ISO/IEC 27002 is vernieuwd, en dat is relevant voor organisaties in Nederland en Europa die werken met ISO 27001/27002 of met afgeleide kaders zoals de BIO. In de versie van 2022 is security awareness nadrukkelijker en explicieter gemaakt. De norm stuurt sterker op aantoonbaarheid, op rolgericht leren en op herhaling. Dit artikel laat zien wat er is veranderd en hoe je je awarenessprogramma daarop inricht.
Wat is er veranderd in ISO/IEC 27002:2022?
De vernieuwing raakt vooral de positie en de formulering van awareness:
- Awareness staat explicieter binnen de zogenoemde mensgerichte maatregelen (people controls).
- De formuleringen zijn strakker: minder vrijblijvende taal, meer concrete verwachtingen.
- Aantoonbaarheid weegt zwaarder: je moet niet alleen iets dóen, maar ook kunnen laten zien dat het werkt.
Wat dit betekent voor je programma
In de praktijk betekent dit dat losse, eenmalige trainingen niet langer volstaan. Je moet kunnen aantonen dat awareness structureel is ingericht, passend bij de rollen en de risico's in je organisatie.
ISO/IEC 27002:2022 vraagt dus om een programma dat aan vier kenmerken voldoet:
- Rolgericht: verschillende doelgroepen krijgen aandacht voor de risico's die voor hén gelden.
- Herhaalbaar: een vast ritme, met aandacht bij indiensttreding en periodieke opfrissing.
- Meetbaar: deelname, voortgang en resultaten worden vastgelegd.
- Praktisch: herkenbare situaties en weinig jargon, zodat de boodschap landt.
Hoe je dit concreet aanpakt
Begin met een korte risico-inventarisatie per doelgroep, zodat je weet welke onderwerpen voor wie relevant zijn. Bouw daarop een programma met korte, terugkerende modules in plaats van één lange jaarlijkse sessie, en neem awareness op in het inwerkproces.
Leg vervolgens systematisch vast wie wat heeft gevolgd, welke onderwerpen je behandelt en hoe vaak je herhaalt. Vul dat aan met resultaten, zoals het meldpercentage bij phishingsimulaties. Die combinatie van registratie en resultaat is precies het bewijs dat een auditor wil zien.
Van eenmalig naar routine: herhaling telt
De grootste winst zit in herhaling. Awareness werkt zoals elke gewoonte: door voorspelbaarheid en herhaling. Denk aan maandelijkse thema's, korte modules, microleren en gerichte phishingsimulaties. Niet om te toetsen, maar om te leren en het meldgedrag te versterken.
Zo voldoe je niet alleen aan de norm, je verhoogt ook aantoonbaar de weerbaarheid van je organisatie. In Nederland sluit dit goed aan op de BIO; breder in Europa op de eisen uit NIS2. Eén goed ingericht programma bedient die kaders tegelijk.
Related articles
FAQ
Wat veranderde er aan awareness in ISO/IEC 27002:2022?
Awareness staat explicieter binnen de mensgerichte maatregelen, de formuleringen zijn concreter en aantoonbaarheid weegt zwaarder. Eenmalige trainingen volstaan niet meer; er wordt structureel, rolgericht leren verwacht.
Hoe verhoudt 27002 zich tot ISO 27001?
ISO 27002 levert de implementatierichtlijnen bij de maatregelen uit bijlage A van ISO 27001. Wie gecertificeerd is of wil worden, heeft baat bij een rolgericht en meetbaar awarenessprogramma volgens 27002:2022.
Hoe vaak moet awareness-training plaatsvinden?
De norm schrijft geen vaste frequentie voor, maar vraagt om een doorlopend proces. Korte, regelmatig terugkerende modules werken beter dan één jaarlijkse sessie. Neem awareness ook op in het inwerkproces.
Wat is de belangrijkste stap?
Herhaling in plaats van eenmaligheid. Richt een terugkerend, rolgericht programma in met meetbare deelname, in plaats van een jaarlijkse verplichte training.
Hoe sluit dit aan op de BIO en NIS2?
De BIO is gebaseerd op ISO 27001/27002, dus een 27002-conform awarenessprogramma dekt ook de BIO-eis. NIS2 vraagt eveneens om risicogericht, doorlopend en aantoonbaar leren. Eén goed programma bedient alle drie.