Wat is een Zero Trust-volwassenheidsmodel?
Een Zero Trust-volwassenheidsmodel is een gestructureerd raamwerk dat meet hoe ver een organisatie is gevorderd van beveiliging op basis van perimeter naar identiteitsgebaseerde, continu geverifieerde toegang. De meest gebruikte versie is het CISA Zero Trust Maturity Model v2.0, dat de vooruitgang over vijf pijlers (identiteit, apparaten, netwerken, toepassingen en gegevens) in kaart brengt via vier niveaus: Traditioneel, Initieel, Geavanceerd en Optimaal. De meeste organisaties in het middensegment van de markt die een SASE-architectuur gebruiken, gaan binnen 6 tot 18 maanden van Initial naar Advanced, afhankelijk van hun startpositie en teamcapaciteit.
Zero Trust klinkt binair. Je vertrouwt of je vertrouwt niet. Maar in de praktijk bevindt elke organisatie zich ergens op een spectrum. Sommigen hebben MFA geïmplementeerd en noemen het klaar. Anderen dwingen identiteitsgebaseerde toegang per applicatie af, maar hebben nog steeds printers en IoT-apparaten op platte netwerksegmenten. De kloof tussen “we doen aan Zero Trust” en daadwerkelijke volwassenheid is waar risico’s leven.
Een maturiteitsmodel geeft je een eerlijke benchmark. Het vertelt je welke pijlers sterk zijn, welke achterblijven en waar de volgende investering het meeste risico zal verminderen. CISA bouwde zijn model op de fundamenten van NIST SP 800-207 en het is evenzeer van toepassing op overheidsinstellingen als op organisaties in de privésector. Deze gids leidt u door de vier niveaus, geeft u een praktische zelfbeoordelingsmethode, koppelt volwassenheid aan NIS2-vereisten en toont u de stappen om van waar u bent naar waar u moet zijn.
De vier volwassenheidsniveaus uitgelegd
Het Zero Trust Maturity Model v2.0 van CISA definieert vier stadia over vijf pijlers. Elke fase bouwt voort op de vorige en de vooruitgang tussen de pijlers is meestal ongelijkmatig. De meeste organisaties zijn verder op het gebied van identiteit dan op het gebied van netwerksegmentatie of gegevenscontrole.
| Niveau | Identiteit | Apparaten | Netwerken | Toepassingen | Gegevens |
|---|---|---|---|---|---|
| Traditioneel | Wachtwoorden, mogelijk basis-MFA voor sommige systemen | Handmatige of onvolledige inventarisatie van apparaten | Firewall, plat intern netwerk | Toegang op locatie, brede rechten | Vlakke toegang, minimale classificatie |
| Initieel | MFA en SSO voor de meeste applicaties | Basisinventarisatie, enige bescherming van eindpunten | Enige netwerksegmentatie via VLAN’s | Cloud-bewuste, rolgebaseerde toegang | Rolgebaseerde toegangscontrole, gedeeltelijke versleuteling |
| Geavanceerd | ZTNA met integratie van identiteitsproviders, controles van de apparaatstatus | Geautomatiseerde houdingverificatie vóór toegang | Microsegmentatie, identiteitsgebaseerd netwerkbeleid | Toegang per toepassing, geen toegang tot breed netwerk | Encrypted in transit en at rest, geclassificeerd op gevoeligheid |
| Optimaal | Continue op risico gebaseerde authenticatie, gedragsanalyse | Real-time naleving, geautomatiseerde isolatie | Volledig identiteitsgestuurde, dynamische beleidsaanpassing | Geen permanente privileges, just-in-time toegang | Real-time DLP, geautomatiseerde classificatie, gegevensmarkering |
Drie transversale mogelijkheden lopen door alle vijf de pijlers: zichtbaarheid en analyse, automatisering en orkestratie, en governance. Een organisatie kan Advanced maturity bereiken op het gebied van identiteit, maar blijft in Initial op het gebied van zichtbaarheid als logs verspreid zijn over losse tools zonder gecentraliseerde analyse.
De praktische kanttekening: u hoeft niet voor elke pijler Optimal te bereiken. De grootste beveiligingswinst is te behalen door de zwakste pijler van Traditioneel naar Initieel te brengen en vervolgens van Initieel naar Geavanceerd. Die asymmetrie is waar de meeste teams in het middensegment zich op zouden moeten richten.
Hoe je je huidige niveau kunt beoordelen
Zelfevaluatie vereist geen externe consultants of dure hulpmiddelen. Het vereist eerlijkheid. De volgende vragen sluiten direct aan bij de CISA-pijlers en plaatsen uw organisatie binnen een uur op het volwassenheidsspectrum.
Identiteitspijler
Kan elke gebruiker alleen toegang krijgen tot de specifieke applicaties die zijn rol vereist, of hebben sommige gebruikers bredere toegang dan nodig is? Als je deze vraag niet met zekerheid kunt beantwoorden, bevind je je op Traditioneel of Beginniveau. Organisaties op Advanced niveau dwingen least-privilege toegang per applicatie af via hun identity provider, met policies die zich aanpassen op basis van de context.
Pijler Apparaten
Kun je elk apparaat noemen dat op dit moment op je netwerk is aangesloten? Als het antwoord “meestal, behalve printers en dat ene legacy systeem in het magazijn” is, dan bent u bij Initial. Organisaties op Advanced niveau voeren geautomatiseerde apparaatstatuscontroles uit waarbij de OS-versie, schijfversleuteling en endpointbeveiliging worden gecontroleerd voordat een sessie wordt toegestaan.
Pijler Netwerken
Als een aanvaller vandaag de inloggegevens van één gebruiker in gevaar zou brengen, hoe ver zouden ze zich dan lateraal kunnen verplaatsen? Als het antwoord is “ze zouden de meeste interne systemen kunnen bereiken”, dan ben je bij Traditional. Initieel betekent dat VLAN’s sommige zones scheiden. Geavanceerd betekent dat microsegmentatie beweging beperkt tot de specifieke applicaties waartoe elke identiteit geautoriseerd is.
Pijler Toepassingen
Maken externe gebruikers verbinding met een VPN dat hen op het bedrijfsnetwerk plaatst, of hebben ze rechtstreeks toegang tot individuele applicaties? Toegang via VPN is Traditioneel of Initieel. Toegang per applicatie via ZTNA, waarbij de rest van het netwerk onzichtbaar is voor de gebruiker, is Advanced.
Pijler Gegevens
Zijn gevoelige gegevens geclassificeerd en versleuteld, zowel onderweg als in rust? Kun je aantonen welke gebruikers de afgelopen 30 dagen toegang hebben gehad tot welke gegevenssets? Als de classificatie van gegevens inconsistent is en de toegangslogs onvolledig, ben je initieel bezig.
Transversaal: zichtbaarheid
Komen uw beveiligingslogs van identiteits-, netwerk- en endpoint-tools samen in één overzicht of zijn ze verspreid over afzonderlijke consoles? Gefragmenteerd overzicht is het meest voorkomende knelpunt dat organisaties ervan weerhoudt om Advanced maturity te bereiken, zelfs als hun individuele pijlercontroles sterk zijn.
Geef jezelf een eerlijke score voor alle vijf pijlers. Je algehele volwassenheid wordt in feite beperkt door je zwakste pijler. Het Forrester ZTX-model maakt dit expliciet: als een pijler onder een drempelwaarde zakt, wordt je hele score beperkt. Een organisatie met Geavanceerde identiteitscontroles maar Traditionele netwerksegmentatie heeft nog steeds een straal op Traditioneel niveau voor zijwaartse beweging.
Wat de meeste organisaties in het middensegment van de markt fout doen
De meest voorkomende fout is het gelijkstellen van de inzet van MFA met Zero Trust volwassenheid. MFA is een enkele controle binnen de identiteitspijler. Het is noodzakelijk maar bij lange na niet voldoende. Een organisatie die MFA heeft voor alle applicaties, maar nog steeds een plat netwerk heeft met VPN-gebaseerde externe toegang en geen apparaat posture checks, bevindt zich op zijn best op Initial maturity.
Uit onderzoek van Zscaler blijkt dat de overgrote meerderheid van IT-besluitvormers denkt dat hun cyberweerbaarheidsmaatregelen effectief zijn, maar toch verwacht meer dan de helft binnen een jaar een significante inbreuk. Deze vertrouwenskloof is een direct gevolg van het meten van de input (we hebben MFA geïmplementeerd, we hebben een firewall gekocht) in plaats van de resultaten (kan een aanvaller lateraal bewegen nadat hij één account heeft gecompromitteerd?).
De tweede fout is verticaal investeren in één pijler. Organisaties steken budget in identiteit omdat dit de meest zichtbare en begrepen pijler is, terwijl netwerksegmentatie en dataclassificatie verwaarloosd blijven. Dit creëert een ongelijk volwassenheidsprofiel waarbij de zwakste pijler de werkelijke risicoblootstelling bepaalt. Een sterke identiteitslaag betekent niets als een gecompromitteerde printer op een plat netwerksegment uw bestandsserver kan bereiken.
De derde fout is het behandelen van Zero Trust als een project met een einddatum. Het CISA-model beschrijft volwassenheid expliciet als een continue reis. Bedreigingslandschappen verschuiven, nieuwe applicaties worden ingezet, medewerkers komen erbij en gaan weer weg. Beleid dat zes maanden geleden geavanceerd was, kan vandaag de dag Initial zijn als het niet is herzien en bijgewerkt. Onze gids over 10 veelgemaakte ZTNA-fouten behandelt de implementatiespecifieke valkuilen die de voortgang tegenhouden.
Van Initieel naar Gevorderd: de praktische stappen
Dit is de overgang die de meeste risicovermindering oplevert voor organisaties in het middensegment van de markt. De overgang van Traditioneel naar Initieel gaat over het implementeren van basiscontroles. Van Initieel naar Geavanceerd gaat over het verbinden van deze controles in een samenhangende, identiteitsgedreven architectuur.
Stap 1: VPN vervangen door ZTNA (weken 1-4)
VPN plaatst gebruikers op uw netwerk. ZTNA geeft hen toegang tot specifieke applicaties zonder blootstelling aan het netwerk. Deze enkele verandering elimineert het brede laterale verplaatsingsrisico dat traditionele en initiële netwerkvolwassenheid definieert. Begin met externe werknemers en externe aannemers, en breid dan uit naar alle gebruikers. De Zero Trust architectuurgids behandelt de opeenvolging in detail.
Stap 2: Apparaatpostuurcontroles activeren (weken 2-6)
Voordat een sessie wordt opgezet, moet worden gecontroleerd of het verbindende apparaat voldoet aan uw baseline: huidig besturingssysteem, schijfversleuteling ingeschakeld, endpointbeveiliging actief. Apparaten die niet voldoen krijgen beperkte of geen toegang. Dit verplaatst uw apparatenpijler van Initieel naar Geavanceerd. Platforms als Jimber bundelen ZTNA en apparaatposture checks in één console, wat betekent dat een IT-team van drie personen deze controles kan afdwingen zonder dat ze voor elke functie aparte tools hoeven te beheren.
Stap 3: Microsegmentatie implementeren (weken 4-12)
Stap over van VLAN-gebaseerde netwerkzones naar identiteitsgebaseerd beleid dat communicatie beperkt tot expliciet toegestane paden. Het doel is het verkleinen van de straal: als één apparaat of account gecompromitteerd is, kan de aanvaller geen systemen buiten dat specifieke bereik bereiken. Jimbers aanpak maakt gebruik van inline isolatie en toegang op applicatieniveau in plaats van complexe firewallregelsets, waardoor de operationele overhead beheersbaar blijft voor kleine teams.
Stap 4: Integreer je identity provider (weken 1-4, parallel)
Verbind uw IdP (Microsoft Entra ID, Okta, Google Workspace) met uw ZTNA-laag zodat directorygroepen het toegangsbeleid voor alle applicaties aansturen. Dit creëert een single source of truth voor wie waar bij kan. Wanneer iemand de organisatie verlaat, wordt door het uitschakelen van zijn IdP-account onmiddellijk overal de toegang ingetrokken.
Stap 5: Logging en zichtbaarheid centraliseren (week 6-12)
Voeg logs van identiteiten, apparaten, netwerken en toepassingen samen in één overzicht. Dit is de transversale mogelijkheid die losgekoppelde controles omzet in een samenhangend beveiligingsbeleid. Zonder centraal overzicht kunt u geen afwijkingen detecteren, incidenten niet efficiënt onderzoeken of het auditbewijs leveren dat toezichthouders verwachten.
Realistische tijdlijn: De meeste organisaties in het middensegment met 50 tot 400 gebruikers kunnen binnen 6 tot 12 maanden overstappen van Initial naar Advanced. Als je team momenteel afzonderlijke tools beheert voor VPN, webfiltering en firewallbeleid, is consolidatie in één SASE-platform de snelste weg. Het elimineert het integratiewerk dat normaal gesproken tijdschema’s oprekt.
Hoe NIS2 overeenkomt met Zero Trust-volwassenheidsniveaus
Voor Europese organisaties is Zero Trust maturiteit niet langer alleen een beveiligingsbeslissing. Het is een nalevingsvereiste. In overweging 89 van de NIS2 worden zero-trustprincipes expliciet genoemd als basis cyberhygiënepraktijk. Artikel 21 vereist gedocumenteerde toegangscontroles, mogelijkheden om incidenten in te dammen en beveiligingsmaatregelen voor de toeleveringsketen. De vraag is: welk volwassenheidsniveau voldoet aan de verordening?
Traditioneel = niet-conform. Perimeter-only beveiliging met platte interne netwerken voldoet niet aan de verwachtingen van NIS2 voor toegangsbeheer, segmentatie of het indammen van incidenten. Organisaties op dit niveau riskeren handhavingsmaatregelen en boetes tot 10 miljoen euro.
Initieel = gedeeltelijk conform. MFA en basissegmentatie voldoen aan sommige NIS2-vereisten, maar gaten in apparaatbeheer, logging en incidentrespons zorgen voor een aanzienlijke blootstelling. Auditors zullen het ontbreken van continue verificatie en gedocumenteerd toegangsbeleid opmerken.
Geavanceerd = conform voor de meeste organisaties. Identiteitsgebaseerde toegang, apparaatposture checks, microsegmentatie en gecentraliseerde logging voldoen aan de technische vereisten van NIS2 Artikel 21. Dit is het doelniveau voor organisaties in het middensegment van de markt die zijn geclassificeerd als “belangrijke” of “essentiële” entiteiten.
Optimaal = overtreft de vereisten. Continue authenticatie, geautomatiseerde respons en realtime dataclassificatie gaan verder dan wat NIS2 voorschrijft. Dit niveau is ambitieus voor de meeste teams in het middensegment van de markt, maar relevant voor organisaties die zeer gevoelige gegevens verwerken.
In België vertaalt het CyberFundamentals (CyFun)-raamwerk NIS2 in vier niveaus: Klein, Basis, Belangrijk en Essentieel. De mapping is niet één-op-één, maar er is een duidelijke overeenkomst. CyFun Basic komt ruwweg overeen met initiële volwassenheid in de meeste pijlers. CyFun Important komt overeen met Advanced volwassenheid op het gebied van identiteit, apparaten en netwerken. De CyFun zelfevaluatiegids behandelt de specifieke documentatie die Belgische organisaties moeten voorbereiden. Voor een breder beeld van wat auditors verwachten, brengt de NIS2-nalevingschecklist elke vereiste in kaart met praktische controles.
De ingebouwde logging, verificatie van de apparaatstatus en identiteitsgebaseerde toegang van Jimber voldoen aan de NIS2-vereisten die overeenkomen met Advanced maturity. Omdat deze mogelijkheden in één console zitten in plaats van in afzonderlijke tools, is het bewijspad consistent en auditklaar ontworpen.
Veelgestelde vragen
Is MFA genoeg voor Zero Trust?
MFA is één controle binnen de identiteitspijler. Zero Trust vereist toegang met minimale privileges, verificatie van de apparaatstatus, microsegmentatie, voortdurende monitoring en gecentraliseerde governance. MFA alleen laat je organisatie achter op Initial maturity. De zero trust principles guide beschrijft wat het model nog meer vereist.
Hoe lang duurt het om van Initial naar Advanced te gaan?
Voor organisaties in het middensegment met 50 tot 400 gebruikers duurt de overgang meestal 6 tot 12 maanden. De tijdlijn hangt af van je startpunt, de capaciteit van je team en of je tools consolideert of puntoplossingen integreert. Organisaties die een uniform SASE-platform gebruiken, bereiken Advanced over het algemeen sneller omdat het integratiewerk al is gedaan.
Welk Zero Trust-volwassenheidsniveau heeft NIS2 nodig?
NIS2 verwijst niet direct naar het CISA-model, maar de technische vereisten komen overeen met Advanced maturity. Identiteitsgebaseerde toegang, apparaatposture checks, microsegmentatie en gecentraliseerde logging zijn de controles die voldoen aan artikel 21. Traditionele en initiële volwassenheidsniveaus vertonen gedocumenteerde hiaten in de naleving.
Kunnen kleine IT-teams Advanced maturiteit bereiken?
Ja, maar consolidatie van tools is een eerste vereiste. Een IT-team van drie personen kan niet zes afzonderlijke beveiligingsconsoles beheren en nog tijd overhouden voor beleidsafstemming, incidentrespons en compliancedocumentatie. Consolidatie van ZTNA, webbeveiliging, firewallbeleid en apparaatbeheer in één platform vermindert de operationele overhead voldoende om Advanced maturity realistisch te maken.
Wat is het verschil tussen de CISA- en Forrester-modellen?
Beide frameworks meten Zero Trust volwassenheid over vergelijkbare domeinen. CISA gebruikt vijf pijlers (identiteit, apparaten, netwerken, toepassingen, gegevens) met vier niveaus (Traditioneel, Initieel, Geavanceerd, Optimaal) en drie transversale mogelijkheden. Het ZTX-model van Forrester beslaat zeven domeinen en gebruikt een scoremethodologie waarbij de zwakste pijler de algehele score bepaalt. Het CISA-model is leverancierneutraal en vrij beschikbaar, waardoor het voor de meeste organisaties een praktischer uitgangspunt is. De aanpak van Forrester voegt kwantitatieve nauwkeurigheid toe, maar vereist hun assessment tooling.
Hoe versnelt een SASE platform de maturiteitsgroei?
Een uniform SASE-platform bundelt de controles die nodig zijn voor geavanceerde volwassenheid (ZTNA, apparaathouding, microsegmentatie, SWG, gecentraliseerde logging) in één architectuur. Dit elimineert de gaten in de integratie tussen puntoplossingen die doorgaans de vooruitgang vertragen. Het betekent ook dat beleidswijzigingen gelijktijdig worden doorgevoerd in alle pijlers in plaats van dat er updates nodig zijn in meerdere losgekoppelde consoles.
Klaar om je Zero Trust-volwassenheid te benchmarken en de gaten te dichten die er het meest toe doen? Boek een demo en loop met een Jimber-specialist door je omgeving. Geen complexe projecten, geen verborgen kosten, alleen een duidelijk beeld van waar je staat en wat je nu moet doen.
