride en cloudomgevingen en mapt naar standaarden als NIST, AVG en ISO 27001.

Hoe werken CIS Controls? Stappen

CIS Controls versie 8.1 organiseert de 18 controls in drie Implementation Groups (IG's). IG1 bevat de basismaatregelen die elke organisatie moet implementeren, ongeacht omvang of sector. Dit zijn 56 safeguards die bescherming bieden tegen de meest voorkomende aanvallen. IG2 voegt 74 safeguards toe voor organisaties met meer complexiteit en gevoelige data. IG3 omvat alle 153 safeguards en is bedoeld voor organisaties met de hoogste beveiligingseisen, zoals organisaties in de vitale infrastructuur.

De implementatie begint bij Control 1: Inventarisatie en beheer van enterprise assets. Je kunt niet beschermen wat je niet kent. Vervolgens werk je door de controls heen, waarbij elke control voortbouwt op de vorige. Control 2 richt zich op software-inventarisatie, Control 3 op databescherming, Control 4 op veilige configuratie van assets en software. Deze logische opbouw maakt het mogelijk om gefaseerd te werken zonder essentiële stappen over te slaan. Elke control bevat een "waarom" dat uitlegt welk aanvalspatroon de control adresseert.

Per control definieer je procedures, wijs je verantwoordelijkheden toe en stel je meetbare doelen vast. De CIS biedt bij elke control een beschrijving van het "waarom", de specifieke safeguards en de relatie met andere frameworks zoals NIST CSF. Dit maakt het eenvoudig om CIS Controls te mappen naar bestaande compliance-eisen, waardoor je dubbel werk voorkomt. De mapping is bidirectioneel: je kunt zowel vanuit CIS naar andere frameworks mappen als andersom, wat helpt bij het identificeren van gaten in je beveiligingsaanpak.

Wanneer voer je CIS Controls uit?

De implementatie van CIS Controls is een continu proces, geen eenmalig project. Je begint met een assessment van je huidige beveiligingsniveau tegen de controls. Dit geeft inzicht in waar de grootste gaten zitten. Op basis van deze gap-analyse prioriteer je de implementatie, te beginnen met IG1-safeguards die de grootste risicoreductie opleveren. Veel organisaties ontdekken bij dit assessment dat ze al aan een deel van de safeguards voldoen, wat de implementatiedrempel verlaagt.

CIS Controls zijn bijzonder relevant voor organisaties die zich voorbereiden op compliance-eisen. Onder NIS2 moeten essentiële en belangrijke entiteiten passende technische en organisatorische maatregelen treffen. De CIS Controls bieden een concreet invullingskader voor die verplichting. Hetzelfde geldt voor organisaties die werken richting ISO 27001-certificering: een groot deel van de CIS safeguards sluit direct aan bij ISO 27001-beheersmaatregelen. Door eerst CIS Controls te implementeren, leg je een stevige basis voor een ISO 27001-traject.

Het is verstandig om minimaal jaarlijks een reassessment uit te voeren. Het dreigingslandschap verandert continu en ook je eigen organisatie evolueert. Nieuwe systemen, fusies, cloudmigraties of nieuwe regelgeving kunnen aanleiding zijn voor een tussentijdse herbeoordeling van je CIS Controls-implementatie. Het CIS biedt hiervoor de CIS Controls Self Assessment Tool (CIS CSAT) die het proces structureert en voortgang meetbaar maakt.

Wat kost CIS Controls implementatie?

De CIS Controls zelf zijn gratis beschikbaar via de CIS-website, wat ze toegankelijk maakt voor elke organisatie. De kosten zitten in de implementatie. Voor een mkb-organisatie met 50 tot 200 medewerkers kost het implementeren van IG1 doorgaans 10.000 tot 30.000 euro aan consultancy en tooling. Veel IG1-maatregelen kun je met bestaande middelen implementeren, zoals het activeren van multi-factor authenticatie en het bijhouden van een asset-inventaris.

IG2-implementatie is substantieel duurder omdat het vaak gespecialiseerde tooling vereist, zoals SIEM-systemen, vulnerability scanners en gecentraliseerd logbeheer. Reken op 50.000 tot 200.000 euro, afhankelijk van de bestaande infrastructuur. IG3 vereist geavanceerde capabilities zoals penetratietesten, red teaming en geavanceerde threat intelligence, wat de kosten verder opdrijft. De schaalvoordelen worden echter groter naarmate je meer controls implementeert.

De terugverdientijd is doorgaans snel. Organisaties die IG1 volledig implementeren, reduceren het risico op veelvoorkomende aanvallen met naar schatting 85%. Gezien de gemiddelde kosten van een cybersecurity-incident, die in Nederland rond de 95.000 euro liggen voor mkb-bedrijven, is de investering in CIS Controls snel terugverdiend. Daarnaast bespaar je op compliance-kosten doordat CIS Controls mappen naar meerdere frameworks, waardoor je niet voor elk framework afzonderlijk maatregelen hoeft te implementeren.

De 18 CIS Controls in overzicht

De 18 controls bestrijken het complete spectrum van cybersecurity. Controls 1 tot en met 6 vormen de basis: inventarisatie van hardware en software, databescherming, veilige configuratie, accountbeheer en toegangscontrole. Controls 7 tot en met 12 richten zich op continue kwetsbaarheidsbeheer, auditlogbeheer, e-mail- en webbrowserbescherming, malwaredefensie, dataherstel en netwerkinfrastructuurbeheer. Controls 13 tot en met 18 adresseren geavanceerde onderwerpen: netwerkmonitoring en -verdediging, security awareness training, service provider management, applicatiebeveiligingsbeleid, en incident response management.

De kracht van het framework zit in de onderlinge samenhang. Control 1 (asset inventaris) is een voorwaarde voor Control 7 (kwetsbaarheidsbeheer), want je kunt alleen kwetsbaarheden beheren op assets die je kent. Control 6 (toegangscontrole) bouwt voort op Control 5 (accountbeheer). Deze afhankelijkheden bepalen de logische implementatievolgorde en voorkomen dat je maatregelen implementeert die zonder hun voorwaarden ineffectief zijn. Het CIS biedt gedetailleerde afhankelijkheidsmatrixen die deze relaties visualiseren en helpen bij het plannen van een gefaseerde implementatie.

Veelgestelde vragen over CIS Controls

Wat is het verschil tussen CIS Controls en NIST CSF?

NIST CSF is een risicogebaseerd raamwerk dat beschrijft WAT je moet doen op strategisch niveau. CIS Controls zijn prescriptief en beschrijven HOE je het concreet moet doen. Ze vullen elkaar aan: NIST CSF voor de strategie, CIS Controls voor de uitvoering. CIS biedt ook een officiële mapping tussen beide frameworks.

Zijn CIS Controls verplicht?

CIS Controls zijn niet wettelijk verplicht, maar worden door veel toezichthouders en brancheorganisaties aanbevolen als best practice. Ze kunnen dienen als concrete invulling van de zorgplichtverplichtingen onder NIS2 en de AVG. Steeds meer cyberverzekeraars hanteren CIS IG1 als minimumeis.

Kan een mkb-bedrijf CIS Controls implementeren?

Ja, de Implementation Groups zijn specifiek ontworpen om schaalbaarheid te bieden. IG1 bevat 56 safeguards die elke organisatie kan implementeren, vaak met bestaande middelen. Je hoeft niet alle 153 safeguards te implementeren om significant veiliger te worden.

Hoe meet je de voortgang van CIS Controls?

CIS biedt de CIS Controls Self Assessment Tool (CIS CSAT) waarmee je je implementatieniveau per control kunt meten en bijhouden. Daarnaast kun je geautomatiseerde tools gebruiken die je omgeving scannen tegen CIS Benchmarks voor concrete configuratiecontrole.

Hoe verhouden CIS Controls zich tot NIS2?

NIS2 vereist passende technische en organisatorische maatregelen. CIS Controls bieden een concrete invulling van die eis. Veel NIS2-verplichtingen zoals asset management, toegangscontrole en incidentbeheer zijn direct te mappen naar specifieke CIS Controls en hun bijbehorende safeguards.

Vind een specialist voor cybersecuritymaatregelen via Governance Risk Compliance op IBgidsNL.