Kort na elkaar voerde ik twee certificeringsaudits uit, voor ISO 27001 en NEN 7510, bij organisaties die op het eerste gezicht niets met elkaar te maken hebben. Andere dienstverlening, ander personeel, andere risico's. De enige echte overeenkomst: met respectievelijk circa 7.500 en 15.000 medewerkers horen beide door hun omvang tot de vitale infrastructuur van Nederland. Daarmee vallen ze onder NIS2.

Toch noteerde ik in beide auditrapporten in de kern dezelfde bevinding.

Het patroon: centrale sturing, decentrale uitvoering

In allebei de organisaties was de scope van het managementsysteem bewust breed gekozen: vrijwel de hele organisatie. Een goede keuze, want het is precies wat je wilt zien bij een volwassen invulling van informatiebeveiliging. De sturing en coördinatie liggen centraal, bij de CISO en het securityteam. Een groot deel van de uitvoering ligt decentraal, bij divisies, afdelingen en teams.

Daar wringt het. Centraal stelt het beleid vast, kadert de risico's en verklaart de beheersmaatregelen van toepassing. Maar in de praktijk heeft centraal onvoldoende zicht, grip en controle op hoe die maatregelen decentraal daadwerkelijk worden geïmplementeerd.

De Verklaring van Toepasselijkheid zegt dat rond de 100 beheersmaatregelen gelden voor de hele organisatie. Wie precies wat, waar en hoe zwaar moet borgen, staat nergens beschreven.

Waarom de implementatiedruk per organisatieonderdeel verschilt

Het is verleidelijk om dit als een uitvoeringsprobleem van één organisatie te zien. Dat is het niet. Ik heb inmiddels meerdere organisaties met ditzelfde probleem zien worstelen. Het is een voorspelbaar gevolg van de combinatie van organisatiebrede scope, centrale sturing en een gezamenlijke, maar daarmee ook gedeeltelijke, decentrale uitvoering. Hoe groter en gedecentraliseerder de organisatie, hoe groter het gat.

De druk die decentraal landt, wordt door meer dan één factor bepaald. De eerste is hoeveel een eenheid zélf aan informatievoorziening beheert: wie eigen applicaties, eigen cloud en eigen hardware aanschaft en onderhoudt, trekt een veel groter deel van de beheersmaatregelen naar zich toe dan wie volledig op centrale voorzieningen draait. De tweede is de taakstelling van de eenheid: de aard en missie van een divisie, afdeling of team bepalen óók welke maatregelen daar betekenis hebben, en hoe zwaar.

Twee eenheden die op het eerste gezicht vergelijkbaar zijn in omvang en taakstelling, kunnen dus een totaal verschillend maatregelpakket te borgen hebben.

Figuur 1: heatmap — implementatiedruk per beheersmaatregel x divisie
Figuur 1: heatmap. Dezelfde maatregelen, andere implementatiedruk per eenheid

Twee denkfouten over scope en borging

Twee aannames duiken steeds op. De eerste: "de scope is organisatiebreed en er ligt een centraal kader, dus het is geborgd." Maar een kader is geen borging. Een kader dat decentraal niet wordt vertaald, ingericht en uitgevoerd, is een papieren werkelijkheid.

De tweede: "er is per divisie een aanspreekpunt, dus de decentrale kant is afgedekt." Eén contactpersoon is geen besturing. Borging vraagt een rolstructuur die op elk niveau is belegd, niet één naam in een lijst.

Wat wél werkt: beheersmaatregelen toedelen en rollen beleggen

Als auditor schrijf ik niets voor. Maar ik vertel wel graag over goede voorbeelden die ik in de praktijk ben tegengekomen. Wat daar werkt, komt neer op twee dingen: de maatregelen toedelen naar het werkelijke profiel van de eenheid, en de rollen beleggen over alle niveaus.

Toedelen naar profiel betekent: geen organisatiebrede lijst die voor iedereen gelijk is. Eén lijst beheersmaatregelen met één kolom "van toepassing" voor de hele organisatie onderschat structureel de eenheden die veel zelf doen. Bepaal in plaats daarvan per eenheid welke maatregelen daar landen en hoe zwaar, op basis van de eigen informatievoorziening en/of de taakstelling. Precies wat figuur 1 zichtbaar maakt: per eenheid een eigen kolom, in plaats van één.

Figuur 2: continuum — implementatiedruk schaalt met eigen IV en taakstelling
Figuur 2: continuüm. Implementatiedruk schaalt met eigen IV en taakstelling

De rollen beleg je over strategisch, tactisch en operationeel niveau, aan beide kanten van de as centraal en decentraal. Een mogelijke inrichting: centraal-strategisch de CISO, centraal-tactisch het securityteam. Decentraal-strategisch een portefeuillehouder voor informatiebeveiliging, privacy en cybersecurity. En decentraal-tactisch een security officer, de schakel die het centrale kader vertaalt naar de werkwijze van de eenheid. Die tactische schakel is in de praktijk het vaakst onbelegd, en dat is geen toeval: het is het lastigste niveau, omdat het de brug moet slaan tussen beleid en uitvoering.

Figuur 3: rollenmatrix — centraal x decentraal x strategisch/tactisch/operationeel
Figuur 3: rollenmatrix. Centraal × decentraal × strategisch/tactisch/operationeel

Hoe de CISO grip krijgt op de decentrale implementatie

Toedeling en rollen zijn de basis. De borging wordt pas aantoonbaar als je drie dingen toevoegt. Leg de toedeling per eenheid vast, zodat zwart op wit staat wie wat draagt. Richt een rapportage- en verantwoordingslijn in langs de as, zodat de decentrale werking centraal zichtbaar wordt. Hier kun je aansluiten bij wat kwaliteit (ISO 9001) vaak al heeft staan, zoals interne audits en afwijkingenbeheer, in plaats van een parallel apparaat op te tuigen.

Het sluitstuk is de effectiviteit van de centrale functie zelf. Die moet niet alleen de bevoegdheid hebben, maar ook het aantoonbare vermogen om belangrijke gegevens van álle locaties te verzamelen en te analyseren, en om waar nodig wijzigingen te initiëren. Dat is geen overbodige eis: het is precies het criterium dat bepaalt of je de decentrale eenheden überhaupt via een steekproef mag beoordelen. Kan de centrale functie dat niet aantonen, dan valt de bodem onder de multi-site-logica weg en moet je breder beoordelen.

De les: een organisatiebrede scope is een belofte, geen eindpunt

Hier zit de paradox. Hoe ambitieuzer je de scope kiest, hoe harder je de decentrale borging moet organiseren. Een organisatiebrede scope is geen eindpunt maar een belofte: je zegt dat je de hele organisatie aantoonbaar in control hebt. Twee organisaties die in niets op elkaar lijken, liepen tegen exact dezelfde grens aan. Dat maakt het geen incident, maar een ontwerpvraag voor iedereen die informatiebeveiliging op corporate schaal serieus neemt.

Mijn stelling: de echte volwassenheid van een ISMS zit niet in de breedte van de scope, maar in hoe goed de decentrale uitvoering aantoonbaar is belegd. Herkenbaar?