Wat een security-rapport waard is als de uitvoering vastloopt
Aantoonbaarheid ontstaat niet in het document, maar in het werk dat erna gebeurt
Een security-rapport is geen security. Het is een beschrijving van wat er zou moeten gebeuren, geschreven op een moment waarop nog niets gebeurd is. De aanbevelingen kloppen, de risico's zijn benoemd, de prioritering is verdedigbaar. En toch is wat er op tafel ligt geen uitkomst, maar een aankondiging. Aantoonbaarheid ontstaat pas in het werk dat erna gebeurt, niet in het document zelf. Dat is waar de breuk zit tussen de meeste assessments en de positie die je als CISO werkelijk nodig hebt.
De scène is voor de meeste CISO's herkenbaar. Een extern bureau heeft een gap-analyse opgeleverd, of een ISO 27001-readiness, of een NIS2-uitlijning. Het rapport is netjes. Op pagina twaalf staat een kleurenmatrix, op pagina drieëntwintig een tijdspad, achterin een routekaart, plan met fases. Je leest het, je herkent het, en je weet meteen welke aanbevelingen je dit kwartaal niet gaat krijgen. Niet omdat ze niet kloppen. Omdat het mandaat, het budget en de coördinatie ergens anders zitten dan waar het rapport ze veronderstelt.
Wat een rapport wel levert en wat niet
Een goed rapport doet drie dingen die niemand mag onderschatten. Het maakt een diagnose expliciet, het ordent risico's tegen een referentiekader, en het schept een gedeelde basis waar het bestuur over kan beslissen. Dat is reëel werk, en in een organisatie zonder die nulmeting is bijna geen zinvol securitygesprek mogelijk. Zonder rapport geen vertrekpunt.
Wat een rapport niet levert is even belangrijk om scherp te benoemen. Een rapport voert niet uit. Een rapport heeft geen mandaat. Een rapport draagt geen verantwoordelijkheid voor de keuzes die het impliceert. Een rapport zegt dat netwerksegmentatie verstandig is, niet wie het op maandagochtend organiseert, en al helemaal niet wat er met de drie legacy-applicaties moet gebeuren waar de business van leeft. Wie aantoonbaarheid wil richting board, toezichthouder of klant, vindt die niet in de aanbevelingen. Aantoonbaarheid is een gedragsuitkomst van het programma dat de aanbevelingen omzet in werk dat klopt.
ISO 27001 vat dit nauwkeurig samen in het onderscheid tussen de Statement of Applicability en het feitelijke ISMS dat eronder draait. De norm vraagt geen lijst goede bedoelingen. De norm vraagt een geïmplementeerd, onderhouden en aantoonbaar werkend managementsysteem. Een audit toetst niet of jouw bureau goede zinnen heeft geschreven, maar of de organisatie het werk doet dat in die zinnen wordt beschreven. Dezelfde logica zit in NIS2 (artikel 20, lid 1 van richtlijn EU 2022/2555): het bestuur keurt risicobeheersmaatregelen goed en ziet toe op uitvoering. Toezicht op uitvoering, niet toezicht op rapportage.
Waarom de rapport-uitvoering-kloof structureel is, geen ongeval
Dit is geen kwestie van slechte rapporten. Het zijn vaak juist de beste rapporten die niet landen. Wat de kloof open laat staan, zijn drie patronen die in dezelfde organisaties terugkomen.
Het rapport adresseert de techniek, niet de besluitvormingsstructuur. Een aanbeveling als "voer zero trust in" is technisch correct en organisatorisch leeg. Wie zero trust invoert, raakt aan netwerkarchitectuur, identity-management, applicatiebeheer en leverancierscontracten. Vier domeinen, vier eigenaren, vier prioriteitenlijstjes. Het rapport veronderstelt dat die vier mensen op één lijn komen omdat het rapport ze daartoe oproept. In de praktijk is dat de uitdaging, niet het uitgangspunt.
De adviseur die het rapport schreef draagt het niet door de uitvoering. Het bureau levert op, factureert, en gaat naar de volgende opdracht. Wat overblijft is een PDF en jij. De vertaling van paginaclaim naar werkbaarheid in jouw specifieke omgeving, met jouw specifieke legacy en jouw specifieke teamcapaciteit, is een tweede project dat niemand begroot heeft. Het rapport stopt waar het werk begint.
De aanbeveling is op papier juist en in jouw werkelijkheid niet uitvoerbaar zoals voorgeschreven. Dat is geen mislukking van het rapport, het is een eigenschap van het genre. Algemeen advies wordt geschreven tegen een gemiddelde, en jouw organisatie is geen gemiddelde. De stap die ontbreekt is de stap die het advies vertaalt naar jouw landschap, jouw werkproces en jouw resterende capaciteit. Zonder die stap blijft de aanbeveling correct en ongeland.
NCSC en ENISA wijzen er beide consistent op dat de zwakste schakel in de meeste cybertrajecten niet de technische maatregel is, maar de governance-structuur eromheen: wie eigenaar is, wie escaleert, wie afdwingt. Onder NIS2 wordt dat geen voetnoot meer maar bestuurlijke verplichting. Het rapport dat je ophaalt zal je vertellen dát je een governance-structuur nodig hebt. Het zal die structuur niet voor je inrichten.
Wat aantoonbaarheid feitelijk is
Aantoonbaarheid is een veelgebruikt woord in bestuurlijke security-rapportage, en daardoor ook een woord dat snel betekenisloos wordt. Het loont om scherp te zijn. Aantoonbaarheid is niet de aanwezigheid van een rapport. Aantoonbaarheid is een combinatie van vier dingen die alleen ontstaat in uitvoering.
Eén, een traceerbare beslissingslijn. Op elk relevant moment is herleidbaar wie wat heeft besloten, op basis van welke informatie, met welke afweging. Dat is het soort bewijs waar een toezichthouder bij een onderzoek naar vraagt. Een rapport van twee jaar geleden levert dat niet. Een lopend besluitvormingsritme wel.
Twee, een werkend controlemechanisme. De maatregel die op papier staat, draait ook. Hij wordt gemonitord, afwijkingen worden opgepakt, en de monitor zelf wordt periodiek getoetst. NIST CSF noemt dit het verschil tussen identify en de implementatiefuncties (protect, detect, respond, recover). De rapport-laag dekt identify. De rest gebeurt in de organisatie.
Drie, een organisatie die zelf het verschil kan zien tussen een gat in de uitvoering en een nieuw risico. Dat is volwassenheid, en volwassenheid is geen output van een gap-analyse. Het is een eigenschap die ontstaat door werken aan dezelfde besluitvorming, kwartaal na kwartaal, totdat het ritme zelf het werk doet.
Vier, een vertaling naar de board die staat. Niet de eerste keer met moeite gevonden, maar herhaalbaar en stabiel. De CFO en de CEO horen elk kwartaal in dezelfde vormtaal wat er staat, wat verschuift, wat zorg vraagt. Dat ritme bouw je niet op met een rapport. Je bouwt het op door het te doen.
Geen van deze vier komt uit een document. Alle vier komen uit het werk erna.
Wat dit voor je positie betekent als je een rapport koopt
Als je een gap-analyse, readiness-assessment of strategie-rapport inkoopt, is het de moeite waard om vooraf scherp te benoemen wat je verwacht dat dit document doet, en wat het niet doet. Drie vragen die het inkoopgesprek scherp maken.
Wie draagt de aanbevelingen door de uitvoering. Niet als kostenpost erbij, maar als ontwerp-eis van de opdracht. Een rapport zonder draagverantwoordelijkheid is een artefact, geen werk. Als de adviseur niet bereid is om naast je team te blijven werken aan wat hij heeft opgeschreven, dan koop je dus alleen de pagina's, en dan moet de prijs daarvan ook bij die pagina's horen.
Hoe wordt elke aanbeveling uitvoerbaar gemaakt in jouw context. Een rapport dat in elke organisatie hetzelfde kan zeggen, zegt nergens precies genoeg iets. De vertaalslag naar wat er bij jou kan, gegeven legacy, capaciteit en het politieke landschap, is geen optionele toevoeging. Het is het werk waar het rapport zinvol wordt.
Welke aantoonbaarheid ontstaat in welk tempo. Niet "binnen drie maanden compliant". Wel: wanneer staat de besluitvormingsstructuur, wanneer draait het eerste controlemechanisme onder monitoring, wanneer rapporteert de board met regelmaat in stabiele taal. Een tijdspad in maanden, gekoppeld aan zichtbare uitkomsten, in plaats van aan voltooide hoofdstukken.
Deze drie vragen draaien het gesprek om. Het gaat niet meer over wat het rapport gaat opleveren, maar over wat er na het rapport zichtbaar verandert. Dat is een ander soort gesprek met een ander soort adviseur, en het sluit een aanzienlijk deel van de markt structureel uit.
Wat dit voor je positie betekent als CISO
De aantoonbaarheid die je richting board en toezichthouder nodig hebt, ontstaat niet in een leveringsmoment maar in een werkrelatie. De CFO die je morgen moet meekrijgen, hoort niet over een rapport dat klopt. Hij hoort over werk dat is gedaan, met traceerbare beslissingen, een ritme dat staat, en een richting die door gaat ook als de externe adviseur er straks weer afstand van neemt. Dat is wat hij wil zien, en dat is wat hij in een rapport-overdracht zelden krijgt.
Voor het bestuur ligt de governance-vraag eronder. Onder NIS2 keurt het bestuur risicobeheersmaatregelen goed en ziet toe op de uitvoering. Toezien op uitvoering vraagt iets wat een rapport per definitie niet biedt: zicht op het werk in de tijd, niet op de momentopname. De vraag aan een security-functie is dus niet of er een rapport is. De vraag is hoe de uitvoering wordt georganiseerd, gemonitord en zichtbaar gemaakt, en wie daarvoor verantwoordelijk is.
Als je herkent wat hier staat en het rapport waar je naar kijkt geen volgende fase heeft, is een gesprek met een senior adviseur de meest economische manier om te wegen waar je staat. Een uur waarin je de stand van zaken voorlegt en samen kijkt waar de uitvoering nu staat en wat een verstandig vervolg zou zijn. Het rapport is daarvoor een prima vertrekpunt. Het hoeft niet het eindpunt te blijven.