De 12 CyberFundamentals Controlcategorieën Uitgelegd

CyberFundamentals organiseert beveiligingsmaatregelen in 12 controlcategorieën. Elke categorie behandelt een specifiek aspect van cybersecurity. Hier lees je wat ze dekken en waarom ze belangrijk zijn.

Geïntegreerde tandwielen - systematische beveiligingscontroles
De 12 controlecategorieën werken samen als een geïntegreerd systeem

De NIST Framework Structuur

CyberFundamentals volgt de vijf kernfuncties van het NIST Cybersecurity Framework:

Identify: Weet wat je hebt en je risico's Protect: Bescherm je assets Detect: Vind beveiligingsgebeurtenissen Respond: Onderneem actie bij incidenten Recover: Herstel normale operaties

De 12 Categorieën

AM

Asset Management

Identify
In Small

Weet welke hardware, software en data je hebt. Je kunt niet beschermen wat je niet weet te hebben.

Waarom belangrijk: Shadow IT en onbekende assets zijn veelvoorkomende aanvalsvectoren. Volledig zicht is fundamenteel.

Voorbeelden:

  • Hardware-inventaris (computers, servers, netwerkapparaten)
  • Software-inventaris en licenties
  • Dataclassificatie (wat is gevoelig, waar is het)
  • Asset-eigenaarstoewijzing
  • End-of-life tracking
RA

Risicobeoordeling

Identify

Identificeer en evalueer cybersecurity-risico's voor je organisatie. Begrijp wat fout kan gaan en hoe waarschijnlijk het is.

Waarom belangrijk: Risicogebaseerde beslissingen zorgen dat je middelen investeert waar ze het meest tellen.

Voorbeelden:

  • Dreigingsidentificatie
  • Kwetsbaarheidsbeoordeling
  • Impactanalyse
  • Risicoprioritering
  • Risicobehandelingsplanning
AC

Toegangsbeheer

Protect
In Small

Zorg dat alleen geautoriseerde mensen toegang hebben tot systemen en data. De juiste toegang voor de juiste mensen op het juiste moment.

Waarom belangrijk: Gecompromitteerde credentials zijn betrokken bij 80%+ van datalekken. Sterk toegangsbeheer is kritiek.

Voorbeelden:

  • Gebruikersauthenticatie (wachtwoorden, MFA)
  • Autorisatie (wie mag wat)
  • Least privilege principe
  • Privileged access management
  • Toegangsreviews
AT

Bewustzijn & Training

Protect

Leer medewerkers over beveiligingsrisico's en hun verantwoordelijkheden. Mensen zijn je eerste verdedigingslinie.

Waarom belangrijk: Menselijke fouten veroorzaken de meeste beveiligingsincidenten. Getrainde medewerkers herkennen en vermijden dreigingen.

Voorbeelden:

  • Security awareness training
  • Phishing-simulaties
  • Rolspecifieke beveiligingstraining
  • Onboarding beveiligingsoriëntatie
  • Regelmatige opfristraining
DS

Databeveiliging

Protect
In Small

Bescherm data at rest, in transit en in gebruik. Houd gevoelige informatie vertrouwelijk en intact.

Waarom belangrijk: Data is wat aanvallers willen. Encryptie en juiste verwerking voorkomen ongeautoriseerde toegang.

Voorbeelden:

  • Data-encryptie (at rest en in transit)
  • Data-backup procedures
  • Dataretentiebeleid
  • Veilige datavernietiging
  • Data loss prevention
IP

Informatiebescherming

Protect

Stel beleid en processen vast voor veilige informatieverwerking gedurende de hele levenscyclus.

Waarom belangrijk: Consistente informatieverwerking vermindert onbedoelde blootstelling en compliance-overtredingen.

Voorbeelden:

  • Informatieclassificatiebeleid
  • Documentverwerkingsprocedures
  • Clean desk beleid
  • Verwijderbare media controls
  • Informatiedelingsrichtlijnen
MA

Onderhoud

Protect
In Small

Houd systemen bijgewerkt, gepatcht en goed onderhouden. Verouderde systemen zijn kwetsbare systemen.

Waarom belangrijk: Ongepatchte kwetsbaarheden zijn makkelijke doelwitten. Regelmatig onderhoud sluit beveiligingsgaten.

Voorbeelden:

  • Patchbeheerproces
  • Systeemupdateschema
  • Onderhoudsvensters
  • Change management
  • Configuratiebeheer
PT

Beschermende Technologie

Protect
In Small

Zet beveiligingstools en -technologieën in om je omgeving te beschermen. Verdediging in de diepte.

Waarom belangrijk: Technische controls automatiseren bescherming en vangen wat mensen missen.

Voorbeelden:

  • Firewalls en netwerkbeveiliging
  • Antivirus/antimalware
  • E-mailbeveiliging (spam, phishing filters)
  • Webfiltering
  • Endpoint protection
PS

Fysieke Beveiliging

Protect
In Small

Bescherm fysieke assets, faciliteiten en apparatuur. Digitale beveiliging begint met fysieke beveiliging.

Waarom belangrijk: Fysieke toegang kan digitale controls omzeilen. Sluit de deur af voor je de firewall configureert.

Voorbeelden:

  • Gebouwtoegangsbeheer
  • Bezoekersregistratie
  • Serverruimtebeveiliging
  • Apparaatsloten en kabels
  • CCTV en monitoring
DE

Detectie

Detect

Monitor systemen en netwerken om beveiligingsgebeurtenissen te identificeren. Vind problemen voordat het rampen worden.

Waarom belangrijk: Gemiddelde detectietijd van datalekken is maanden. Vroege detectie beperkt schade.

Voorbeelden:

  • Beveiligingsmonitoring
  • Loganalyse
  • Intrusion detection systems
  • Anomaliedetectie
  • Beveiligingsalerts
RS

Respons

Respond

Heb plannen en capaciteiten om te reageren op beveiligingsincidenten. Als er iets gebeurt, handel snel en effectief.

Waarom belangrijk: Incidentresponssnelheid bepaalt de impact van een datalek. Voorbereiding verslaat improvisatie.

Voorbeelden:

  • Incidentresponsplan
  • Responsteam en rollen
  • Communicatieprocedures
  • Inperkingsstrategieën
  • Bewijsbehoud
RC

Herstel

Recover

Herstel systemen en operaties na een incident. Kom snel en veilig terug naar normaal.

Waarom belangrijk: Bedrijfscontinuïteit hangt af van herstelcapaciteit. Downtime kost geld.

Voorbeelden:

  • Backup- en herstelprocedures
  • Bedrijfscontinuïteitsplan
  • Disaster recovery plan
  • Hersteltesten
  • Post-incident verbetering

Controls per Niveau

Elk niveau bouwt voort op het vorige:

Small 7 AC, AM, DS, MA, PT, PS (basis)
Basic 34 Alle categorieën gedekt
Important 117 Uitgebreide dekking
Essential 140 Maximale bescherming

Implementatieaanpak

Werk systematisch door categorieën:

  1. 1 Begin met categorieën gemarkeerd als "Small" - ze zijn fundamenteel
  2. 2 Binnen elke categorie, implementeer eerst basiscontrols
  3. 3 Bouw bewijs en documentatie op terwijl je bezig bent
  4. 4 Vorder naar geavanceerde controls als middelen het toelaten
  5. 5 Review en verbeter continu

Hulp Nodig bij Implementatie?

Easy Cyber Protection begeleidt je door elke controlcategorie met duidelijke taken, bewijssjablonen en voortgangsregistratie.

Veelgestelde Vragen

Moet ik alle categorieën implementeren?

Minimaal, ja - alle categorieën moeten enige dekking hebben. De diepte hangt af van je niveau. Small niveau dekt basis over sleutelcategorieën. Hogere niveaus vereisen uitgebreide implementatie.

Welke categorieën zijn het belangrijkst?

Toegangsbeheer (AC) en Beschermende Technologie (PT) blokkeren de meeste aanvallen. Maar alle categorieën werken samen - gaps in één gebied kunnen anderen ondermijnen.

Hoe verhouden categorieën zich tot NIS2-vereisten?

CyberFundamentals-categorieën mappen direct naar NIS2 Artikel 21 vereisten. CyberFundamentals implementeren op het passende niveau toont NIS2-compliance aan.

Kan ik me eerst op bepaalde categorieën focussen?

Ja. Begin met Toegangsbeheer, Beschermende Technologie, Databeveiliging en Onderhoud (de Small niveau focus). Deze bieden de meest directe bescherming.

Hoe worden controls binnen categorieën geprioriteerd?

Het CCB-framework wijst controls toe aan niveaus op basis van belangrijkheid en inspanning. Small niveau heeft fundamentele controls. Elk volgend niveau voegt meer geavanceerde maatregelen toe.

Gerelateerde Artikelen