Onafhankelijke rapportage: waarom je beheerder niet zijn eigen werk moet beoordelen
Gepubliceerd op 3 juli 2026
Veel organisaties krijgen hun securityrapportage via hun IT-dienstverlener: dezelfde partij die de servers inricht, de firewall beheert en de updates draait. Dat voelt logisch en efficiënt. Maar stel de vraag die een auditor stelt: wie beoordeelt hier eigenlijk wiens werk?
Dit artikel gaat over die vraag. Waarom rapportage via je beheerder je bewijs verzwakt, waarom dat onder NIS2 dubbel telt, en wat onafhankelijke rapportage in de praktijk betekent.
In het kort
- Een beheerder die rapporteert over zijn eigen omgeving, beoordeelt zijn eigen werk. Elke bevinding is impliciet kritiek op zijn inrichting; de prikkel om te dempen is structureel, ook bij integere partijen.
- Onder NIS2 telt dit dubbel: je IT-dienstverlener is zelf een leverancier in de keten die je moet beheersen.
- Onafhankelijke rapportage betekent: rechtstreeks aan de opdrachtgever, zonder dat de beheerde partij ertussen zit.
- Vraag het jezelf af: krijgt je auditor nu bewijs, of een gefilterde samenvatting?
De slager en zijn eigen vlees
Een IT-dienstverlener die scanresultaten presenteert over infrastructuur die hij zelf heeft ingericht, zit in een onmogelijke positie. Elke kwetsbaarheid die het rapport haalt, roept de vraag op waarom die er staat: had de dienstverlener dat niet moeten voorkomen? Elke bevinding is dus impliciet kritiek op zijn eigen werk.
Dat betekent niet dat dienstverleners liegen. Het betekent dat de prikkel om een bevinding af te zwakken, te herclassificeren of "eerst even zelf op te lossen voordat de klant het ziet" structureel aanwezig is. Precies daarom bestaat functiescheiding in elke volwassen controleomgeving: de accountant controleert niet zijn eigen boekhouding, en de keurmeester werkt niet bij de slager.
Waarom dit onder NIS2 dubbel telt
De NIS2-ketenzorgplicht verplicht je om risico's bij je leveranciers aantoonbaar te beheersen. Je IT-dienstverlener is daarbij niet alleen de partij die je daarbij kan helpen: hij is zelf een van die leveranciers, en vaak de meest kritieke. Wat je grote klant daarover kan vragen, lees je in wat vraagt je grote klant onder de NIS2-ketenzorgplicht.
Ketenzorgplicht aantonen met een rapport van de partij waarover dat rapport (mede) gaat, is bewijs dat zichzelf ondergraaft. Een kritische auditor of inkoper ziet dat direct. De vraag die je jezelf kunt stellen: krijg ik mijn securityrapportage nu via de partij die mijn omgeving beheert, en zou mijn auditor dat voldoende vinden?
Wat onafhankelijke rapportage betekent
Onafhankelijk rapporteren is geen kwestie van een ander logo op het rapport. Het gaat om drie dingen:
- Directe levering. Het rapport gaat van de meetende partij rechtstreeks naar de opdrachtgever. De beheerder kan meelezen als de opdrachtgever dat wil, maar zit nooit als filter in de lijn.
- Herleidbare bevindingen. De opdrachtgever kan per bevinding nagaan hoe en wanneer die is vastgesteld, zonder op de interpretatie van een belanghebbende te leunen. Hoe dat werkt, staat in forensisch onderbouwde evidence.
- Verifieerbaarheid. Het rapport zelf is getekend en tijdgestempeld, zodat een derde kan vaststellen dat het echt en onaangepast is. Zie zo controleer je of een securityrapport echt is.
Je IT-dienstverlener blijft daarbij gewoon waardevol: hij lost de bevindingen op. De rollen zijn alleen gescheiden. Meten en herstellen zijn twee verschillende dingen, en juist die scheiding maakt het herstel geloofwaardig.
Hoe Exposentry dit zelf borgt
Onafhankelijkheid claimen is makkelijk; hem organiseren is het echte werk. Exposentry is een dienst van Hasecon, en Hasecon levert ook implementatie-, onderhouds- en ontwikkeldiensten rond OpenKAT, zoals on-premise installaties en maatwerkmodules. Daarom is de functiescheiding vastgelegd, zwart op wit:
- Rapporten gaan altijd rechtstreeks naar de opdrachtgever, ook als een andere partij de klant heeft aangebracht.
- Doet Hasecon voor dezelfde klant of in dezelfde omgeving OpenKAT-werk, dan staat die samenloop expliciet in het rapport.
- Hasecon brengt geen securityrapportages over gescande omgevingen uit buiten Exposentry om: er is maar een rapportagekanaal.
- Bij actieve ketenverificaties voert Hasecon in de geverifieerde omgeving geen herstel- of beheerwerk uit.
Dit beleid staat in onze algemene voorwaarden, zodat een auditor er niet naar hoeft te raden.
De toets voor je eigen situatie
Pak je laatste securityrapport erbij en stel drie vragen. Wie heeft het gemaakt? Beheert die partij (een deel van) de omgeving waarover het gaat? En kwam het rapport rechtstreeks bij jou, of via die partij? Twee keer "ja" op de laatste vragen betekent niet dat het rapport onbruikbaar is. Het betekent wel dat het als bewijs richting auditor, klant of verzekeraar zwakker staat dan je denkt.
Geschreven door Edward Hasekamp, oprichter van Exposentry en core-maintainer van het open-source OpenKAT-project. Zie het project op GitHub en het profiel op github.com/hasecon. Exposentry levert NL-soevereine, forensisch onderbouwde vulnerability monitoring op basis van OpenKAT. Meer artikelen in de Kennisbank.