IT-partner? Ontdek hoe je NIS2 audit-readiness levert

Bekijk partneraanbod →

Beleid vs Standaarden vs Procedures vs Richtlijnen: Wat is het Verschil?

Wanneer je IT-partner vraagt om "een beleid te schrijven", bedoelen ze dan een korte verklaring of een uitgebreide handleiding? De verwarring tussen deze vier documenttypes is een van de meest voorkomende struikelblokken bij cybersecuritydocumentatie — en de fout maken kost veel tijd.

Vier gelaagde niveaus die de documenthiërarchie vertegenwoordigen
Elk documenttype bouwt voort op het vorige niveau

De vier documenttypes vormen een hiërarchie. Elk type bouwt voort op het vorige. Begrijpen welk type je schrijft bepaalt wie het bezit, hoe vaak het verandert en hoe specifiek het moet zijn.

De Vierniveaushiërarchie

Niveau 1

Beleid

Het "wat" en "waarom"

Een beleid is een verklaring van intentie op hoog niveau. Het zegt wat de organisatie wil bereiken en waarom dat belangrijk is — maar niet hoe. Beleid is eigendom van het management, goedgekeurd op bestuursniveau en verandert zelden. Het past doorgaans op één of twee pagina's.

Voorbeeld

"De organisatie zorgt voor regelmatige back-ups van alle kritieke gegevens om bedrijfscontinuïteit te garanderen bij een systeemstoring of cyberincident."

  • Geschreven voor management en auditors
  • Technologie-agnostisch (noemt geen specifieke tools)
  • Jaarlijks herzien of bij significante bedrijfsveranderingen
  • Overtreding heeft formele gevolgen
Niveau 2

Standaard

Het "hoeveel"

Een standaard definieert de specifieke, meetbare vereisten die een beleid implementeren. Het beantwoordt "hoeveel", "hoe vaak", "welk niveau". Standaarden zijn technischer dan beleid en kunnen verwijzen naar specifieke configuraties of drempelwaarden. Ze zijn verplicht, net als beleid.

Voorbeeld

"Kritieke gegevens moeten dagelijks worden geback-upt. Back-ups moeten de 3-2-1-regel volgen: 3 kopieën, op 2 verschillende opslagmedia, met 1 kopie offsite. Herstel moet elk kwartaal worden getest."

  • Specifiek en meetbaar
  • Kan technologie of leveranciersproducten vermelden
  • Verplicht — niet optioneel
  • Bijgewerkt bij technologische veranderingen of nieuw risico
Niveau 3

Procedure

Het "hoe"

Een procedure is een stapsgewijze beschrijving van hoe een specifieke taak wordt uitgevoerd om aan een standaard te voldoen. Procedures zijn operationele documenten — ze worden gebruikt door de mensen die het werk daadwerkelijk doen. Ze veranderen regelmatig naarmate tools en processen evolueren.

Voorbeeld

"Stap 1: Log in op de back-upbeheerconsole via [URL]. Stap 2: Controleer of de back-uptaak van afgelopen nacht succesvol is voltooid. Stap 3: Als de taak mislukt is, escaleer binnen 2 uur naar de IT-partner..."

  • Geschreven voor de persoon die de taak uitvoert
  • Toolspecifiek en gedetailleerd
  • Bijgewerkt wanneer processen of tools veranderen
  • Bevat vaak screenshots of checklists
Niveau 4

Richtlijn

De "aanbevolen aanpak"

Richtlijnen zijn niet-verplichte aanbevelingen. Ze bieden best practices, voorgestelde benaderingen of nuttige context — maar het opvolgen ervan is optioneel. Ze zijn nuttig voor situaties waar starre regels niet logisch zijn omdat de context varieert.

Voorbeeld

"Bij het selecteren van een cloud back-upprovider, overweeg leveranciers met ISO 27001-certificering en datacenters in de EU. Vermijd providers die gegevens opslaan in jurisdicties met zwakke privacywetten."

  • Vrijwillig — niet verplicht
  • Nuttig waar beoordelingsvermogen nodig is
  • Geeft context en onderbouwing
  • Bijgewerkt naarmate best practices evolueren

Waarom het Onderscheid Belangrijk Is

Het verwarren van deze types leidt tot twee veelvoorkomende problemen:

Beleid geschreven als procedures

Een "beleid" van 30 pagina's dat elke technische stap beschrijft wordt onbeheersbaar. Wanneer tools veranderen, moet het volledige beleid worden herschreven en opnieuw goedgekeurd. Houd beleid kort en technologie-agnostisch — de procedures bevatten de details.

Procedures zonder beleidsgrondslag

Als je stapsgewijze instructies hebt maar geen onderliggend beleid, heb je geen kader voor beslissingen. Wanneer een uitzondering zich voordoet, weet niemand wat de intentie is. Beleid geeft procedures hun autoriteit.

Hoe Dit Mapped op CyFun en NIS2

CyberFundamentals (CyFun) controles vereisen doorgaans bewijs voor alle vier documenttypes:

Controle Beleid Standaard Procedure Richtlijn
Toegangscontrole Toegangscontrolebeleid Wachtwoordlengte, MFA-vereisten Hoe gebruikersaccounts aan te maken/in te trekken Aanbevolen wachtwoordbeheertools
Back-up & Herstel Bedrijfscontinuïteitsbeleid 3-2-1-regel, RTO/RPO-doelen Dagelijkse back-upverificatiestappen Aanbevolen back-upsoftware-opties
Incidentrespons Incidentresponsbeleid Reactietijdvereisten, rapportagedrempels Stapsgewijs incident handling playbook Communicatiesjablonen voor incidenten

Tijdens een CyFun of NIS2 audit controleren auditors op alle vier lagen. Een procedure zonder onderliggend beleid is een hiaat. Een beleid zonder implementerende procedures is ook een hiaat.

Waar te Beginnen

De juiste volgorde is van boven naar beneden: schrijf eerst beleid, leid standaarden daaruit af, dan procedures.

1

Bepaal je scope

Welke gebieden hebben documentatie nodig? Voor CyFun Basic is de minimumset: toegangscontrole, back-up, incidentrespons, acceptabel gebruik en patchbeheer.

2

Schrijf eerst eenpagina-beleid

Elk beleid moet beantwoorden: Wat beschermen we? Waarom is dat belangrijk? Wat is de algemene aanpak? Wie is verantwoordelijk? Houd het onder twee pagina's.

3

Leid standaarden af uit elk beleid

Beschrijf voor elk beleid de specifieke meetbare vereisten. Wat moet er precies gebeuren? Hoe vaak? Tot welk niveau? Dit worden je standaarden.

4

Schrijf procedures voor operationele taken

Identificeer welke standaarden terugkerende menselijke actie vereisen. Schrijf stapsgewijze procedures voor die taken. Wijs een eigenaar toe.

5

Voeg richtlijnen toe waar beoordelingsvermogen nodig is

Voor beslissingen waarbij context varieert (bv. leveranciersselectie, toolkeuze), documenteer je aanbevolen aanpak als richtlijn in plaats van een regel.

Veelgestelde Vragen

Hebben kleine KMO's echt alle vier documenttypes nodig?

Voor NIS2 en CyFun-compliance ja — auditors verwachten beleid en minimaal enkele standaarden en procedures. Richtlijnen zijn optioneel. Maar "alle vier types" betekent niet een enorme hoeveelheid papierwerk. Een KMO van 10 personen heeft mogelijk 5 eenpagina-beleidsregels, 5 standaardendocumenten en 10 korte procedures. Dat is haalbaar.

Wie moet elk documenttype bezitten?

Beleid is eigendom van management (CEO, COO of bestuur). Standaarden zijn doorgaans eigendom van IT of de IT-partner. Procedures zijn eigendom van het team dat het werk uitvoert. Richtlijnen zijn vaak eigendom van IT of de MSP.

Hoe vaak moeten we deze documenten herzien?

Beleid: jaarlijks of bij significante bedrijfsveranderingen. Standaarden: bij technologische veranderingen of nieuwe risico's. Procedures: wanneer het onderliggende proces of de tool verandert. Richtlijnen: naarmate best practices evolueren. Voor NIS2 moet je kunnen aantonen dat documenten regelmatig worden herzien — dateer ze dus en houd een revisiegeschiedenis bij.

Onze IT-partner gaf ons een "beleidsdocument" van 50 pagina's. Is dat normaal?

Het is gangbaar maar niet ideaal. Wat meestal gebeurt is dat beleid, standaard en procedure zijn samengevoegd in één document. Dat is niet verkeerd, maar maakt updates moeilijker. Naarmate je complianceprogramma volwassener wordt, overweeg ze te splitsen. Voor een eerste audit is een geconsolideerd document doorgaans acceptabel.

Helpt Easy Cyber Protection met deze documenten?

Ja. Het platform slaat je beleid, standaarden en procedures op als wikipagina's gekoppeld aan specifieke CyFun-controles. Je kunt beleidsdrafts genereren vanuit sjablonen, bijhouden welke controles documentatie hebben en documenten exporteren voor audits.

Gerelateerde Artikelen

Hoe een Beveiligingsbeleid op te Stellen Risicobeoordeling Gids CyFun voor MSP's: het Belgische Cyberframework Uitgelegd NIS2 Implementatiestappen

Laatst bijgewerkt: april 2026

TARS