CIS Controls: een praktisch beveiligingsraamwerk voor IT-teams en MSP’s

April 27, 2026
George Rouse
GOS, Kader / Normen, Naleving van regelgeving

Volgens het Kaseya State of the MSP-rapport van 2026 meldde 71% van de MSP’s een omzetgroei op jaarbasis op het gebied van cyberbeveiliging, maar noemt bijna de helft de complexiteit van beveiligingsproducten als de grootste belemmering voor groei.

Wanneer organisaties zich afvragen: „Waar moeten we beginnen met cyberbeveiliging?“, is het antwoord zelden eenduidig. Er zijn tientallen raamwerken, honderden richtlijnen en een overweldigend aantal beveiligingsmaatregelen waarmee rekening moet worden gehouden. De CIS Controls doorbreken die complexiteit met een bewust praktisch antwoord: hier zijn de 18 belangrijkste beveiligingsmaatregelen, gerangschikt op prioriteit, met specifieke implementatierichtlijnen voor organisaties van verschillende omvang.

Het is juist die prioritering die de CIS Controls zo onderscheidend maakt. In plaats van een uitgebreide lijst van alles wat een organisatie uiteindelijk zou moeten doen, richten de Controls zich op de fundamentele maatregelen die de meest voorkomende aanvalsvectoren aanpakken en de grootste risicoreductie per inspanning opleveren.

CIS-controles implementeren en bijhouden met Compliance Manager GRC

Compliance Manager GRC speciaal ontwikkelde sjablonen voor alle drie de CIS v8.1-implementatiegroepen, waarmee de voltooiing van beveiligingsmaatregelen kan worden bijgehouden, hiaten kunnen worden geïdentificeerd en automatisch auditklare bewijsrapporten kunnen worden gegenereerd.

Ontdek Compliance Manager GRC

Wat zijn de CIS-controles?

De CIS Controls vormen een op prioriteit gerangschikte reeks best practices op het gebied van cyberbeveiliging, die zijn ontwikkeld en worden bijgehouden door het Center for Internet Security, een non-profitorganisatie. Oorspronkelijk gepubliceerd als de „SANS Top 20“ en later overgenomen en verder ontwikkeld door CIS, geven de Controls een consensusweergave weer van de meest effectieve verdedigingsmaatregelen tegen de meest voorkomende aanvallen.

Het raamwerk wordt veelvuldig aangehaald door regelgevende instanties en in nalevingsnormen. NIST, HIPAA, PCI DSS en talrijke cyberbeveiligingsvoorschriften op staatsniveau verwijzen naar de CIS Controls of sluiten daarop aan. Voor organisaties die aan meerdere nalevingsvereisten moeten voldoen, biedt de implementatie van de CIS Controls vaak een aanzienlijke dekking voor meerdere raamwerken tegelijk.

De Controls zijn gratis te gebruiken en voor iedereen toegankelijk, met bijbehorende documentatie zoals implementatierichtlijnen, koppelingen naar andere frameworks en benchmarks voor specifieke technologieën. CIS Benchmarks bieden richtlijnen voor het beveiligen van besturingssystemen, applicaties en clouddiensten.

CIS Controls v8.1: het huidige raamwerk

CIS Controls v8.1 is de huidige versie van het raamwerk. Versie 8 werd in 2021 uitgebracht als de belangrijkste ontwikkeling in jaren, en in versie 8.1 zijn de details van de beveiligingsmaatregelen verfijnd en bijgewerkt. Belangrijkste wijzigingen ten opzichte van versie 7:

Focus op de cloud en mobiele apparaten. v8 is opnieuw ontworpen om recht te doen aan het feit dat IT-omgevingen tegenwoordig niet langer beperkt blijven tot de traditionele bedrijfsgrenzen, maar zich uitstrekken over on-premises infrastructuur, clouddiensten, mobiele apparaten en werken op afstand.

Het aantal controles is teruggebracht van 20 naar 18. Diverse overlappende controles zijn samengevoegd en het raamwerk is opnieuw ingedeeld rond drie implementatiegroepen (IG1, IG2 en IG3), waardoor organisaties het raamwerk kunnen afstemmen op hun omvang en risicoprofiel.

Het Safeguards-model. In versie 8 werd de term „Safeguards“ geïntroduceerd als de gedetailleerde maatregelen binnen elke controle, ter vervanging van de eerdere terminologie „Sub-Controls“. CIS Controls v8.1 bevat 153 Safeguards, verdeeld over de 18 controles.

Implementatiegroepen: de controles afstemmen op uw organisatie

Een van de meest praktische functies van CIS Controls is het model met implementatiegroepen, waarmee organisaties het raamwerk kunnen afstemmen op hun omvang, middelen en risicoprofiel, in plaats van de volledige lijst van 153 beveiligingsmaatregelen als één geheel te beschouwen.

IG1, Essentiële cyberhygiëne (56 beveiligingsmaatregelen): Ontworpen voor kleine organisaties met beperkte IT- en cyberbeveiligingscapaciteit. IG1 vormt de basisnorm die elke organisatie, ongeacht haar omvang, zou moeten halen; het betreft maatregelen die gericht zijn op de meest voorkomende, relatief eenvoudige aanvallen waarmee de overgrote meerderheid van de organisaties te maken krijgt. Zelfs als een organisatie verder niets doet, leidt het halen van IG1 al tot een aanzienlijke verbetering van haar beveiligingsniveau.

IG2 (130 beveiligingsmaatregelen, inclusief alle maatregelen van IG1): Geschikt voor organisaties die gevoelige gegevens beheren en beschikken over enig gespecialiseerd IT- en beveiligingspersoneel. IG2 voegt 74 extra beveiligingsmaatregelen toe voor geavanceerdere bedreigingen, nalevingsvereisten en complexere omgevingen. Voor sommige beveiligingsmaatregelen op dit niveau zijn technologie van enterprise-kwaliteit en gespecialiseerde expertise vereist.

IG3 (alle 153 beveiligingsmaatregelen, inclusief IG1 en IG2): Geschikt voor grote organisaties of organisaties met ervaren beveiligingsteams die hoogwaardige bedrijfsmiddelen of kritieke infrastructuur beheren. IG3 voegt 23 beveiligingsmaatregelen toe die gericht zijn op geavanceerde bedreigingen en vereist gespecialiseerde beveiligingsexpertise om volledig te kunnen worden geïmplementeerd.

Voor de meeste kleine en middelgrote ondernemingen (KMO’s) en de klanten van MSP’s zijn IG1 en IG2 de relevante streefniveaus. Volledige naleving van IG1 biedt bescherming tegen de overgrote meerderheid van de daadwerkelijke aanvalsvectoren waarmee KMO’s te maken hebben.

Compliance Manager GRC bevat aparte sjablonen voor elke implementatiegroep, waarbij automatisch de specifieke beveiligingsmaatregelen worden geladen die vereist zijn voor het geselecteerde niveau.

De 18 CIS-controles

Maatregel 1: Inventarisatie en beheer van bedrijfsmiddelen. Zorg dat u elk apparaat in de omgeving kent. U kunt niet beschermen wat u niet kent.

Maatregel 2: Inventarisatie en beheer van software. Houd alle software bij en sta alleen het gebruik van geautoriseerde software toe. Ongeautoriseerde software vormt een belangrijk toegangspunt voor malware.

Maatregel 3: Gegevensbescherming. Ontwikkel processen en technische maatregelen voor het identificeren, classificeren, beveiligen, bewaren en vernietigen van gegevens. Dit omvat onder meer versleuteling en maatregelen ter voorkoming van gegevensverlies.

Control 4: Veilige configuratie van bedrijfsmiddelen en software. Zorg voor veilige configuraties voor alle hardware en software en houd deze up-to-date. Standaardconfiguraties zijn vaak onveilig.

Controle 5: Accountbeheer. Gebruik processen en hulpmiddelen om inloggegevens toe te wijzen en te beheren voor alle accounts, waaronder beheerders-, service- en applicatieaccounts, waarbij de principes van minimale rechten worden gevolgd.

Controle 6: Beheer van toegangsrechten. Creëer en beheer toegangsgegevens op basis van het ‘need-to-know’- en ‘need-to-use’-principe. Omvat het afdwingen van meervoudige authenticatie (MFA), het beheer van toegangsrechten en toegangsbeoordelingen.

Maatregel 7: Continu beheer van kwetsbaarheden. Verzamel, beoordeel en reageer voortdurend op nieuwe informatie over bedreigingen en kwetsbaarheden om deze te identificeren, te verhelpen en de kansen voor aanvallers tot een minimum te beperken.

Controle 8: Beheer van auditlogboeken. Verzamel, meld, controleer en bewaar auditlogboeken ter ondersteuning van de opsporing van incidenten en forensische analyses na incidenten.

Maatregel 9: Beveiliging van e-mail en webbrowsers. Verbeter de beveiliging tegen bedreigingen die via e-mail en webbrowsers worden verspreid, de twee meest voorkomende manieren waarop kwaadwillenden toegang krijgen tot systemen.

Maatregel 10: Bescherming tegen malware. Gebruik geautomatiseerde tools om de installatie en uitvoering van schadelijke code op het eindpunt te voorkomen of te beperken.

Controle 11: Gegevensherstel. Stel procedures voor gegevensherstel vast en handhaaf deze, zodat de betreffende gegevens binnen de vastgestelde RTO- en RPO-doelstellingen kunnen worden hersteld naar de toestand van vóór het incident.

Controle 12: Beheer van de netwerkinfrastructuur. Zet een netwerkinfrastructuur op, implementeer deze en beheer deze om te voorkomen dat aanvallers misbruik maken van kwetsbare netwerkdiensten en -configuraties.

Maatregel 13: Netwerkbewaking en -beveiliging. Houd het netwerk in de gaten op afwijkende of kwaadwillige activiteiten en implementeer mechanismen om deze activiteiten op te sporen en erop te reageren.

Maatregel 14: Training in beveiligingsbewustzijn en -vaardigheden. Zet een programma voor beveiligingsbewustzijn op en onderhoud dit, waarbij de menselijke risicofactor wordt aangepakt door middel van trainingen en gesimuleerde phishing-aanvallen.

Maatregel 15: Beheer van dienstverleners. Ontwikkel een procedure voor het beoordelen en beheren van dienstverleners (waaronder MSP’s) op basis van het risico dat zij vormen voor de gegevens en systemen van de organisatie.

Controle 16: Beveiliging van applicatiesoftware. Beheer de beveiligingslevenscyclus van intern ontwikkelde, gehoste of aangeschafte software om beveiligingskwetsbaarheden te voorkomen, op te sporen en te verhelpen.

Maatregel 17: Beheer van incidentrespons. Zet een programma op voor het ontwikkelen en onderhouden van incidentresponscapaciteit, inclusief vastgestelde draaiboeken en geteste procedures.

Maatregel 18: Penetratietesten. Test de effectiviteit van de beveiliging door middel van gecontroleerde, gesimuleerde aanvallen om misbruikbare kwetsbaarheden op te sporen voordat aanvallers dat doen.

CIS-controles en andere kaders

De CIS-controles staan niet op zichzelf. Ze sluiten naadloos aan bij andere kaders waaraan organisaties moeten voldoen, en dat is een van de belangrijkste redenen waarom de implementatie van CIS-controles de investering waard is, zelfs voor organisaties die niet specifiek verplicht zijn om CIS te volgen.

NIST CSF: De CIS Controls sluiten nauw aan bij de functies van het NIST CSF (Identificeren, Beschermen, Detecteren, Reageren, Herstellen). Organisaties die het NIST CSF gebruiken, merken dat de CIS Controls de details op implementatieniveau bieden die nodig zijn voor de meer abstracte functies van het CSF.

PCI DSS: De maatregelen 1 tot en met 7 en 10 tot en met 12 sluiten nauw aan bij de PCI DSS-vereisten. Door de CIS-maatregelen te implementeren, wordt de voorbereiding op een PCI DSS-audit aanzienlijk vereenvoudigd.

HIPAA: De CIS Controls voldoen aan veel van de administratieve, fysieke en technische beveiligingseisen van de HIPAA-beveiligingsregel.

ISO 27001: Er is een aanzienlijke overeenstemming tussen de CIS Controls en de maatregelen uit bijlage A van ISO 27001. Organisaties die een ISO 27001-certificering nastreven, profiteren van de bestaande implementatie van de CIS Controls als bewijs van de volwassenheid van hun beheersmaatregelen.

Deze raamwerkoverschrijdende dekking maakt CIS Controls tot een praktisch uitgangspunt voor de meeste organisaties: door de Controls te implementeren, wordt tegelijkertijd voor meerdere raamwerken aangetoond dat aan de vereisten wordt voldaan, waardoor de administratieve lasten van het afzonderlijk beheren van elk raamwerk worden verminderd.

CIS-controles implementeren met Kaseya

Het Kaseya-platform biedt directe technische ondersteuning bij de implementatie van het merendeel van de CIS-controles in beheerde omgevingen:

Controles 1 en 2 (inventarisatie van bedrijfsmiddelen): De geautomatiseerde detectie van apparaten en software-inventarisatie van VSA zorgt voor het opstellen en bijhouden van de bedrijfsmiddelenregisters die nodig zijn voor controles 1 en 2. IT Glue de documentatielaag voor het bijhouden van bedrijfsmiddelen en configuratiegegevens.

Instellingen 4 en 5 (Veilige configuratie, Accountbeheer): Het op VSA-beleid gebaseerde configuratiebeheer zorgt ervoor dat de normen voor veilige configuratie op alle beheerde eindpunten worden nageleefd. Kaseya 365 ondersteunt het afdwingen van MFA en het beheer van geprivilegieerde toegang.

Control 7 (Beheer van kwetsbaarheden): De kwetsbaarheidsscans en het geautomatiseerde patchbeheer van Kaseya spelen direct in op de behoefte aan continu beheer van kwetsbaarheden.

Beveiligingsmaatregelen 9 en 10 (e-mail- en browserbeveiliging, bescherming tegen malware): Inky (e-mailbeveiliging) en Datto EDR zorgen voor de beveiliging van e-mail, browsers en bescherming tegen malware.

Control 11 (gegevensherstel): Datto BCDR biedt de back-up- en herstelfuncties die Control 11 nodig heeft, met geautomatiseerde verificatie en onveranderlijke cloudopslag.

Controle 14 (Bewustwording op het gebied van informatiebeveiliging): BullPhish ID biedt trainingen op het gebied van beveiligingsbewustzijn en phishingsimulaties.

Maatregel 17 (Incidentrespons): De MDR- dienst van Kaseya biedt 24/7 monitoring en responsmogelijkheden ter ondersteuning van een beheerd incidentresponsprogramma.

Compliance Manager GRC is waar dit alles samenkomt voor compliance-doeleinden. Het bevat speciaal ontwikkelde CIS Controls v8.1-sjablonen voor alle drie de implementatiegroepen, waarbij automatisch de specifieke beveiligingsmaatregelen worden geladen die vereist zijn voor het geselecteerde IG-niveau. Het platform volgt de voortgang van de implementatie van alle 153 beveiligingsmaatregelen, identificeert hiaten en genereert automatisch de compliancehandleidingen, bewijsrapporten en auditdocumentatie die de naleving van CIS Controls aantonen aan klanten, auditors en cyberverzekeraars.

Voor MSP’s verandert dit CIS Controls van een raamwerk dat moet worden beoordeeld in een beheerde compliance-dienst die moet worden geleverd. Ontdek Compliance Manager GRC.

Belangrijkste punten

  • CIS Controls v8.1 biedt 18 geprioriteerde beveiligingsmaatregelen, gegroepeerd in implementatiegroepen die kunnen worden aangepast aan de omvang van de organisatie. IG1 (56 beveiligingsmaatregelen) vormt de essentiële basis die elke organisatie zou moeten halen.
  • Dankzij het Implementation Group-model zijn de CIS Controls toepasbaar voor organisaties van elke omvang: kleine en middelgrote bedrijven richten zich op IG1 en IG2, terwijl grote ondernemingen zich richten op IG3.
  • De CIS-controles sluiten aan bij het NIST CSF, PCI DSS, HIPAA en ISO 27001, waardoor de implementatie waardevol is als bewijs van naleving binnen meerdere kaders tegelijk.
  • Het Kaseya-platform implementeert het merendeel van de CIS Controls rechtstreeks via VSA, Datto EDR, IT Glue, Inky, BullPhish ID en Datto BCDR.
  • Compliance Manager GRC speciaal ontwikkelde CIS v8.1-sjablonen voor alle drie de implementatiegroepen, houdt bij of de beveiligingsmaatregelen zijn voltooid en genereert automatisch documentatie die klaar is voor een audit.

Eén compleet platform voor IT- en Security

Kaseya 365 de alles-in-één-oplossing voor het beheer, de beveiliging en de automatisering van IT. Dankzij naadloze integraties tussen cruciale IT-functies vereenvoudigt het de bedrijfsvoering, versterkt het de beveiliging en verhoogt het de efficiëntie.

Vraag een demo aan Ontdek Kaseya 365

Één platform. Alles omtrent IT.

Kaseya 365 profiteren van de voordelen van de beste tools voor IT-beheer en beveiliging in één enkele oplossing.

Ontdek Kaseya 365

Uw succes is onze nummer 1 prioriteit

Partner First staat voor flexibele voorwaarden, gedeelde risico's en toegewijde support voor uw bedrijf.

Ontdek Partner First Pledge

Wereldwijd MSP rapport 2025

Het Global MSP Report 2025 van Kaseya is dé bron om inzicht te krijgen in de richting waarin de sector zich ontwikkelt.

Nu downloaden

Ontdek categorieën

Wat is NIST-conformiteit? Een praktische gids voor IT-teams en MSP’s

De afkorting „NIST“ wordt gebruikt om naar verschillende zaken te verwijzen, vaak door elkaar en niet altijd even nauwkeurig. Het agentschap. Het Cybersecurity Framework.

Lees blogbericht

IT-compliance voor MSP’s: hoe bouw je een schaalbaar bedrijf op?

Compliance is stilletjes uitgegroeid tot een van de commercieel belangrijkste vaardigheden die een MSP kan ontwikkelen. De combinatie van toenemende regelgeving

Lees blogbericht

ISO 27001: wat het is, wat er voor certificering nodig is en of uw organisatie het nodig heeft

ISO 27001 is de internationale norm voor informatiebeveiligingsbeheersystemen. Het is wereldwijd de meest erkende beveiligingscertificering,

Lees blogbericht