Alain Rees · 07-07-2026 · 3 min leestijd
Er komt een moment dat elke IT-manager van een Cbw-plichtig bedrijf herkent. De Excel met het toetsingskader is ingevuld, het informatiebeveiligingsbeleid staat op het intranet, en het gevoel zegt dat het geregeld is. Dat gevoel houdt stand tot een grote klant een leveranciersbeoordeling stuurt, een auditor om onderbouwing vraagt of de toezichthouder zich meldt. Op dat moment blijkt hoe groot het verschil is tussen iets hebben en iets kunnen aantonen.
Om te beginnen verdient die spreadsheet meer waardering dan hij meestal krijgt. Wie het Cbw (NIS2) Control Framework van de Auditdienst Rijk en NOREA heeft ingevuld, heeft nagedacht over de tien zorgplichtonderwerpen van artikel 21, van risicoanalyse en incidentbehandeling tot ketenbeveiliging en cyberhygiëne. Dat denkwerk vormt de helft van het werk, en het is precies de reden dat de Excel een ideaal startpunt is.
Het probleem zit dan ook niet in de inhoud, maar in de beperkingen van het gereedschap.
Een oordeel in een cel, bijvoorbeeld "voldaan", laat drie vragen onbeantwoord, en dat zijn precies de vragen die een auditor of klant stelt. De eerste vraag is waaróm de eis is voldaan: de motivering ontbreekt, of ze zit in het hoofd van degene die de cel invulde. De tweede vraag is waar het bewijs staat: het beleidsdocument, de schermafdruk van de configuratie of het testrapport ligt ergens in een map of mailbox, maar niet bij het oordeel. En de derde vraag is of het beeld nog actueel is: een spreadsheet veroudert vanaf de dag dat je hem opslaat, en niemand krijgt een seintje wanneer de reviewdatum van het beleid verstrijkt of een maatregel nooit wordt getest.
Er is bovendien een vierde beperking die pas later zichtbaar wordt: een spreadsheet kent geen samenhang. Het risico weet niet welke maatregelen het afdekken, het incident van vorige maand heeft de risico-inschatting niet bijgesteld, en de leverancier die eind vorig jaar in het nieuws kwam is nergens gekoppeld aan de processen die van hem afhankelijk zijn.
De overstap van een statisch overzicht naar een aantoonbaar register is kleiner dan hij lijkt, juist omdat het denkwerk al is gedaan.
De eerste stap is dat je importeert wat er al is. Neem de bestaande Excel als vertrekpunt en zet elke eis om naar een statusregel met een eigenaar. Wat "voldaan" was, blijft voldaan; er komt alleen een motiveringsveld en een vaste plek voor het bewijs bij.
De tweede stap is dat je het bewijs aan het oordeel hangt. Elk "voldaan" zonder bewijsstuk blijft een mening. Koppel daarom per eis het document, de schermafdruk of de verwijzing naar de vindplaats. Vanaf dat moment is de vraag van een auditor geen zoektocht van weken meer, maar een kwestie van één klik.
De derde stap is dat je de bewaking aanzet: reviewdata op beleid, testdata op maatregelen en einddata op uitzonderingen. Dat doe je niet omdat de norm het voorschrijft, maar omdat het register alleen op die manier actueel blijft zonder dat iemand er wekelijks aan hoeft te denken.
Nee, en dat is ook niet erg. Aantoonbaar in control zijn is geen eindstreep maar een ritme: je signaleert wat er verandert, je beoordeelt wat dat betekent, je lost op wat ontbreekt en je toont aan wat er staat. De organisaties die dat ritme te pakken hebben, herken je aan één ding: wanneer een klant of toezichthouder onverwacht om het dossier vraagt, hoeft er niet te worden gezocht, maar wordt er geëxporteerd.
De Excel was een goed begin. Het doel is dat je het ook kunt laten zien.
In een demo van 30 minuten lopen we het model door aan de hand van jouw situatie.
Plan een demo