Digitale dreigingen worden complexer, wet- en regelgeving strenger en de afhankelijkheid van IT-ketens groter. Bestuurders in onderwijs, zorg en lokale overheid hebben daarom behoefte aan een gedeelde taal om prioriteiten te stellen, investeringen te onderbouwen en voortgang aantoonbaar te maken.
Het Cybersecurity Maturity Model (CMM) biedt precies dat: een routekaart van reactief naar voorspelbaar en geoptimaliseerd risicobeheer, die u naadloos kunt verbinden met gangbare kaders zoals NIST CSF 2.0, BIO2, NEN 7510 en SURFaudit.
Wat is het CMM en waarom werkt het?
Een maturity-model beschrijft niveaus van volwassenheid van processen en besturing. Het CMM vertaalt cybersecurity naar stapjes die logisch op elkaar volgen: van ad-hoc handelen naar gedefinieerde processen, naar beheerst en uiteindelijk geoptimaliseerd. Het sluit aan op NIST CSF 2.0, dat sinds 26 februari 2024 expliciet de besturingsfunctie “Govern” toevoegt naast Identify, Protect, Detect, Respond en Recover. Daardoor krijgt governance — rollen, risicobereidheid, beleid, meten en rapporteren — een heldere plek aan de bestuurstafel.
Aansluiting op normen en sectorreferenties: NIST CSF 2.0, BIO2, NEN 7510 en SURFaudit
Voor lokale overheden geldt de vernieuwde Baseline Informatiebeveiliging Overheid 2 (BIO2) als uniforme basisnorm. BIO2 is een doorontwikkeling van BIO 1.04 en is gepubliceerd in 2025 als geharmoniseerde basis voor overheidsorganisaties.
In de zorg is NEN 7510 het verplichte normenkader voor informatiebeveiliging rond patiëntgegevens en zorgprocessen, met een herziening van 16 december 2024 die beter aansluit op actuele wetgeving.
In het onderwijs biedt SURF met SURFaudit een sectorbrede benchmark en streefniveau; de sector mikt gemiddeld op maturiteitsniveau 3 op een schaal van vijf. Deze referenties maken volwassenheid toetsbaar en vergelijkbaar over organisaties heen.
De vijf CMM-niveaus vertaald naar onderwijs, zorg en lokale overheid
| CMM-niveau | Onderwijs (po/vo/mbo/hbo/wo) | Zorg (cure & care) | Lokale overheid (gemeenten, provincies, waterschappen) |
|---|---|---|---|
| 1. Ad-hoc | Incidenten worden reactief opgelost; zicht op assets en data is gefragmenteerd; afhankelijkheid van leveranciers en ketenpartners is groot en niet uniform vastgelegd. | Basismaatregelen worden niet consequent toegepast; back-ups en toegangsbeheer verschillen per afdeling; operationele risico’s kunnen zorgcontinuïteit raken. | Beveiliging verschilt per domein; afspraken, logging en rapportage zijn nauwelijks geborgd; aantoonbaarheid richting toezicht is beperkt. |
| 2. Reproduceerbaar | Eerste beleid en basisprocedures; MFA, patch-ritme en back-ups zijn ingericht; SURF-kaders zijn bekend maar nog niet volledig geborgd. | Start met ISMS conform NEN 7510; rol- en taakverdeling helder; herstelprocedures getest op kernsystemen en medische randapparatuur. | BIO-basismaatregelen zijn benoemd en herhaalbaar; inventarisatie van systemen en leveranciers start; centrale richtlijnen voor patchen en back-ups. |
| 3. Gedefinieerd | Procesmatig werken conform SURFaudit-baseline; centrale logging en identity-governance uniform; risicogestuurd plannen en rapporteren richting CvB/RvT. | NEN 7510-controls zijn uniform ingericht; structurele bewustwording; logging en monitoring dekken kritieke zorgprocessen en ketens. | BIO2-maatregelen geïmplementeerd; complete asset- en gegevensclassificatie; contract- en ketenafspraken zijn aantoonbaar geborgd. |
| 4. Beheerd | Continu monitoren van onderwijs-kritieke processen; periodieke scenario-oefeningen; KPI’s op directieniveau met lessons learned in de PDCA-cyclus. | Doorlopende meting van prestaties en hersteldoelen; OT/IoMT-risico’s structureel gemonitord; dreigingsinformatie vertaald naar use-cases. | Bestuurlijke sturing op KPI’s en risicobereidheid; 24/7 bewaking van vitale gemeentelijke processen; structurele keten-oefeningen. |
| 5. Geoptimaliseerd | Datagedreven sturing, sectorbrede kennisdeling; waar passend geautomatiseerde respons en continue verbetering. | Proactieve dreigingsjacht, analyse en continu leren; aantoonbare reductie van klinisch risico en faalkans in ketens. | Security-prestaties gekoppeld aan dienstverlening en beleidscyclus; adaptieve maatregelen en voorspellende modellen. |
De sectoraccenten in dit schema zijn afgestemd op de onderwijsbenchmark van SURF (SURFaudit), de zorgnorm NEN 7510 en de overheidsbaseline BIO2.
Governance en risicobereidheid
Volwassenheid versnelt wanneer bestuur en directie expliciet sturen op risicobereidheid, beleid, rolvastheid en meetbare doelen. NIST CSF 2.0 maakt dit concreet met de functie “Govern”, waardoor u investeringen en maatregelen kunt verbinden aan organisatiedoelen en wettelijke eisen, en de voortgang cyclisch kunt meten en verbeteren.
Wat “goed genoeg” betekent per domein
In het onderwijs betekent “goed genoeg” doorgaans dat processen minimaal gedefinieerd zijn en aantoonbaar werken rond SURFaudit-richtlijnen; sectorbreed wordt gestreefd naar niveau 3.
Zorgorganisaties tonen volwassenheid aan door NEN 7510-controls aantoonbaar te borgen in processen, leveranciersketens en logging rondom patiëntveiligheid.
Lokale overheden hanteren BIO2 als uniforme meetlat om maatregelen en governance over alle beleidsterreinen heen eenduidig te besturen en verantwoorden.
Van nulmeting naar roadmap: zo maakt u CMM tastbaar
Begin met een nulmeting en koppel bevindingen aan de CSF-functies en uw sectorspecifieke norm. Vertaal deze naar een kwartaal-roadmap met concrete resultaten: identiteit en toegang op orde, patch-proces ritmisch, back-ups getest, centrale logging met basis-use-cases en duidelijke bestuurlijke rapportages. Sluit aan op de Nederlandse implementatie van NIS2 via de Cyberbeveiligingswet en de tien zorgplicht-maatregelen die als ondergrens gelden; zo verbindt u maturity-groei direct aan wettelijke vereisten.
Resultaat: aantoonbare weerbaarheid én betere dienstverlening
Een volwassen CMM-aanpak levert meer op dan “compliance”. Incidenten worden sneller gedetecteerd en afgehandeld, de beschikbaarheid van onderwijs- en zorgprocessen stijgt en rapportages aan toezichthouders worden voorspelbaar. Door te spiegelen aan CSF 2.0 en te toetsen aan BIO2, NEN 7510 en SURFaudit ontstaat een robuuste lijn tussen strategie, operatie en verantwoording.
Verder lezen?
Wilt u de kern van de niveaus, voorbeelden en terminologie praktisch naast elkaar zien, lees dan Het Cybersecurity Maturity Model (CMM). Waar hebben we het over? en de conceptuele koppeling in CISSP & CMM: een geïntegreerde benadering van Cybersecurity.
