Digitaal Fundament Overheid

DFO‑volwassenheidsmodel: van ML0 naar ML3

📊 Strategisch 👥 Security Managers, Implementation Teams ⏱️ 17 min lezen
Security Maturity Assessment Initial (Level 1) Repeatable (Level 2) Defined (Level 3) Managed (Level 4) Optimizing (Level 5) Current Maturity Level: 3 (Defined) - 70% complete
Executive Summary

Het DFO‑volwassenheidsmodel definieert vier volwassenheidsniveaus (ML0 tot en met ML3) waarmee organisaties hun weerbaarheid tegen veelvoorkomende cyberaanvallen concreet kunnen meten. In plaats van een generieke score wordt elke DFO‑strategie afzonderlijk beoordeeld, zodat duidelijk wordt welke onderdelen al volwassen zijn en waar nog fundamentele gaten zitten. Voor Nederlandse overheidsorganisaties wordt ML2 gezien als het minimale streefdoel, met ML3 als norm voor kritieke processen, vitale infrastructuur en omgevingen met hoge vertrouwelijkheidseisen. Dit model maakt het mogelijk om een realistisch groeipad te definiëren, prioriteiten te stellen en investeringen te onderbouwen richting bestuur en lijnmanagement.

Definities van volwassenheidsniveaus

Het DFO‑volwassenheidsmodel onderscheidt vier niveaus van volwassenheid: ML0, ML1, ML2 en ML3. Deze niveaus vormen geen theoretische schaal, maar een praktisch instrument om te bepalen in hoeverre de acht DFO‑strategieën daadwerkelijk zijn ingebed in de organisatie. Belangrijk is dat de beoordeling per strategie plaatsvindt: een organisatie kan bijvoorbeeld op applicatiecontrole al ML2 hebben bereikt, terwijl patchmanagement of hardening van gebruikersapplicaties nog op ML0 of ML1 blijft steken. Door deze fijnmazige benadering ontstaat een eerlijk en bruikbaar beeld van de feitelijke weerbaarheid.

ML0 staat voor een situatie waarin de maatregelen niet of slechts zeer beperkt zijn geïmplementeerd. Processen zijn ad‑hoc, afhankelijk van individuen en nauwelijks aantoonbaar. In deze fase is de organisatie in hoge mate kwetsbaar voor relatief eenvoudige aanvallen, zoals het misbruiken van bekende kwetsbaarheden of misconfiguraties. Voor Nederlandse overheidsorganisaties is een langdurig verblijf op ML0 niet acceptabel, omdat dit direct spanning oplevert met de principes uit de Baseline Informatiebeveiliging Overheid (BIO) en met de maatschappelijke verantwoordelijkheid om gegevens en diensten betrouwbaar te beschermen.

ML1 vertegenwoordigt een basisniveau van bescherming. De belangrijkste maatregelen zijn in grote lijnen aanwezig, maar de uitvoering is nog niet overal consequent, uniform of aantoonbaar. Er kunnen bijvoorbeeld wel patchprocessen bestaan, maar zonder vaste doorlooptijden, structurele monitoring of duidelijke rapportages richting management. In veel organisaties is ML1 het natuurlijke startpunt: er gebeurt al het nodige, maar het ontbreekt aan samenhang, governance en meetbaarheid. Vanuit het perspectief van de Nederlandse publieke sector biedt ML1 een zekere basis, maar nog onvoldoende borging tegen geavanceerdere dreigingen of gerichte aanvallen op de overheid.

ML2 is het niveau waarop de meeste Nederlandse overheidsorganisaties op termijn zouden moeten uitkomen. De maatregelen zijn op dit niveau niet alleen technisch gerealiseerd, maar ook procesmatig geborgd. Rollen en verantwoordelijkheden zijn vastgelegd, er zijn duidelijke werkinstructies en naleving wordt aantoonbaar gemonitord. Denk aan periodieke rapportages over patchstatus, toezicht op lokale administratieve rechten en controle op de configuratie van Office‑macro’s of applicatie‑hardening. ML2 zorgt ervoor dat veel voorkomende aanvalspaden structureel worden afgesloten en dat nieuwe kwetsbaarheden binnen redelijke termijnen worden aangepakt. Voor bestuurders is ML2 bovendien goed uitlegbaar als een volwassen, maar nog haalbare doelarchitectuur.

ML3 tenslotte richt zich op omgevingen waar de risico’s significant hoger liggen, bijvoorbeeld bij vitale processen, kritieke ketendiensten of zeer gevoelige persoonsgegevens. Op dit niveau zijn maatregelen niet alleen geborgd, maar ook geoptimaliseerd en vergaand geautomatiseerd. Monitoring is continu, afwijkingen worden snel gedetecteerd en er is een duidelijke koppeling met incidentrespons en dreigingsinformatie. Processen worden herijkt op basis van lessons learned en veranderende dreigingsbeelden. ML3 vraagt doorgaans om extra investeringen, gespecialiseerde expertise en nauwe samenwerking tussen security, architectuur en operatie. Daarom is het niveau vooral bedoeld voor geselecteerde doelomgevingen in plaats van als generieke norm voor de hele organisatie.

Een belangrijk kenmerk van het DFO‑volwassenheidsmodel is de nadruk op progressie. Organisaties hoeven niet in één stap van ML0 naar ML3 te springen, maar kunnen gericht werken aan het opschuiven van afzonderlijke strategieën naar het volgende niveau. Door te starten met een nulmeting ontstaat inzicht in de huidige positie per strategie, waarna per strategie een concreet groeipad kan worden gedefinieerd. Dit pad kan worden gekoppeld aan bestaande trajecten, zoals modern‑workplace‑projecten, cloudmigraties of lifecycle‑beheer van applicaties. Zo wordt het model geen losstaand compliance‑instrument, maar een stuurmiddel voor realistische verbeterplannen.

Voor Nederlandse overheidsorganisaties sluit het model goed aan bij de behoefte aan aantoonbaarheid richting toezichthouders, rekenkamers en burgers. Door per strategie en per niveau duidelijke criteria te hanteren, kan men transparant rapporteren over waar de organisatie staat en welke stappen wanneer worden gezet. Daarmee ondersteunt het DFO‑volwassenheidsmodel niet alleen de technische beveiliging, maar ook de governance rondom continu verbeteren, risicomanagement en verantwoording. Het uiteindelijke doel is niet het behalen van een abstract label, maar het duurzaam verhogen van de weerbaarheid tegen aanvallen die we in de praktijk bij overheden en hun ketenpartners zien.

Conclusie

Het DFO‑volwassenheidsmodel biedt Nederlandse overheidsorganisaties een concreet kader om stap voor stap hun cyberweerbaarheid te vergroten. Door per strategie het volwassenheidsniveau te bepalen en ML2 als minimale doelstelling te hanteren, ontstaat een realistisch maar ambitieus groeipad. Voor kritieke processen en hoogrisico‑omgevingen vormt ML3 de logische volgende stap, waarbij geavanceerde, geautomatiseerde en continu bewaakte maatregelen worden toegepast.

Executive Aanbevelingen
  • Voer een integrale maturity‑assessment uit voor alle DFO‑strategieën en leg de resultaten vast in begrijpelijke rapportages voor bestuur en lijnmanagement.
  • Stel ML2 vast als minimale doelstelling voor de gehele organisatie, in samenhang met de BIO‑eisen en bestaande beveiligingsbeleid.
  • Identificeer welke onderdelen van de infrastructuur, processen of ketens als kritisch of vitaal worden aangemerkt en definieer voor deze doelomgevingen een expliciete ambitie om ML3 te bereiken.
  • Veranker het maturity model in de reguliere planning‑ en controlcyclus, zodat verbeterstappen structureel worden ingepland, gefinancierd en geëvalueerd.
Digitaal Fundament Overheid volwassenheidsmodel