ShieldPost · NIS2 managementrapportage
Voorbeeld Organisatie B.V.
Managementsamenvatting
Het awareness-programma loopt structureel. Trainingsdekking en meldgedrag verbeteren; phishing-klikratio daalt. Enkele dimensies (social engineering, wachtwoorden) vragen gerichte opvolging. Bestuurstraining (art. 20) is deels voltooid; organisatie-GAP blijft stabiel op een hoog niveau.
Dekking en effectiviteit (art. 21)
- Gem. awareness-score: 78% · gem. trainingsvoortgang: 81% · gem. quiz: 86%
- Verhoogd risico: 6 deelnemers · Bestuur (art. 20): 4/5 basis voltooid · Opfriscursus 2026: 2/4
- Phishing: 3 campagnes · klikratio 6,2% · meldratio 41% · 1 repeat-clicker
Trend t.o.v. vorige managementrapportage
Vergelijking met rapport van 31 mrt 2026. Positieve richting = verbetering.
| Indicator | Vorige | Nu | Delta | Richting |
|---|---|---|---|---|
| Awareness-dekking | 88% | 94% | +6 | Verbeterd |
| Gem. trainingsvoortgang | 74% | 81% | +7 | Verbeterd |
| Achterstallige modules | 11 | 4 | −7 | Verbeterd |
| Phishing-klikratio | 9,1% | 6,2% | −2,9 | Verbeterd |
| Verhoogd risico (N) | 5 | 6 | +1 | Verslechterd |
NIS2-dekkingsmatrix (trainingsprogramma)
| Artikel | Eis (samenvatting) | Status | Bewijs / aanvulling |
|---|---|---|---|
| Art. 21(2)(g) | Cyberhygiëne- en cybersecuritytraining personeel | Gedekt | 50+ modules, actualiteit, baseline awareness-check |
| ISO 27001:A.6.3 | Bewustwording, opleiding en training | Gedekt | Programma met quizvalidatie per module |
| Art. 21(2)(f) | Beoordeling effectiviteit maatregelen | Gedekt | Quizscores, dekking, phishing-metrics, trend in dit rapport |
| Art. 20 | Kennis en toezicht bestuur | Gedeeltelijk | 4/5 bestuurders basis voltooid — 1 openstaand |
| Art. 21(2)(g) | Praktische phishing-weerbaarheid | Gedekt | 3 simulatiecampagnes + coaching bij klik |
| Art. 21(2)(g) | Rolgepaste training | Gedeeltelijk | 62% met rolprofiel; finance/HR nog deels general |
| Art. 21(2)(f) | Periodieke herhaling | Gedeeltelijk | Jaarlijkse opfriscursus actief voor 38% van basis-afgeronden |
Organisatie-GAP (beleidsmatige volwassenheid)
3 metingen · vorige 79% · delta +5 · 12 jun 2026
- Beleid & governance88%
- Training & awareness90%
- Phishing & simulaties82%
- Cultuur & melden76%
- Technische maatregelen85%
- Incident response80%
Top hiaten: cultuur/melden, formele opvolging phishing-resultaten, leveranciers-awareness.
Phishing-campagnes
| Campagne | Status | Datum | Verstuurd | Klik% | Meld% |
|---|---|---|---|---|---|
| Q2 Microsoft 365 lookalike | Gesloten | 8 apr 2026 | 82 | 8,5% | 36% |
| HR payroll-update | Gesloten | 12 mei 2026 | 79 | 5,1% | 44% |
| CEO-fraude factuur | Actief | 18 jun 2026 | 74 | 4,1% | 48% |
Uitsplitsing per groep
| Groep | N | Dekking | Score | Voortgang | Klaar | Risico |
|---|---|---|---|---|---|---|
| Finance | 18 | 100% | 81% | 88% | 14 | 1 |
| Sales & marketing | 24 | 92% | 74% | 76% | 15 | 3 |
| IT | 11 | 100% | 86% | 91% | 10 | 0 |
| Bestuur | 5 | — | — | 80% | 4 | 0 |
| Zonder groep | 29 | 90% | 76% | 78% | 19 | 2 |
Scores per dimensie (baseline awareness)
- Phishing & e-mail82%
- Wachtwoorden & accounts71%
- Apparaten & data79%
- Social engineering64%
- Fysieke beveiliging76%
- Melden & incidenten81%
- AI & digitale dreigingen73%
Overzicht deelnemers (uittreksel)
In het echte rapport staan alle deelnemers + module-detail. Hieronder een representatief uittreksel.
| Naam | Check | Voortgang | Status |
|---|---|---|---|
| S. Bakker finance@… | 88% | 12/14 (86%) | Bezig |
| M. Jansen sales@… | 61% | 5/12 (42%) | Achterstallig (2) |
| R. de Wit it@… | 91% | 14/14 (100%) | Afgerond |
| Dir. Visser board | — | 3/3 (100%) | Bestuur · basis klaar |
Aanbevolen managementacties (art. 21 lid 4)
- Hoog 4 openstaande modules >14 dagen — opvolgen via leidinggevenden.
- Hoog Bestuur: 1/5 nog geen basisprogramma (art. 20) — afronden dit kwartaal.
- Midden Zwakke dimensies social engineering (64%) en wachtwoorden (71%) — gerichte modules + teambriefing.
- Midden 1 repeat-clicker phishing — coaching afronden en Q3-campagne evalueren (doel klik <5%).
- Laag Rolprofielen toewijzen voor rest van sales/HR (nu deels general).
Managementverantwoordelijkheid (art. 20)
Dit rapport ondersteunt het bestuur bij het toezicht op cybersecurity awareness en cyberhygiëne, conform NIS2 artikel 20 en 21. Het management is verantwoordelijk voor het beoordelen van de gepresenteerde cijfers, het vaststellen van aanvullende maatregelen en het borgen van tijdige opvolging van openstaande acties.