Wat zijn de CIS Controls?
De CIS Controls (voluit de CIS Critical Security Controls) vormen een geprioriteerde set van beveiligingsmaatregelen die organisaties helpt zich te wapenen tegen de meest voorkomende en impactvolle cyberaanvallen. Ze worden ontwikkeld en onderhouden door het Center for Internet Security (CIS), een non-profitorganisatie die wereldwijd erkend wordt om haar onafhankelijke, op de praktijk gebaseerde securityrichtlijnen.
De kracht van de CIS Controls zit in het woord "geprioriteerd". In plaats van een overweldigende lijst van honderden mogelijke maatregelen, vertellen de Controls je in welke volgorde je het beste kunt beginnen. Ze zijn gebaseerd op een analyse van echte aanvalspatronen en -data: de maatregelen die de grootste klasse aanvallen afweren, staan bovenaan. Daardoor zijn ze bij uitstek geschikt voor organisaties die hun beperkte tijd en budget zo effectief mogelijk willen inzetten.
Belangrijk om meteen scherp te hebben: net als het NIST Cybersecurity Framework zijn de CIS Controls geen certificeerbare norm. Je kunt je er niet tegen laten certificeren zoals bij ISO 27001. Ze zijn vrijwillige, gratis beschikbare guidance — een hulpmiddel dat je naar eigen inzicht kunt overnemen en combineren met andere kaders.
Van SANS Top 20 naar CIS Controls v8.1
De CIS Controls hebben een rijke geschiedenis. Velen kennen ze nog onder hun oude namen: de SANS Top 20 of de SANS Critical Security Controls. De lijst ontstond rond 2008 als een gezamenlijk initiatief van overheids- en securityexperts en werd jarenlang beheerd door het SANS Institute. In 2015 ging het beheer over naar het Center for Internet Security, waarna de naam veranderde in CIS Controls.
De grootste sprong kwam met versie 8 in mei 2021. Daarin werd het aantal controls teruggebracht van 20 naar 18, en werd de indeling niet langer gebaseerd op het soort apparaat maar op de activiteit die je wilt beheersen. Dat sloot beter aan op een wereld van cloud, mobiele apparaten en thuiswerken, waarin de grens van het bedrijfsnetwerk grotendeels is vervaagd.
De meest recente release, CIS Controls v8.1, verscheen in juni 2024. Het is geen complete herziening maar een verfijning: de 18 controls en 153 safeguards bleven inhoudelijk grotendeels gelijk, maar de versie introduceerde een nieuwe Governance-context, geactualiseerde asset classes, een uitgebreidere woordenlijst en — cruciaal — een herziene koppeling met het inmiddels vernieuwde NIST Cybersecurity Framework 2.0.
De 18 CIS Controls op een rij
Het hart van het framework zijn de 18 controls. Elke control beschrijft een samenhangend aandachtsgebied en is verder uitgewerkt in concrete safeguards. Samen lopen ze logisch op van "weet wat je hebt" naar "test of het werkt":
| # | CIS Control | Waar het over gaat |
|---|---|---|
| 1 | Inventory and Control of Enterprise Assets | Beheer een actueel overzicht van alle hardware-assets, zodat je weet wat er op je netwerk staat. |
| 2 | Inventory and Control of Software Assets | Houd bij welke software is toegestaan en geïnstalleerd, en voorkom ongeautoriseerde toepassingen. |
| 3 | Data Protection | Identificeer, classificeer en bescherm gevoelige data gedurende de hele levenscyclus. |
| 4 | Secure Configuration of Enterprise Assets and Software | Richt apparaten en software veilig in en houd ze in een gehardende basisstaat. |
| 5 | Account Management | Beheer de levenscyclus van gebruikers-, beheerders- en serviceaccounts. |
| 6 | Access Control Management | Ken toegang toe op basis van least privilege en dwing sterke authenticatie af. |
| 7 | Continuous Vulnerability Management | Scan continu op kwetsbaarheden en verhelp ze tijdig via gestructureerd patchbeheer. |
| 8 | Audit Log Management | Verzamel, bewaar en analyseer logs om incidenten te kunnen detecteren en onderzoeken. |
| 9 | Email and Web Browser Protections | Bescherm de meest gebruikte aanvalskanalen: e-mail en de webbrowser. |
| 10 | Malware Defenses | Voorkom en detecteer de installatie en verspreiding van schadelijke software. |
| 11 | Data Recovery | Maak betrouwbare back-ups en test of je systemen daadwerkelijk kunt herstellen. |
| 12 | Network Infrastructure Management | Beheer netwerkapparatuur veilig en houd configuraties actueel. |
| 13 | Network Monitoring and Defense | Monitor het netwerkverkeer en verdedig actief tegen dreigingen. |
| 14 | Security Awareness and Skills Training | Vergroot het beveiligingsbewustzijn en de vaardigheden van medewerkers. |
| 15 | Service Provider Management | Beoordeel en bewaak de beveiliging van leveranciers en dienstverleners. |
| 16 | Application Software Security | Borg de veiligheid van zelfontwikkelde en ingekochte software gedurende de hele levenscyclus. |
| 17 | Incident Response Management | Bereid je voor op incidenten met een plan, rollen en draaiboeken. |
| 18 | Penetration Testing | Test je verdediging realistisch door aanvallen na te bootsen en zwakke plekken bloot te leggen. |
Wie deze lijst naast het NIST Cybersecurity Framework of de controls van ISO 27002 legt, herkent veel terug. Dat is geen toeval: de drie kaders beschrijven grotendeels dezelfde beveiligingsdoelen, maar met een ander vertrekpunt. De CIS Controls onderscheiden zich vooral door hun nadrukkelijke prioritering en hun concrete, meetbare uitwerking.
De drie Implementation Groups (IG1, IG2 en IG3)
Een veelgemaakte fout is om alle 153 safeguards in één keer te willen invoeren. De CIS Controls zijn daar slim op ingericht via de Implementation Groups (IG's): drie oplopende niveaus die je helpen bepalen welke safeguards voor jóuw organisatie prioriteit hebben, op basis van omvang, beschikbare middelen en risicoprofiel.
| Groep | Voor wie | Aantal safeguards |
|---|---|---|
| IG1 | Kleinere organisaties met beperkte IT- en securitymiddelen. Dit is de basis: "essentiële cyberhygiëne" die iedereen op orde zou moeten hebben. | 56 |
| IG2 | Organisaties die meerdere afdelingen, gevoeligere data en complexere IT beheren en vaak over enige specialistische securitycapaciteit beschikken. | 130 (IG1 + 74) |
| IG3 | Volwassen organisaties met hoge risico's, zoals partijen in kritieke infrastructuur of sterk gereguleerde sectoren, met gespecialiseerde securityteams. | 153 (alle safeguards) |
De Implementation Groups zijn cumulatief: IG2 omvat alle safeguards van IG1, en IG3 omvat alles van IG1 en IG2. Dat maakt het traject overzichtelijk — je begint bij IG1 en groeit naarmate je organisatie en risicoprofiel dat vragen. Vooral de 56 safeguards van IG1 krijgen veel aandacht: het CIS positioneert ze als de minimale norm voor essentiële cyberhygiëne die zelfs de kleinste organisatie zou moeten realiseren.
Op zoek naar een baan in IT-security en compliance?
Professionals die frameworks als de CIS Controls, NIST CSF en ISO 27001 kunnen vertalen naar een werkbare, geprioriteerde aanpak zijn schaars en zeer gewild. Bekijk de nieuwste vacatures voor security-, audit- en compliancespecialisten in Nederland.
Bekijk Security VacaturesSafeguards: concreet en meetbaar
Onder elke control hangt een aantal safeguards (in versie 7 nog "sub-controls" genoemd). In totaal telt v8.1 er 153. Het is juist op dit niveau dat de CIS Controls hun reputatie van praktische bruikbaarheid waarmaken: een safeguard is een enkelvoudige, concrete actie die je kunt toewijzen, plannen en aantoonbaar afvinken.
Elke safeguard is voorzien van een aantal kenmerken die het werk meetbaar maken, waaronder:
- de asset class waarop de maatregel betrekking heeft (zoals apparaten, software, data, gebruikers of netwerk);
- de bijbehorende securityfunctie, sinds v8.1 afgestemd op de zes functies van NIST CSF 2.0;
- de Implementation Group (IG1, IG2 of IG3) waartoe de safeguard behoort.
Doordat elke safeguard zo eenduidig is geformuleerd, lenen de CIS Controls zich uitstekend voor een nulmeting en een verbeterplan. Een IT security officer kan per safeguard de status bepalen (aanwezig, deels of afwezig), prioriteren op basis van de Implementation Group en zo een onderbouwd roadmap met budgetaanvraag opstellen — precies het soort tastbare onderbouwing waar het bestuur om vraagt.
Wat is nieuw in v8.1?
De update naar v8.1 is bewust evolutionair gehouden, zodat organisaties die al met v8 werken geen grote ombouw hoeven te doen. De belangrijkste vernieuwingen zijn:
- Aansluiting op NIST CSF 2.0. De mappings tussen de CIS safeguards en de securityfuncties zijn opnieuw afgestemd op de actuele versie van het NIST Cybersecurity Framework, inclusief de nieuwe Govern-functie.
- Aandacht voor governance. In lijn met de nieuwe Govern-functie is er meer expliciete aandacht voor het besturen, vastleggen en bewaken van het securityprogramma — een trend die ook zichtbaar is in NIS2 en de DORA-verordening.
- Geactualiseerde asset classes. De indeling van assets is verfijnd en voorzien van nieuwe koppelingen naar de safeguards, zodat duidelijker is op welk type asset een maatregel ziet.
- Een uitgebreidere woordenlijst. Nieuwe en herziene definities maken de safeguards eenduidiger te interpreteren, wat vooral helpt bij audits en assessments.
CIS Controls versus CIS Benchmarks
Een veelvoorkomend misverstand is de verwarring tussen de CIS Controls en de CIS Benchmarks. Beide komen van het Center for Internet Security, maar ze opereren op een heel ander niveau.
- De CIS Controls beschrijven op organisatieniveau wát je moet regelen om cyberrisico's te beheersen — de 18 controls en 153 safeguards uit deze gids.
- De CIS Benchmarks zijn gedetailleerde, technische configuratierichtlijnen per specifiek product, zoals Windows Server, Ubuntu Linux, Microsoft 365, AWS of een database. Ze vertellen je tot op instellingsniveau hoe je een systeem veilig hardent.
De twee vullen elkaar perfect aan. Control 4 (Secure Configuration) vraagt bijvoorbeeld om een veilige basisconfiguratie; de bijbehorende CIS Benchmark voor jouw besturingssysteem geeft vervolgens de concrete instellingen om dat te realiseren. De Controls bepalen de richting, de Benchmarks leveren de technische uitvoering.
CIS Controls, NIST CSF en ISO 27001: hoe verhouden ze zich?
De meest gestelde vraag is hoe de CIS Controls zich verhouden tot het NIST Cybersecurity Framework en ISO 27001. Het zijn geen concurrenten, maar lagen die elkaar versterken:
| CIS Controls | NIST CSF | ISO/IEC 27001 | |
|---|---|---|---|
| Type | Geprioriteerde lijst maatregelen | Vrijwillig raamwerk (guidance) | Certificeerbare eisennorm |
| Beantwoordt vooral | Waar begin ik en wat doe ik concreet? | Hoe structureer ik mijn risicoaanpak? | Hoe borg ik dit in een managementsysteem? |
| Detailniveau | Hoog (concrete safeguards) | Middel (functies en categorieën) | Middel (eisen en Annex A-controls) |
| Certificeerbaar? | Nee | Nee | Ja |
In de praktijk gebruiken organisaties ze vaak gelaagd: het NIST CSF als overkoepelende kapstok en gemeenschappelijke taal richting het bestuur, de CIS Controls als concrete, geprioriteerde invulling van de maatregelen, en ISO 27001 om dat alles aantoonbaar te certificeren richting klanten en toezichthouders. Dankzij de officiële mappings van CIS naar NIST CSF en ISO 27002 verloopt die vertaalslag soepel. Wie aanvullend zekerheid aan klanten wil bieden, vertaalt dezelfde maatregelen vaak door naar een SOC 2-rapportage, en bij het inrichten van een zero trust-architectuur dienen de CIS Controls geregeld als concrete checklist.
Wat de CIS Controls betekenen voor jouw carrière
Hoewel de CIS Controls van oorsprong Amerikaans zijn, is kennis ervan op de Nederlandse arbeidsmarkt zeer waardevol. Juist omdat de Controls zo concreet en geprioriteerd zijn, vormen ze in veel organisaties de praktische ruggengraat onder een breder securityprogramma. Wie de 18 controls kan vertalen naar een geprioriteerd verbetertraject — afgestemd op de juiste Implementation Group — is gewild in uiteenlopende functies:
- CISO en IT security officer: gebruiken de Controls om prioriteiten, budget en roadmap richting het bestuur te onderbouwen;
- IT security auditor en IT-compliance auditor: toetsen per safeguard of maatregelen aanwezig en effectief zijn;
- GRC-manager en risk-specialist: verbinden de Controls met de risicobeoordeling en het bredere governancekader;
- Security engineer en consultant: implementeren de safeguards en de bijbehorende CIS Benchmarks in de praktijk.
Het sterkste profiel combineert frameworkkennis met een erkende certificering. Trajecten als CISSP en CISM behandelen de governance- en beheersmaatregelen die ook in de CIS Controls centraal staan, terwijl CRISC goed aansluit op de risico- en prioriteringsgedachte. De onderliggende trend is onmiskenbaar: organisaties willen geen abstracte plannen maar aantoonbaar verlaagd risico, en de vraag naar specialisten die maatregelen gestructureerd en geprioriteerd kunnen invoeren blijft onverminderd hoog. Bekijk de actuele security- en compliancevacatures om te zien welke werkgevers zoeken, of verken het bredere aanbod aan IT-compliancevacatures in Nederland.