Wat een NIS2-auditor van je verwacht — en hoe je het concreet bewijst

NIS2 is in België van kracht. De CCB (Centrum voor Cybersecurity België) heeft handhavingsbevoegdheid. Maar wat betekent dat concreet wanneer een auditor aan je deur staat?

Dit artikel geeft geen juridische interpretatie — daarvoor heb je een advocaat. Wat het wél geeft: een concreet beeld van welke vragen een NIS2-auditor stelt, welk bewijs hij verwacht, en hoe je dat bewijs vandaag al kunt produceren.

De negen vereisten van artikel 21

Artikel 21 NIS2 verplicht "passende technische en organisatorische maatregelen". De Belgische omzetting specificeert negen domeinen. We lopen er door met de vraag die een auditor stelt, en het bewijs dat je nodig hebt.

1. Beleid voor risicoanalyse en informatiebeveiliging

Auditorvraag: "Toon me jullie risicoanalyse van het afgelopen jaar."

Wat je nodig hebt: Een gedocumenteerde analyse + bewijs dat ze actueel is.

Hoe monsys helpt: De Trust Score (0-100) is een reproduceerbaar risicocijfer over zes componenten: patch hygiene, agent health, secrets exposure, configuration drift, EAT-discipline, evidence continuity. Het getal verandert elke 30 minuten op basis van live data. Je kunt de evolutie over 90 dagen tonen als trend — dat is een levende risicoanalyse, geen jaarlijks document in een lade.

De Trust Score voor de tenant — één getal, transparante samenstelling, dagelijks bijgewerkt.

2. Afhandeling van incidenten

Auditorvraag: "Wat was jullie gemiddelde response-tijd op kritische incidenten? Toon me de tijdlijn van de laatste drie."

Wat je nodig hebt: Een audit trail per incident met tijdstempels: gedetecteerd, geëscaleerd, opgelost.

Hoe monsys helpt: Elk detection-event heeft detected_at, acknowledged_at, resolved_at. De SMART-correlatieworker voegt MITRE-tags toe. Emergency Actions zijn gelogd met issued_at en exit_code. De MTTR-dashboard toont p50/p95 per severity over 90 dagen.

Het alerts-overzicht toont open en gesloten incidenten met severity, source en age — meteen klikbaar naar de volledige tijdlijn.

3. Bedrijfscontinuïteit en crisisbeheer

Auditorvraag: "Bewijs dat jullie backups werken en recent zijn getest."

Wat je nodig hebt: Logs van backup-runs per systeem, inclusief succes/falen.

Hoe monsys helpt: De agent inventariseert backup-configuraties en -runs per host. De auditor ziet voor elke productieserver wanneer de laatste succesvolle backup liep en hoeveel runs er over 90 dagen mislukten. Een rij met "0 successful runs" op een productiehost is een audit-finding die je vóór de audit wil ontdekken — niet tijdens.

4. Supply chain beveiliging

Auditorvraag: "Hoe weet je welke externe softwarecomponenten in productie draaien en of die kwetsbaar zijn?"

Wat je nodig hebt: Een actuele software-BOM (Bill of Materials) met CVE-status.

Hoe monsys helpt: De agent scant package-lock.json, requirements.txt, composer.lock, go.sum en OS-packages. De hub matcht dagelijks tegen OSV.dev en NVD. Je hebt op elk moment een actuele CVE-status per host, per dependency, met fix-versie, gewogen naar internet-blootstelling en EPSS-exploitkans.

Aanbevelingen zijn geprioriteerd op blast-radius: een Critical op een internet-facing edge weegt zwaarder dan dezelfde Critical op een geïsoleerde dev-server.

5. Beveiliging bij verwerving, ontwikkeling en onderhoud

Auditorvraag: "Hoe detecteer je wijzigingen aan software in productie?"

Wat je nodig hebt: Bewijs van change detection en wijzigingsbeheer.

Hoe monsys helpt: Process DNA fingerprinting detecteert wanneer een binary in productie verandert zonder bekende package-update. Drift detection vergelijkt configuratiebestanden met een baseline. De time-machine diff toont per host wat er tussen twee tijdsstippen is veranderd: packages toegevoegd/verwijderd/geüpgraded, services, open poorten, kernel.

De integriteit-pagina toont per host of binaries afwijken van de baseline of een bekend manifest.

6. Beleid en procedures voor beoordeling van de doeltreffendheid

Auditorvraag: "Hoe meten jullie of jullie beveiligingsmaatregelen werken?"

Wat je nodig hebt: Een meetbare KPI die de effectiviteit van controls aantoont.

Hoe monsys helpt: De Trust Score is precies dat: een samengestelde KPI die toont of je beveiligingsmaatregelen effectief zijn. De compliance-erosion worker detecteert wanneer controls stilletjes degraderen. De compliance-tijdlijn toont per framework (NIS2, ISO 27001, CRA) welke controls in welke maanden falen of slagen.

Compliance-status per framework, met direct zicht op welke controls failing zijn.

7. Basispraktijken voor cyberhygiëne en opleiding

Auditorvraag: "Welke basishygiënemaatregelen zijn technisch afdwingbaar?"

Wat je nodig hebt: Bewijs van technische controls, niet alleen een beleidsdocument.

Hoe monsys helpt: De inventory bevat voor elke host: password policy uit /etc/shadow, SSH-key fingerprints, sudoers-configuratie, SUID/SGID-bestanden, world-writable directories. Dat is bewijs van technische implementatie van basishygiëne — niet alleen een tekstdocument dat zegt dat je het doet.

De inventaris-pagina aggregeert wat de agent op de host heeft gevonden: packages, services, gebruikers, SSH-keys, certificaten.

8. Beleid en procedures voor cryptografie

Auditorvraag: "Welke cryptografische controls zijn actief en worden geauditeerd?"

Wat je nodig hebt: Bewijs van key management en gebruik.

Hoe monsys helpt: De signing chain (Ed25519 per agent, per hub) is gedocumenteerd en auditeerbaar. Key rotatie is gelogd in de transparency log. Certificate scans detecteren expirerende certificaten 60+ dagen op voorhand.

9. Beveiliging van personeel en toegangsbeleid

Auditorvraag: "Welke users hebben admin-rechten en hoe wordt dat bijgehouden?"

Wat je nodig hebt: Een actueel overzicht van privileged access + gebruik.

Hoe monsys helpt: De RBAC-pagina toont per gebruiker rol, toegang per agent/groep en recent gebruik. Admins die nooit Emergency Actions uitvoeren → kandidaat voor downgrade naar least-privilege. Dat is actief bewijs van toegangsbeheer.

De RBAC-pagina toont wie welke rol heeft en op welke scope (tenant-breed of beperkt tot groep/agent).

De audit-dag zelf: wat je meebrengt

Een NIS2-audit verloopt in de praktijk in twee fases: een documentaire review en een technische verificatie. Voor de documentaire review wil een auditor geen dashboards — hij wil een artifact dat hij offline kan verifiëren.

De monsys Auditor Workbench genereert per maand een ZIP-bundle:

• Machine-leesbare JSONL met alle events
• Human-readable PDF (12-15 pagina's)
• Ed25519-signature over de bundle
• Offline verify-script (Python, geen dependencies behalve cryptography)

Maandelijkse audit packs worden automatisch gegenereerd; een auditor downloadt de tarball en verifieert offline.

De auditor verifieert:

python verify.py evidence_acme-corp_Q1-2026.tar.gz
✓ Signature valid (Ed25519)
✓ All 847 entries intact
✓ Period: 2026-01-01 → 2026-03-31
exit 0

Geen dashboard-toegang nodig. Geen screenshots. Geen "vertrouw ons".

Wat we niet beloven

NIS2-compliance is geen product dat je koopt — het is een continue inspanning. monsys levert:

• Bewijs dat je maatregelen genomen hebt en ze werken
• Detectie wanneer maatregelen degraderen
• Evidence packs die een auditor offline kan verifiëren

monsys levert niet:

• Een NIS2-certificering (die bestaat niet voor leveranciers)
• Een garantie dat je audit succesvol verloopt
• Een vervanging voor een juridische compliance-analyse

Maar als een auditor vraagt "bewijs dat CVE-2026-XXXX binnen zeven dagen gepatched is op al jullie productieservers", en je kunt dat binnen vijf minuten tonen met een gesigneerde timeline — dan heb je een significant voordeel ten opzichte van wie dat manueel moet reconstrueren.

---

De auditor-workflows zijn gedocumenteerd in docs.monsys.ai/nl/practical/auditor. Eerste vijf servers gratis, geen creditcard: monsys.ai/nl/signup.