Van beleidsdocument naar bewezen dienstverlening. Toen de stad Antwerpen in december 2022 werd getroffen door een ransomware-aanval, vielen niet zomaar wat servers uit. Burgers konden weken- tot maandenlang geen geboorteakte aanvragen, geen verkiezingsdocumenten raadplegen, geen afspraak maken bij de burgerlijke stand. Tal van Belgische besturen die het slachtoffer werden van de DDoS-golven van de pro-Russische groep NoName057 vertellen hetzelfde verhaal: cybersecurity bij een lokaal bestuur is geen IT-aangelegenheid, het is een voorwaarde voor de continuïteit van de dienstverlening aan de burger. Net daarom voert het Centre for Cybersecurity Belgium (CCB) via het CyFun-kader een conformiteitscontrole in die verder gaat dan een papieren oefening.
Voor besturen die nu hun eerste zelfevaluatie of verificatie voorbereiden, is de belangrijkste vraag niet "hebben we een beleid?", maar "kunnen we bewijzen dat het beleid ook werkt?".
De auditor leest geen beleid, hij zoekt bewijs
Een conformiteitsbeoordelingsinstantie (CAB), erkend door BELAC en gemachtigd door het CCB, beoordeelt elke kernmaatregel vanuit twee invalshoeken: is de maatregel gedocumenteerd, en is ze ook effectief geïmplementeerd? Voor het Basic-niveau gebeurt dit via een zelfevaluatie; voor het Important- en Essential-niveau is een externe verificatie of certificering door een CAB verplicht.
In de praktijk betekent dit dat een netwerkbeveiligingsbeleid dat keurig beschrijft hoe VLAN's gescheiden moeten worden door firewalls, voor een auditor pas waarde heeft als er ook een actueel netwerkschema, geconfigureerde firewallregels en logging zijn die dat effectief aantonen. Een activabeheerbeleid dat stelt dat alle apparaten geïnventariseerd worden, moet gestaafd worden door een asset register dat ook werkelijk wordt bijgehouden. Auditors verwachten met andere woorden een verklaring per maatregel die zowel naar het beleidsdocument als naar het objectieve bewijsmateriaal verwijst: toegangslogs die tonen dat rechten effectief op basis van least privilege worden toegekend, bewijs van multifactor-authenticatie, een patchregister, een testverslag van een back-uprestauratie, en registraties van afgeronde bewustmakingsopleidingen voor het personeel. Voor de hogere niveaus komt daar een Statement of Applicability bovenop: een overzicht van elke geïmplementeerde maatregel, het behaalde maturiteitsniveau en het bijhorende bewijsmateriaal, plus aantoonbare betrokkenheid van het management of de bestuursorganen zelf.
Een veelgemaakte fout die het CCB in zijn richtlijnen expliciet benoemt, is een scopebeschrijving die simpelweg "de hele organisatie" vermeldt zonder dat daar een onderliggende asset-inventaris of een verantwoordelijke per onderdeel tegenover staat. Wie zijn beleid en zijn praktijk niet op elkaar kan afstemmen, riskeert een verlengde audit of een non-conformiteit met een herstelperiode.
De kloof tussen een goed beleid en een levende praktijk
De meeste lokale besturen die we begeleiden, hebben intussen wél de juiste beleidsdocumenten: een activabeheerbeleid, een netwerkbeveiligingsbeleid, een toegangsbeveiligingsbeleid. Het probleem zit zelden in de kwaliteit van die teksten. Het zit in wat er na de goedkeuring mee gebeurt. Een beleid dat één keer is goedgekeurd door het college en daarna in een gedeelde map blijft liggen, is voor een auditor net zo onbruikbaar als geen beleid. Wat telt, is of de herzieningscyclus daadwerkelijk wordt gevolgd, of wijzigingen aan het netwerk of het asset register worden bijgehouden, en of de verantwoordelijke diensten kunnen aantonen dat ze de regels uit het beleid effectief dagelijks toepassen.
Dat is precies waar veel besturen vastlopen: de mensen die het beleid schrijven (de informatieveiligheidsverantwoordelijke), de mensen die het uitvoeren (de ICT-dienst) en de mensen die er uiteindelijk verantwoording over moeten afleggen (het college, de gemeenteraad) werken vaak met afzonderlijke documenten, afzonderlijke planningen en weinig onderling overzicht. Tegen de tijd dat de auditor langskomt, moet dat alles handmatig worden samengeraapt.
De rol van het platform: van losse documenten naar aantoonbare conformiteit
Een compliance-platform zoals het Civios compliance platform is precies daarom opgebouwd: niet om beleidsteksten te vervangen, maar om de brug te slaan tussen het beleid, de implementatie en het bewijs dat een auditor nodig heeft. Beleidsdocumenten worden er gekoppeld aan de specifieke CyFun-controle die ze invullen, met versiebeheer en een goedkeuringstraject dat traceerbaar blijft. Een implementatiedashboard houdt de status van elke kernmaatregel actueel en maakt die zichtbaar voor zowel de ICT-dienst als de bestuursorganen, zodat het college niet pas bij de audit verneemt waar de organisatie staat, maar continu zicht heeft op de eigen maturiteit. En net het element dat de meeste voorbereiding bespaart: externe auditors kunnen rechtstreeks, gestructureerd toegang krijgen tot het volledige dossier, in plaats van dat een bestuur in de weken voor de audit alle bewijsstukken handmatig moet verzamelen uit mailboxen, schijven en hoofden van medewerkers.
Zo verschuift de inspanning van "bewijs zoeken net voor de audit" naar "bewijs dat er continu is, omdat de praktijk daadwerkelijk gevolgd wordt". Dat is ook precies wat het CCB met de CyFun-aanpak beoogt: geen momentopname, maar een werkbaar, voortdurend proces.
Waarom dit voor de burger telt, niet alleen voor de auditor
Het is verleidelijk om compliance te bekijken als een administratieve verplichting die tijd kost zonder directe meerwaarde voor de burger. De realiteit is net omgekeerd. Een lokaal bestuur is voor veel inwoners de enige overheid waarmee ze rechtstreeks contact hebben: voor een identiteitskaart, een uittreksel, een omgevingsvergunning, een sociale tussenkomst, een inschrijving op school. Wanneer die dienstverlening wegvalt door een cyberaanval, voelt de burger dat onmiddellijk en concreet, vaak maandenlang, zoals Antwerpen heeft ondervonden.
De kernmaatregelen die het CyFun Basic-niveau verplicht — een actueel activaregister, segmentatie en firewalling van het netwerk, gecontroleerde toegang — zijn geen doel op zich. Ze zijn de minimale voorwaarden om te garanderen dat een ransomware-aanval op één systeem niet meteen de hele gemeentelijke dienstverlening platlegt, en dat persoonsgegevens van inwoners niet zomaar op straat belanden. Een bestuur dat zijn beleid effectief implementeert en dat ook kan aantonen, bouwt niet in de eerste plaats een dossier voor een auditor, maar een organisatie die haar inwoners ook na een incident kan blijven bedienen.
De deadlines voor de eerste zelfevaluaties zijn voor veel besturen intussen al verstreken, en de verificatie- en certificeringstrajecten voor de hogere niveaus lopen volop. Wie nog moet starten, doet er goed aan implementatie en bewijsvoering van de eerste dag af samen op te zetten — niet als twee gescheiden trajecten die elkaar pas bij de audit tegenkomen. Civios Coaches kunnen u hierbij begeleiden om de noodzakelijke policies en cybersecuritymaatregelen voor NIS-2 compliance te implementeren.
HOE KUNNEN WIJ JOU HELPEN?
KLIK HIER - laat je gegevens achter en we luisteren graag naar jou/jullie specifieke noden.
Of mail naar info@civios.be