Securityvolwassenheid is een bewegend doel. Nieuwe SaaS-koppelingen, ketenintegraties en regelgeving veranderen het risicobeeld bijna wekelijks. Organisaties die security als project zien, verstarren: policies verouderen, detecties raken achterhaald en audits leveren herhaaldelijk dezelfde bevindingen op. Wie security als continu verbeterproces benadert – met duidelijke doelen, metingen en feedbacklus – kan aantoonbaar sneller reageren en voldoet eenvoudiger aan BIO en NIS2. Continuous Security Improvement biedt het raamwerk om van ad-hocmaatregelen naar voorspelbare, adaptieve besturing te groeien. Waar veel overheidsdiensten vooral naar technische implementaties kijken, vraagt de Nederlandse Baseline voor Veilige Cloud om volwassenheid die strategie, operatie en cultuur tegelijkertijd versterkt. Deze blog laat zien hoe CISO's NIST CSF-tiers, PDCA-cycli, Secure Score, Compliance Manager en onafhankelijke assessments verbinden met begrotings- en verantwoordingsprocessen, zodat securityverbeteringen niet afhankelijk blijven van heldenwerk maar onderdeel worden van de reguliere bedrijfsvoering.
Deze gids helpt CISO's en programmamanagers een gedeelde taal te creëren met bestuurders. Start met een maturitybeeld op basis van NIST CSF en BIO-controles, vertaal dat naar verbeterinitiatieven met heldere schijf van vijf doelen en koppel elk initiatief aan een meetbare KPI. Rapporteer voortgang in dezelfde cyclus als P&C, zodat ADR, Algemene Rekenkamer en externe toezichthouders kunnen zien dat continu verbeteren meer is dan een intentieverklaring.
Combineer cijfers altijd met context. Een stijging van Secure Score of een daling van gemiddelde detectietijd krijgt pas gewicht als je expliciet uitlegt welke maatregelen daarvoor zorgden en welk risico nu aantoonbaar lager is. Zo ontstaat vertrouwen dat volgende investeringen daadwerkelijk rendement opleveren.
Stap 1 – NIST CSF als kompas voor volwassenheid
Het NIST Cybersecurity Framework fungeert als kompas voor organisaties die hun securityvolwassenheid stapsgewijs willen verhogen. Het combineert functies, categorieën en informatienvlakken tot een gestructureerde taal waarmee bestuurders, securityteams en interne auditors hetzelfde doelbeeld kunnen bespreken. Binnen de Nederlandse overheid zorgt dit kader voor aansluiting tussen de BIO, het NBVC-raamwerk en NIS2-verplichtingen. Door de tier-benadering als groeipad te positioneren, kunnen CISO's concreet maken welke bestuurlijke keuzes en investeringen nodig zijn om van reactieve bescherming naar voorspelbare, adaptieve beveiliging te gaan. Tier-1-situaties komen vaker voor dan bestuurders denken. Denk aan een gemeente die wel policies heeft maar geen uniform changeproces en geen overzicht van privileges in Microsoft 365. Incidentrespons berust op goodwill en individuele expertise. De eerste stap richting Tier 2 draait om basishygiëne: verantwoordelijkheden formaliseren, risicoanalyses uitvoeren met dezelfde BIO-matrix, en tooling configureren zodat logging, patching en identity-governance overal hetzelfde niveau halen. Alleen al het vastleggen van eigenaarschap en rapportagelijnen zorgt ervoor dat maatregelen niet verdwijnen wanneer sleutelpersonen vertrekken. Tier 2 kenmerkt zich door risk-informed handelen. Processes bestaan, maar zijn nog niet volledig consistent. In de praktijk betekent dit dat sommige businessunits conditional access en PIM inzetten terwijl andere afhangen van legacy-accounts. De overgang naar Tier 3 vraagt om harmonisatie van beleid, configuraties en opleidingsprogramma's. Dit kost tijd omdat je zowel technische debt als gedragsverandering adresseren moet. CISO's die een verbeterportfolio opstellen met kwartaalreleases zien dat teams sneller meegaan omdat veranderingen beheersbaar blijven en resultaten zichtbaar worden in dashboards zoals Secure Score en Compliance Manager. Tier 3 is de repeatable fase waarin controles niet alleen bestaan maar ook aantoonbaar worden uitgevoerd. Public bodies kunnen hier laten zien dat hun procedures audit-proof zijn: change-registraties zijn volledig, patchcycli halen afgesproken deadlines, en detectie- en responscijfers verbeteren meetbaar. Tegelijk ontstaat ruimte om lessons learned direct te verwerken in runbooks. Door elke ENSIA-audit en NCSC-oefening te koppelen aan verbeteracties, bewijs je richting bestuur dat security geen once-a-year onderwerp is maar onderdeel van de lijn. Deze fase vormt vaak het ambitie-niveau dat NBVC-programma's verplicht stellen. Tier 4, de adaptive fase, vraagt om nauwe koppeling tussen dreigingsinformatie, bedrijfsprioriteiten en technische controles. Alleen kritieke processen hoeven dit niveau te halen, maar het SOC, identity-governance en cloudplatforms profiteren ervan. In deze fase worden threat intelligence feeds, MITRE ATT&CK-analyses en red-teamresultaten rechtstreeks vertaald naar beleidsupdates en geautomatiseerde playbooks. De feedbackloop verkort naar weken, waardoor kwetsbaarheden sneller worden gedicht en bestuurders realtime inzicht krijgen in residual risk. Organisaties die deze ambitie communiceren, laten zien dat ze ook toekomstige NIS2-verdiepingen aankunnen. Een praktische toepassing is het bouwen van een maturity-heatmap per CSF-functie. Het securityteam benoemt per onderdeel het huidige en gewenste tier, legt de delta vast en koppelt daar verbeterinitiatieven aan. Denk aan een traject waarin privileged access management naar Tier 3 verschuift door PIM, Just-In-Time-toegang, break-glass procedures en automatische recertificaties te combineren. Door elke delta >1 tier te voorzien van budget, mijlpalen, KPI's en een verantwoordelijke bestuurder, worden jaarplannen concreet en kunnen inspecties exact zien welke stappen gepland staan. Succesvolle organisaties documenteren de reis uitgebreid. Zij combineren dashboards met narratieve duiding waarin per kwartaal wordt uitgelegd welke controles volwassen zijn geworden en welke risico's resteren. Die combinatie van data en verhaal vormt het overtuigende bewijs dat de Nederlandse Baseline voor Veilige Cloud serieus wordt genomen en dat continuous improvement niet alleen een theoretisch model is maar een zichtbaar pad dat door bestuurders is bekrachtigd.
Stap 2 – Continu verbeteren via PDCA, benchmarks en metrics
Continu verbeteren staat of valt met een ritme waarin plannen, uitvoeren, toetsen en bijsturen elkaar vanzelfsprekend opvolgen. De PDCA-cyclus vormt daarvoor het skelet. Tijdens de planfase analyseer je maturity-gaps, auditbevindingen, incidentrapporten en nieuwe verplichtingen zoals NIS2-artikel 21. Vervolgens definieer je doelen, KPI's en randvoorwaarden per verbetertraject. Denk aan een doel om binnen zes maanden 90 procent van de kritieke workloads naar privileged access policies te migreren, inclusief training en communicatie voor proceseigenaren. Zo blijft het verbeterprogramma niet abstract maar krijgt elke actie een eigenaar, budget en tijdpad. De do-fase vraagt om multidisciplinaire uitvoering. Security, architectuur, operations en business vertegenwoordigers werken parallel aan technische implementaties, procesaanpassingen en adoptie. In de Nederlandse context is het cruciaal om hierbij de reguliere P&C-cyclus te benutten. Door verbeterinitiatieven als projecten in het portfoliomanagement op te nemen, voorkom je dat securityvernieuwing als extra werk wordt ervaren. Tegelijkertijd documenteer je welke besluiten het bestuur heeft genomen, wat essentieel is voor ADR-onderzoeken of Kamervragen na incidenten. Tijdens de check-fase produceren teams niet alleen rapportages, maar voeren zij ook kwalitatieve toetsing uit. Automatische metingen via Secure Score, Compliance Manager, Microsoft Defender en Sentinel bieden harde cijfers. Toch zijn scenario-oefeningen, purple-teamassessments en table-top sessies nodig om te zien of processen ook onder druk functioneren. Elke oefening eindigt met een root cause analysis waarin technische en organisatorische oorzaken naast elkaar worden gelegd. Door bevindingen meteen in een GRC-oplossing of backlog te registreren, blijft transparant welke verbeteracties nog openstaan en welke al zijn afgerond. In de act-fase borg je de succesvolle werkwijzen. Runbooks, architectuurprincipes en beleidsdocumenten worden geactualiseerd zodat de nieuwe standaard voor iedereen duidelijk is. Tegelijkertijd start je de volgende iteratie, want nieuwe risico's dienen zich continu aan. Organisaties die een ritme opbouwen van maandelijkse operationele reviews en kwartaalbrede maturity-sessies, merken dat verbeteringen elkaar sneller opvolgen. Lessons learned uit incidenten of ENSIA-audits worden binnen enkele weken zichtbaar in aangepaste configuraties, terwijl de voortgang in dashboards blijft terugkomen. Benchmarking maakt het programma geloofwaardig. Door Secure Score te vergelijken met soortgelijke provincies, door Compliance Manager-scores naast sectorrapporten van het NCSC te leggen en door externe assessments te laten uitvoeren, ontstaat een objectieve maatstaf. Wanneer een organisatie boven het gemiddelde presteert, kan het bestuur besluiten om middelen anders in te zetten. Bij achterblijvende scores legitimeer je extra investeringen omdat duidelijk wordt welke risico's nog niet voldoende zijn afgedekt. Belangrijk is dat benchmarking nooit een einddoel wordt: het blijft een middel om de PDCA-cyclus scherp te houden. Metrics-gedreven sturing vraagt tenslotte om een beperkt maar betekenisvol set indicatoren. Detectietijd, patchvoltooiingsgraad, aantal onbehandelde bevindingen, percentage geautomatiseerde playbooks en adoptie van phishingbestendige MFA vormen een solide basis. Door deze indicatoren maandelijks in een digitaal maturity-journal te publiceren, ontstaat zichtbaarheid tot op teamniveau. Bestuurders zien welke beleidsterreinen achterlopen, terwijl teamleads vroegtijdig hulp kunnen vragen. Dit voorkomt verrassing bij audits en maakt continuous improvement tot een gedeelde verantwoordelijkheid in plaats van een CISO-only agenda. Daarnaast vraagt continuous security improvement om tooling die de PDCA-cyclus voedt met realtime data. Denk aan dashboards waarin Secure Score, Sentinel-incidenten, change-statistieken en bevindingen uit pentests automatisch worden samengebracht. Door die informatie op te nemen in managementreviews ontstaat een digitale twin van het securityprogramma: bestuurders zien wat er gebeurt, welke controle afwijkt en welke maatregelen vertraging oplopen. In gemeentelijke praktijk betekent dit bijvoorbeeld dat uitrolstatussen van MFA en PIM meteen zichtbaar zijn voor zowel bedrijfsvoering als de functionarissen gegevensbescherming, zodat afwijkingen binnen weken worden gecorrigeerd in plaats van pas bij de volgende ENSIA-ronde.
Stap 3 – Besturing, cultuur en externe validatie
Een volwassen verbeterprogramma vraagt om stevige governance. Richt een security improvement board in waarin CISO, CIO, chief privacy officer, enterprise architect, proceseigenaren en controllers structureel samenkomen. Deze groep koppelt maturitydoelen aan strategische prioriteiten zoals digitalisering van dienstverlening of consolidatie van ketenpartners. Door besluiten van het board vast te leggen in dezelfde tooling als reguliere investeringsaanvragen, ontstaat traceerbaarheid en kunnen bestuurders aantonen dat security onderdeel is van de bedrijfsvoering. Dit is essentieel wanneer de Algemene Rekenkamer of toezichthouders vragen hoe verbeterinitiatieven zijn geborgd. Cultuur vormt de tweede pijler. Continu verbeteren lukt alleen wanneer medewerkers zien dat leren en experimenteren wordt gewaardeerd. Communities of practice, brown bag-sessies en korte microlearnings helpen kennisdeling versnellen. Maak maturity expliciet onderdeel van prestatieafspraken voor securitylead roles en voor productowners van kritieke diensten. Beloon teams die verbeteringen realiseren en lessons learned actief delen, bijvoorbeeld door hun aanpak te presenteren aan het managementteam. Zo wordt security niet gezien als controledruk, maar als onderdeel van professionele trots. Naast cultuur zijn vaardigheden cruciaal. Veel organisaties investeren in technische certificeringen, maar vergeten proces- en veranderkunde. Door specialisten te trainen in lean, agile portfoliosturing en storytelling richting het bestuur, ontstaat een veel breder draagvlak. Combineer deze vaardigheden met tooling zoals DevOps-boards of GRC-platforms waarin verbeteracties, beleidsupdates en auditbevindingen samenkomen. Wanneer teams dagelijks kunnen zien hoe hun werk bijdraagt aan maturity, groeit de motivatie om het volgende verbeterinitiatief op te pakken. Externe validatie sluit de cirkel. Plan elke twee à drie jaar een onafhankelijke toetsing, variërend van ISO 27001-audits en ENSIA-assessments tot NIS2-readiness reviews of red-teamoperaties. Gebruik de rapportages niet alleen als compliancebewijslast, maar vooral als input voor het verbeterregister. Door aanbevelingen direct te voorzien van prioriteit, eigenaar, budget en einddatum, laat je zien dat kritiek serieus wordt genomen. Bovendien bouw je vertrouwen op bij departementen, gemeenteraden en burgers, omdat zij zien dat er niet wordt gewacht op incidenten voordat er actie volgt. Documentatie en bewijsvoering zijn de lijm die alles bijeenhoudt. Bewaar maturity-scores, verbeterplannen, statusrapportages, lessons-learnedverslagen en beslisnotulen in een centrale omgeving met toegangsbeheer via PIM. Koppel deze repository aan je jaarverslag, ADR-dossiers en ENSIA-portaal zodat informatie altijd actueel is. Maak gebruik van narratieve rapportages waarin cijfers worden aangevuld met context over geopende of afgesloten risico's, effecten op dienstverlening en benodigde besluiten. Deze manier van rapporteren laat bestuurders binnen dertig seconden zien waarom een maatregel is gestart en wat de impact is. Tot slot vraagt transformatie om volharding. Het kan verleidelijk zijn om na een grote audit of migratieproject gas terug te nemen. Door continuous improvement expliciet als strategisch thema op te nemen in de meerjarenagenda, voorkom je dat momentum wegsijpelt. Maak duidelijk welke waarde security levert aan publieke dienstverlening, benoem welke ketenpartners meedoen en plan periodieke reflectiesessions waarin successen én mislukkingen worden gedeeld. Zo ontstaat een lerende organisatie die klaar is voor nieuwe regelgeving, digitaliseringsgolven en dreigingen, terwijl het vertrouwen van bestuurders en burgers aantoonbaar groeit. Een concreet voorbeeld van governance in actie is de combinatie van maturity-OKR's met begrotingsbesluiten. Het board stelt per jaar twee tot drie meetbare uitkomsten vast, zoals "alle vitale ketenpartners rapporteren binnen twintig dagen over hun securityvolwassenheid" of "het SOC verwerkt lessons learned binnen vier weken in runbooks". Finance koppelt daar budgetten en capaciteiten aan, terwijl interne audit nagaat of de beoogde resultaten daadwerkelijk zijn gerealiseerd. Zo ontstaat een gesloten keten van ambitie, investering en bewijsvoering die perfect past binnen de eisen van de Nederlandse Baseline voor Veilige Cloud.
Securityvolwassenheid groeit stap voor stap. Door NIST CSF als referentie te gebruiken, verbetercycli te verankeren en governance te koppelen aan meetbare KPI’s ontstaat een programma dat blijft leren en aantoonbaar aansluit bij de Nederlandse Baseline voor Veilige Cloud en NBVC-eisen. Combineer interne zelfevaluaties met externe audits, documenteer elke stap en communiceer de vooruitgang naar bestuur en lijnorganisatie. Zo wordt continu verbeteren geen slogan, maar een bewezen werkwijze waarmee publieke diensten veilig en betrouwbaar blijven en bestuurders de vereiste assurance krijgen.