Documentatieplicht

Je legt keuzes vast op basis van risico

Documentatie begint met risico. Je beschrijft welke processen kritisch zijn, welke dreigingen je ziet, welke impact acceptabel is en welke maatregelen je kiest. Dit maakt duidelijk waarom je bepaalde controls prioriteit geeft.

• MinimumRisicobeoordeling, scope van systemen, eigenaar per maatregel, review moment.
• GoedKoppeling met leveranciers en ketenrollen, plus een verbeter backlog met prioriteit.

Je kunt sneller melden als het misgaat

Publieke richtlijnen benadrukken dat incidentmelding via het NCSC portaal loopt en dat er termijnen gelden. Als je incident logs, tijdlijn, impact en genomen acties al kunt exporteren, ga je sneller door je meldproces.

Documentatie is ook ketenbeveiliging

Leveranciers en klanten vragen steeds vaker om bewijs van beheer. Denk aan contract afspraken, audit vragen, incident afspraken, logging, en hoe je toegang regelt. Dit is precies waar ketenbeveiliging en een toekomstige pagina over ketenverantwoordelijkheid op aansluiten.

• Direct lezenKetenbeveiliging en leveranciers
• DaarnaKetenverantwoordelijkheid

Je vertaalt wet naar proces en bewijs

In publieke informatie wordt ook benoemd dat de maatregelen nader worden uitgewerkt in een besluit en ministeriële regeling. Een slim documentatiesysteem is daarom modulair. Je koppelt maatregelen aan bewijsstukken, zodat je makkelijker kunt bijwerken als details veranderen.

• Werk met versiesElke update krijgt datum, eigenaar, reden en impact op processen.
• Werk met bewijs linksEen maatregel verwijst naar log export, screenshot, rapport of ticket.

A Bestuur en governance

Leg vast wie beslist, wie uitvoert en wie controleert. Dit voorkomt stilstand bij incidenten en bij leveranciers escalaties.

• Rollen en mandaatDirectie, security eigenaar, incidentleider, communicatie, legal, IT beheer.
• Risico acceptatieWelke risico s je accepteert en waarom, inclusief datum en review moment.
• Training en awarenessWie welke training krijgt en hoe je effect meet.

B Risico en maatregelen

Hier zit de kern. Je koppelt risico s aan maatregelen, en maatregelen aan bewijs.

• Scope en assetsKritieke processen, systemen, data, en afhankelijkheden.
• Maatregelen overzichtBeleid, technische controls, logging, monitoring, back ups, patching, toegang.
• Bewijs linksTickets, rapporten, exports, configuratie snapshots, testresultaten.

C Leveranciers en keten

Documenteer wie toegang heeft, wie jouw data verwerkt en welke partijen jouw continuiteit dragen.

• Leveranciers registerType dienst, kritikaliteit, datastromen, locaties, sub leveranciers.
• MinimumeisenMFA, logging, incident contact, patch beleid, back up, herstel testen.
• Contract en afsprakenMeldtermijnen, aansprakelijkheid, audit recht, exit plan en data teruggaaf.

D Incidentproces en meldplicht

Maak incidenten reproduceerbaar. Een incident zonder tijdlijn en bewijs is later niet verdedigbaar.

• ClassificatieWanneer is iets significant, wie besluit, welke impact criteria gelden.
• Tijdlijn en bewijsLogs, alerts, acties, communicatie, herstel stappen, lessons learned.
• MeldrouteWie meldt via het portaal, wie informeert toezichthouder, wie informeert klanten.

Bewijs types

Maak bewijs concreet. Gebruik vaste categorieën zodat iedereen hetzelfde opslaat en terugvindt.

• Configuratie snapshotExport van settings zoals MFA, logging, EDR policies, firewall regels.
• Test en controleRestore test, phishing test, patch compliance, vulnerability scan rapport.
• Proces bewijsTicket met goedkeuring, change log, incident timeline, post incident review.
• Leveranciers bewijsSOC rapport, certificaat, audit antwoorden, incident contact, exit plan.

Review ritme

Je hoeft niet alles dagelijks te doen. Je maakt een ritme dat bij je risico past en je legt dat ritme vast.

• MaandelijksPatch status, logging checks, access review voor admin en leveranciers.
• Per kwartaalIncident oefening, restore test, leveranciers review voor kritieke partijen.
• JaarlijksScope herzien, risico herbeoordeling, beleids review, training plan verversen.