Zonder meetbare resultaten blijft cybersecurity een kostenpost die lastig is uit te leggen aan bestuurders. Veel securityteams rapporteren nog steeds aantallen patches, firewallregels of SOC-alerts. Voor een gemeenteraad, minister of CFO zeggen die cijfers weinig over risico’s of investeringsbeslissingen. Het resultaat is onderfinanciering of juist willekeurige uitgaven zonder zicht op rendement.
Een volwassen metrics- en KPI-programma beantwoordt precies de vragen die leidinggevenden stellen: worden we veiliger, waar lopen we achter, wat levert het beveiligingsbudget op en voldoen we aantoonbaar aan NIS2 of BIO? Dit artikel biedt een praktisch raamwerk waarmee Nederlandse overheden technische data omzetten naar bestuurlijke stuurinformatie, inclusief indicatoren per verdedigingslaag, outcome-metingen, governance en dashboardontwerp.
Voor CISO’s, programmamanagers en CIO’s die securityprestaties willen vertalen naar begrijpelijke dashboards voor bestuurders, toezichthouders en NIS2-auditors.
Rapporteer nooit alleen een absolute waarde (“Secure Score 73%”). Voeg trends, doelen en benchmarks toe: “Steeg van 58% naar 73% in 6 maanden; doel 80% eind dit jaar; boven sectorgemiddelde van 68%.” Dat vertelt bestuurders dat er vooruitgang is, wat het doel is en hoe we presteren ten opzichte van peers.
Balanced scorecard: preventie, detectie, respons
Een gebalanceerde scorecard begint bij het benoemen van de verdedigingslagen als één samenhangende keten. Het management van een provinciehuis wil weten of de verstrekte miljoenen daadwerkelijk leiden tot minder risico voor burgers en kritieke diensten. Daarom vertel je bij elke indicator waarom hij ertoe doet binnen de BIO, hoe hij aansluit op de NIS2-plicht tot continue verbetering en welke besluitvorming erop volgt. De scorecard fungeert daarmee als een gemeenschappelijke taal tussen SOC-analisten, leveranciers, auditors en portefeuillehouders, en dwingt iedereen om het verhaal achter de cijfers te duiden in plaats van alleen een percentage in een spreadsheet te plaatsen.
De preventiekolom beschrijft hoe klein het aanvalsoppervlak werkelijk is. Patch-compliance boven de 95% binnen dertig dagen, volledige uitrol van meervoudige authenticatie en een phishing-resistent MFA-percentage richting 90% laten zien dat basishygiëne op orde is. Voeg daar trainingsdeelname en klikratio’s uit simulaties aan toe, gecombineerd met cijfers over het aantal privileges met tijdsbegrenzing, zodat zichtbaar wordt hoe menselijk gedrag en technische maatregelen elkaar versterken. Beschrijf ook welke processen deze data leveren: Intune voor updatepercentages, Entra ID voor MFA en het leerplatform voor awareness. Dat helpt bestuurders de betrouwbaarheid van de cijfers te vertrouwen en maakt verslechtering direct bespreekbaar in de lijn.
Detectie-indicatoren vertellen iets over zicht en signaalkwaliteit. Een Mean Time to Detect van uren in plaats van dagen laat zien dat logcollectie, use cases en gedragsanalytics werken. Rapporteer tegelijk de logdekking per systeemklasse, zodat duidelijk is of OT, SaaS en endpoints gelijkwaardig in beeld zijn. Door false-positivepercentages te koppelen aan workloadgegevens krijgen CISO’s inzicht in de efficiëntie van hun team. In het verhaal leg je uit hoe Sentinel, Defender en OT-monitoring samenwerken, welke regelmatige tuning plaatsvindt en hoe uitwijklocaties dezelfde coverage bereiken. Zo wordt detectie geen black box maar een transparant systeem dat te herleiden is tot concrete keuzes over tooling en personeel.
Responsindicatoren verschuiven het gesprek naar veerkracht. Mean Time to Respond en Mean Time to Contain zijn alleen betekenisvol wanneer je duidelijk maakt welke definities zijn gebruikt en hoe automatische playbooks bijdragen. Beschrijf daarom hoeveel incidenten binnen een uur geautomatiseerd worden ingeperkt, welk percentage een lessons-learned binnen vijf werkdagen oplevert en hoe vaak escalatie naar crisisteams nodig is. Verbind de cijfers aan concrete gebeurtenissen, zoals een geharde phishingcampagne of een storingsweekend, zodat iedereen begrijpt dat de KPI’s echte situaties reflecteren en niet alleen laboratoriumtests.
Tot slot hoort bij iedere scorecard een kwaliteitsparagraaf. Daarin leg je vast hoe data wordt gevalideerd, wie de eigenaar van het KPI-definitiedocument is en hoe afwijkingen worden afgehandeld. Door bijvoorbeeld elk kwartaal een steekproef te doen op patchdata of handmatig de MTTR van een representatief incident te reconstrueren, borg je dat het dashboard niet losraakt van de werkelijkheid. Auditors zien daarmee dat de organisatie de control-cycle sluit en bestuurders begrijpen waarom investeringen in automatisering, training en procesdiscipline zich terugbetalen in aantoonbaar betere indicatoren.
Wanneer cijfers structureel onderdeel worden van de begrotingscyclus, krijgt de scorecard nog een extra functie. Je koppelt KPI’s aan mijlpalen in de meerjarenbegroting, onderbouwt investeringen in bijvoorbeeld EDR-licenties met concrete verbeteringen in detectietijd en laat zien welke kostenbesparingen volgen uit minder grote incidenten. Door in de toelichting aan te geven welke KPI’s leading en welke lagging zijn, kunnen bestuurders anticiperen op piekbelasting in het SOC en op tijd besluiten nemen over capaciteit, outsourcing of aanvullende tooling. Zo verandert de scorecard in een stuurconsole waarop beleidsdoelen, budget en operationele realiteit samenkomen.
Uitkomst- en benchmarkindicatoren
Waar de scorecard inzicht geeft in operationele volwassenheid, laten uitkomstindicatoren zien of maatregelen daadwerkelijk impact hebben op de dienstverlening en de rechtspositie van burgers. Begin daarom met een narratief over incidenttrends waarin je absolute aantallen combineert met ernst en maatschappelijke gevolgen. Wanneer een gemeente in een kwartaal meer meldingen registreert maar het aandeel kritieke cases halveert, moeten bestuurders begrijpen dat betere detectie het cijferbeeld verklaart. Beschrijf ook wat er gebeurt met herleidbaarheid: hoeveel incidenten kunnen binnen 24 uur volledig worden geanalyseerd, hoe vaak leidt een melding tot AVG-notificatie en welke patronen komen terug in ketenpartners zoals veiligheidsregio’s of shared service centra.
Containmentpercentages vormen de volgende laag. Het doel van negentig procent containment vóórdat er dataverlies of verstoring optreedt, krijgt pas betekenis wanneer je de tijdvensters benoemt: binnen één uur lukt het vaak dankzij geautomatiseerde isolatie van endpoints, binnen vier uur is handmatige triage meestal afgerond en binnen 24 uur moet een volledig herstelplan actief zijn. Beschrijf hoe runbooks, forensische tooling en crisisoefeningen deze cijfers beïnvloeden en geef voorbeelden van situaties waarin containment mislukte en welke structurele verbeteringen daarop volgden. Daardoor wordt zichtbaar dat KPI’s geen cosmetica zijn maar een startpunt voor leren.
Benchmarking levert context voor bestuur en toezichthouder. Vergelijk kerncijfers met DBIR-data, NCSC-rapportages en het CISO-netwerk van het rijk, maar leg uit waarom verschillen bestaan. Een ministerieel departement met een complex OT-landschap zal bijvoorbeeld meer gemiddelde detectietijd hebben dan een uitvoeringsorganisatie die voornamelijk SaaS gebruikt. Door SecurityScorecard- of BitSight-scores te tonen naast eigen kwetsbaarheidsscans ontstaat een eerlijk beeld van digitale hygiëne. Benoem expliciet hoe deze scores doorwerken in verantwoording aan Tweede Kamer, Algemene Rekenkamer of lokale rekenkamers, zodat de externe blik vanzelfsprekend onderdeel wordt van de interne sturing.
Uitkomstindicatoren raken ook naleving van wet- en regelgeving. Licht toe op welke manier KPI’s rond AVG-incidenten, Wbni-meldplichten of herstel van kritieke processen aansluiten op juridische verplichtingen. Wanneer iedere ernstige verstoring binnen 72 uur wordt gekoppeld aan een documenteerde lessons learned richting toezichthouders, verdien je bestuurlijk vertrouwen. Het verhaal moet bovendien uitleggen hoe deze indicatoren aansluiten bij risicoregisters en portefeuilledoelen, zodat het niet voelt als een aparte security-exercitie maar als integraal onderdeel van concernsturing.
Tot slot hoort er een menselijke component bij uitkomstmeting. Beschrijf hoe je feedback ophaalt bij proceseigenaren, hoe gebruikers ervaren dat incidenten sneller worden afgehandeld en hoe samenwerking met leveranciers verbeterde. Door kwalitatieve observaties naast de cijfers te plaatsen, kunnen bestuurders de cijfers koppelen aan merkbare effecten in de organisatie, van minder uitwijk naar papieren processen tot een merkbaar hoger vertrouwen van burgers die hun digitale aanvragen sneller zien terugkeren. Daarmee wordt duidelijk dat KPI’s waardegestuurd zijn en niet alleen voldoen aan een checklist.
Steeds vaker vragen collegeleden om voorspellende inzichten, bijvoorbeeld hoeveel incidenten een nieuwe publiekscampagne kan uitlokken of welk effect een cloudmigratie heeft op responstijden. Door historische datasets te voeden in Power BI en scenarioanalyses of Monte Carlo-simulaties toe te passen, kun je ranges presenteren in plaats van enkel terugblikken. Leg uit hoe aannames worden gevalideerd, welke gevoeligheden in de modellen zitten en hoe deze vooruitblik helpt om capaciteit, budget en communicatie op tijd aan te passen. Zo evolueert uitkomstmeting van rapportage achteraf naar proactieve besluitvorming.
Dashboards, automatisering en governance
Dashboards vormen de zichtbare laag van het metricsprogramma en moeten net zo overtuigend zijn voor een wethouder digitale zaken als voor een SOC-analist. Begin met het ontwerp van twee complementaire ervaringen: een operationeel dashboard waarin analisten kunnen inzoomen op logbronnen, rule-sets en incidenttickets, en een executive view die zich beperkt tot tien tot twaalf kern-KPI’s met duidelijke trendlijnen en duiding in gewone mensentaal. Beschrijf in het governance-document met welke persona’s je hebt gesproken, welke beslissingen zij moeten nemen en hoe het dashboard hun ritme volgt. Zo ontstaat vanzelf een releasecyclus waarin verbeteringen prioriteit krijgen op basis van feedback uit portefeuilleoverleggen of crisisstafsessies.
Automatisering voorkomt dat teams blijven steken in Excel. Door API-koppelingen naar Microsoft Sentinel, Defender for Cloud, Entra ID, Intune, ServiceNow en het leerplatform op te zetten, ontstaat een datalaag die minstens dagelijks wordt vernieuwd. Power BI of Fabric verwerkt deze bronnen, terwijl dataflows de definities afdwingen. In het verhaal leg je uit hoe je foutafhandeling regelt, welke fallback bestaat wanneer een bron uitvalt en hoe je beveiliging van de datapijplijn borgt met service-principals en Key Vault. Daarmee laat je zien dat de rapportageketen net zo professioneel is ingericht als de beveiligingsketen zelf.
Contextualisering maakt of breekt een dashboard. Iedere grafiek krijgt een korte tekstuele duiding, vermeldt het streefdoel, de trendrichting en eventuele benchmarks. Voeg waar relevant scenario’s toe: wat betekent een daling van Secure Score voor de adoptie van nieuwe beleidsregels, of hoe vertaalt een stijging van MTTD zich naar inzet van extra SOC-capaciteit. Door deze uitleg standaard onderdeel van de kaart te maken, hoeven bestuurders nooit te raden waarom een signaal belangrijk is, en leren teams automatisch om analytisch te schrijven.
Governance draait om eigenaarschap en controle. Iedere KPI krijgt een proceseigenaar, een datasteward en een reviewer. In een kwartaalcyclus verifieer je of definities nog kloppen, of dat nieuwe dreigingen vragen om aanvullende indicatoren. Dezelfde cyclus gebruikt steekproeven om data-integriteit te toetsen, waarbij afwijkingen worden vastgelegd in een register en verbeteringen worden opgevolgd. Beschrijf hoe deze kwaliteitswaarborgen aansluiten op bestaande control frameworks zoals de BIO of de interne auditkalender. Daarmee bewijs je dat dashboards niet alleen mooi zijn, maar ook audit-ready.
Tot slot heeft adoptie aandacht nodig. Train managementteams in het lezen van de dashboards, bouw een korte handleiding in Teams en integreer de visualisaties in reguliere overlegstructuren, zoals het maandelijkse risicocomité of de portefeuillegecentreerde voortgangsgesprekken. Door alerts te koppelen aan Power Automate-flows krijgen verantwoordelijken meteen een melding wanneer een KPI buiten bandbreedte valt. Na enkele maanden ervaart de organisatie dat het dashboard geen rapportageverplichting is, maar een stuurinstrument dat discussies versnelt en beslissingen onderbouwt. Die ervaring zorgt ervoor dat toekomstige investeringen in meetbaarheid weinig discussie meer opleveren.
Omdat dashboards nooit af zijn, hoort er een groeipad bij. Beschrijf welke verbeteringen al op de backlog staan, zoals story-telling tile’s die successen uitlichten, of integratie met budgetvolgsystemen zodat KPI’s naast financiële realisatie staan. Door halfjaarlijks een designreview te houden met externe experts blijft de vormgeving fris en toegankelijk. Tegelijkertijd bouw je een community van practice waarin analisten patronen delen, DAX-sjablonen hergebruiken en samen standaarden voor kleurgebruik en toegankelijkheid bewaken. Dat collectieve vakmanschap zorgt ervoor dat dashboards een duurzame voorziening worden in plaats van het hobbyproject van één enthousiast team.
Goede metrics maken beveiliging bestuurbaar. Ze tonen trend, doel, benchmark en impact; ze zijn geautomatiseerd, gecontroleerd en passen bij de volwassenheid van de organisatie. Begin met een compacte set KPI’s per verdedigingslaag, voeg outcomes en benchmarks toe, en bouw dashboards die net zo gemakkelijk leesbaar zijn voor een wethouder als voor een SOC-analist. Zo worden gesprekken over risico en investeringen gebaseerd op feiten in plaats van gevoel.