Hoe Voer Je een CyFun Mock-audit Zelf uit (Belgische NIS2-zelfcheck)
Een mock-audit is de goedkoopste verzekering tegen een CAB-audit die misgaat. De oefening: neem de CCB CyberFundamentals-workbook, scoor elke control eerlijk tegen je verzamelde bewijs, en vind de gaps die een Conformity Assessment Body (CAB)-auditor zou vinden — voordat ze je een her-auditcyclus kosten. Hier is hoe je er zelf een uitvoert.
Waarom een Mock-audit een Week Inspanning Waard Is
Een echte CAB-audit op IMPORTANT- of ESSENTIAL-niveau kost €5K-€25K aan auditkosten plus weken aan audit-weekinspanning. Een bevinding die een her-audit triggert kost een betekenisvolle fractie daarvan opnieuw. Een mock-audit vangt dezelfde bevinding voor de prijs van een week gefocuste interne tijd, voor de auditkostenmeter begint te lopen.
Drie patronen die de mock-audit-oefening betrouwbaar aan het oppervlak brengt:
- Dekkingstekorten verborgen in samenvattingscijfers. Een 95% MFA-dekkingscijfer is nog steeds een "nee" voor BASIC PR-AA-01. De mock-audit dwingt je om naar de ontbrekende 5% bij naam te kijken.
- Ongeteste artefacten. Backups die bestaan maar nooit restore-getest zijn. Incidentresponsplannen die zijn geschreven maar nooit tabletop-geoefend. De CCB-workbook verwijst expliciet naar "getest" in de bewijskolom voor RC-BA en RS-IR.
- Verweesd eigenaarschap. Beleid waarvan de benoemde eigenaar 18 maanden geleden de organisatie verliet. Leveranciers geclassificeerd "kritiek" zonder huidige due-diligence in dossier. Fase 5's tweede-reviewer-uitdaging brengt deze elke keer aan het oppervlak.
Fase 1 — Bewijs-prep (Dag 1-2)
Doel. Trek het bewijs dat de workbook verwacht voor je iets scoort. Een control proberen scoren zonder het artefact voor je produceert wensgedachten, geen echt beeld.
Concrete acties
- Download de laatste CCB CyberFundamentals-workbook voor je niveau (BASIC = 34 controls, IMPORTANT = 132, ESSENTIAL = 217).
- Vind voor elke control het artefact dat in de bewijskolom van de workbook wordt genoemd: beleidsverwijzing, screenshot, logvoorbeeld, trainingsregistratie. Als het artefact niet bestaat of niet binnen 5 minuten ophaalbaar is, markeer de control "bewijs ontbreekt" en ga verder.
- Compileer een enkele map (of wiki, of ECP-bewijslade) met een entry per control. Naamgevingsconventie doet ertoe: toekomstig-jij en de CAB zullen je beide bedanken.
Fase 2 — Scoor Documentatie-volwassenheid (Dag 3-4)
Doel. De CCB-rubriek scoort elke control op twee assen: Documentatie-volwassenheid (is het beleid/procedure opgeschreven?) en Implementatie-volwassenheid (wordt het werkelijk gevolgd?). Fase 2 behandelt de eerste as.
Concrete acties
- Scoor voor elke control Documentatie 1-5 met de CCB CMMI-afgeleide rubriek: 1 = Initieel (ad-hoc), 2 = Herhaalbaar (enige documentatie), 3 = Gedefinieerd (formeel beleid), 4 = Beheerd (gemeten + beoordeeld), 5 = Optimaliserend (doorlopend verbeterd).
- Wees eerlijk. Documentatie 5 betekent dat het beleid wordt beoordeeld op een gedefinieerde cyclus met meetbare verbeteringssignalen — niet "we hebben twee jaar geleden een beleid geschreven".
- Veelvoorkomend tekort dat het CCB heeft gesignaleerd in gepubliceerde richtlijnen: het scoren van beleid dat bestaat maar geen gedocumenteerde reviewcyclus heeft als Documentatie 4 of 5. De rubriek behandelt die als Documentatie 3 maximaal.
Fase 3 — Scoor Implementatie-volwassenheid (Dag 5-6)
Doel. De andere as. Een perfect geschreven beleid dat niemand volgt scoort hoog op Documentatie en laag op Implementatie — dat is een echt en veelvoorkomend patroon.
Concrete acties
- Scoor voor elke control Implementatie 1-5 tegen werkelijk bewijs: logvoorbeelden, screenshots, aanwezigheidsregistraties, restore-test-rapporten.
- Implementatie 5 vereist bewijs dat de control doorlopend draait en in de loop van de tijd verbetert — niet "we deden dit eens toen de auditor er was".
- Dekkingstekorten doen ertoe. 95% MFA-dekking op admin-accounts is nog steeds een "nee" voor BASIC PR-AA-01, dat alle admin-accounts verwacht. Scoor de gap als Implementatie 2-3 met een remediatienoot in plaats van af te ronden naar 4.
Fase 4 — Gap-lijst + Roadmap (Dag 7)
Doel. De echte output van de mock-audit is niet de score — het is de gap-lijst. Een CAB komt binnen en de workbook vertelt hen precies welke controls onder de drempel zitten; je wilt dat gesprek gekaderd door je roadmap, niet hun bevindingen.
Concrete acties
- Filter de workbook op elke control gescoord onder de BASIC-drempel (de CCB-rubriek behandelt Documentatie 2 + Implementatie 2 als het minimum voor BASIC-certificering; niveau-specifieke drempels zijn hoger voor IMPORTANT en ESSENTIAL).
- Per gap: streefdatum voor remediatie, eigenaar (een benoemde persoon, geen rol), en afhankelijkheid (wat moet eerst gebeuren).
- Werk je risicoregister bij als een gap materieel een gedocumenteerd risico verhoogt. De GV-RM control family verwijst expliciet naar "gedocumenteerde risicobeoordeling" als bewijs — gaps die er niet in landen zijn dubbel zichtbaar voor een CAB.
Fase 5 — Tweede-reviewer Uitdaging (Dag 8)
Doel. Een mock-audit die je zelf scoort vangt een fractie van wat een koude reviewer vangt. Fase 5 is de discipline die een echte mock-audit scheidt van wensgedachten-zelfscoring.
Concrete acties
- Overhandig de gescoorde workbook aan iemand die het bewijs niet heeft verzameld: een collega, een MSP, een peer compliance-lead in een andere organisatie.
- Hun taak: daag elke score boven 3 uit. "Toon me het artefact achter deze 4. Toon me nu de reviewcyclus achter deze 5."
- Laat scores vallen die de uitdaging niet overleven. Een workbook die eerlijk scoort met streefdata per gap is een sterkere positie dan een muur van groen die een CAB-review niet overleeft.
De Eerlijkheidsrubriek: Scoor Zoals een CAB Reviewt
De grootste faalmodus van een zelf uitgevoerde mock-audit is optimistisch scoren. Drie regels om de oefening eerlijk te houden:
Voer de Mock-audit in ECP uit in plaats van in Excel
ECP draait dezelfde CCB CyberFundamentals-workbook + 1-5 volwassenheidsrubriek binnen het platform. De Audit Readiness Snapshot is het een-pagina-artefact dat je de Fase 5-reviewer overhandigt. Live integraties (Microsoft Graph, Sophos, Bitdefender) trekken automatisch dekkingsdata in de relevante bewijssleuven — dekkingsgaps verschijnen als gefaalde control-checks, niet als een percentage om later te onderzoeken.
- CyFun-volwassenheidsscoring-engine signaleert automatisch controls onder de drempel.
- CCB-compatibele Excel-export — dezelfde workbook die een CAB ontvangt.
- Auditor-reimport wanneer je van mock naar echt gaat: de CAB stuurt een gemarkeerde workbook terug, ECP voegt bevindingen samen in de live-status.
- Kwartaal-herruns zijn een knop, geen project.
Veelgestelde Vragen
Is een mock-audit anders dan de echte CAB-audit?
Dezelfde workbook, dezelfde scoringsrubriek, andere ondertekenaar. Een CAB-audit wordt uitgevoerd door een Conformity Assessment Body geaccrediteerd door BELAC, en levert een certificaat. Een mock-audit wordt intern uitgevoerd (of door een MSP, consultant of peer-reviewer) en levert een vertrouwenskalibratie plus een gap-lijst. De mock-run vindt de gaten die de echte audit zal vinden — dat is het punt.
Wat gebeurt er als mijn mock-audit ernstige gaps onthult?
Beter nu dan tijdens de echte audit. Het remediatieplan uit Fase 4 is het artefact dat "we hebben gaps" verandert in "we hebben gaps en hier is wanneer elk sluit". Een CAB-indiening met een geloofwaardige roadmap is een sterkere positie dan een zelfbeoordeling zonder gedocumenteerde gaps die geen toetsing overleeft.
Heb ik een tool nodig om dit uit te voeren, of kan ik het in Excel doen?
Excel werkt. Het CCB publiceert de workbook als Excel-bestand precies zodat elke organisatie de oefening kan uitvoeren zonder tooling te kopen. De afweging: je onderhoudt de workbook handmatig, je krijgt geen integratiebewijs (MFA-dekking, EDR-implementatie, backup-test-logs) automatisch getrokken, en je gap-lijst is een aparte sheet die je handmatig beheert. ECP houdt dat allemaal aan elkaar gekoppeld; voor organisaties die meerdere klanten beheren (MSPs vooral) betaalt die machinerie zich snel terug.
Hoe vaak zou ik een mock-audit moeten uitvoeren?
Een keer voor de eerste CAB-indiening, daarna kwartaal. CyberFundamentals-certificering is geldig 2-3 jaar met surveillance-audits ertussen — kwartaal mock-runs vangen drift tussen surveillance-audits op en houden de workbook in een staat waar de volgende audit een routine-update is in plaats van een sprint.
Kan mijn MSP dit voor mij uitvoeren?
Ja. MSPs die CyFun-beoordelingen uitvoeren namens klanten is precies het patroon waar ECP rond is gebouwd. De MSP voert de mock-audit uit met het platform, overhandigt de klant de Audit Readiness Snapshot, en stuurt ofwel remediatie aan of overhandigt de workbook aan een CAB voor de formele audit.