De NSA definieert Zero Trust — en jouw BIO2-audit heeft het nodig
AIEen klant vroeg me laatst: "Dennis, welk Zero Trust-framework moet ik nou écht gebruiken?" Het antwoord is niet NIST SP 800-207, dat is de theorie. Het antwoord is de NSA's Zero Trust Implementation Guidelines. .gov domein. National Security Agency. Als je dat citeert in een audit-dossier, is het gesprek voorbij.
En het mooie: de ZIG is geen whitepaper van 200 pagina's. Het is een operationeel, gefaseerd implementatiemodel met concrete capabilities per domein. Precies wat je nodig hebt als een BIO2-auditor vraagt "hoe ver is jullie Zero Trust-implementatie?"
Wat de NSA ZIG is, en wat niet
In de kern: Zero Trust is het idee dat je netwerk al gecompromitteerd is. Je vertrouwt niets, verifieert alles. Per request. Continu. De NSA vertaalt dit naar een implementatie-aanpak met drie onderdelen.
Een gefaseerd model. Discovery (waar sta je?), Phase One (fundament: identiteit, device trust, basis segmentatie), Phase Two (geavanceerd: dynamische policies, geautomatiseerde respons). Geen big bang. Geen "implementeer Zero Trust in één project."
Zeven pilaren. Geen abstracte principes, maar concrete domeinen met capabilities:
| Pilaar | Wat de NSA van je verwacht | NL-context |
|---|---|---|
| User | Identiteit, authenticatie, least privilege | DigiD, eHerkenning, IAM |
| Device | Endpoint security, posture assessment | MDM, BYOD, VDI |
| Application & Workload | Microsegmentatie, container security | Haven, FSC, cloud-platforms |
| Data | Classificatie, encryptie, DLP | AVG, dataminimalisatie |
| Network & Environment | Software-defined perimeters | Overheidsnetwerk-segmentatie |
| Automation & Orchestration | Policy-as-code, SOAR | AI-SDLC, agentic automation |
| Visibility & Analytics | SIEM, UEBA, continuous monitoring | SOC-modernisering |
Technology mapping. 117 technologieën gemapt naar 42 capabilities. Filterbaar op pilaar, fase, en capability. Praktische vraag: "Welke technologie dekt welke requirement?" De matrix geeft antwoord.
Cybersecurity Information Sheets (CSIs). Per pilaar een concreet PDF-document. Geen algemene adviezen, implementatie-handleidingen. Bijvoorbeeld de "Advancing Zero Trust Maturity Throughout the Application and Workload Pillar" uit mei 2024.
Dit is geen theoretisch model waar je een consultant voor nodig hebt om het te vertalen. Het ís de vertaling.
Waarom dit je BIO2-audit onweerlegbaar maakt
De BIO2 Baseline Informatiebeveiliging Overheid vereist Zero Trust-principes. Maar de BIO2 is een normenkader, het zegt wát je moet doen, niet hóe. De meeste organisaties die ik spreek, hebben moeite met die "hoe"-vraag.
De NSA ZIG is het antwoord. En het mooie: je citeert niet een vendor-whitepaper of een consultant-rapport. Je citeert de National Security Agency. Een .gov bron. In een audit-dossier met een CISO of een CIO is dat onweerlegbaar.
Dit is hoe ik het gebruik in mijn eigen BIO2-assessments:
- Discovery = BIO2-nulmeting. De NSA Discovery-fase is een gap-analyse. Precies wat je nodig hebt voor een BIO2-volwassenheidsmeting.
- 7 pilaren = BIO2-themagebieden. User → IAM. Data → AVG dataminimalisatie. Visibility & Analytics → logging en monitoring. De kruisverwijzing is bijna 1-op-1.
- Technology mapping = vendor-selectie. "Welke tool dekt BIO2-control 9.3.1?" De matrix maakt het antwoord verifieerbaar.
- CSIs = implementatieplan. Een CSI per pilaar is je BIO2-verbeterplan, al voorgekookt door de NSA.
De Bio2/NIS2-vertaling
Zeven pilaren, concreet gemapt naar de Nederlandse context:
- User → BIO2 H9 (Toegangsbeveiliging), DigiD, eHerkenning, MFA-vereisten
- Device → BIO2 H11.2 (Apparatuur), endpoint hardening
- Application & Workload → BIO2 H14 (Systeemontwikkeling), secure SDLC, container security
- Data → BIO2 H8 (Gegevensclassificatie), AVG dataminimalisatie
- Network → BIO2 H13 (Communicatiebeveiliging), netwerksegmentatie
- Automation & Orchestration → BIO2 H12 (Beveiliging bedrijfsvoering), incident response
- Visibility & Analytics → BIO2 H12.4 (Logging en monitoring), NIS2-meldplicht
Voor NIS2's supply-chain security en risk management biedt het framework concrete controls. Geen theoretische "manage your risk", maar "implementeer deze 42 capabilities in deze volgorde."
Wat er nog niet in zit
De ZIG is geschreven vóór de AI-explosie. Er is geen pilaar voor AI-agent security, geen guidance voor model governance, geen Zero Trust voor LLM-toegang. Dat is geen kritiek, het is een kans.
Agentic Zero Trust is het volgende domein. Hoe verifieer je een AI-agent per request? Hoe beperk je tool-toegang op least privilege? Hoe log je agent-beslissingen op transparante wijze? De NSA ZIG geeft het framework, de AI-laag erbovenop is waar DjimIT het verschil maakt.
Het praktische voordeel voor jouw organisatie
Stel: je hebt een BIO2-audit over zes maanden. Je CISO is nerveus. Je hebt geen idee waar te beginnen met Zero Trust. Mijn aanpak:
- Download de NSA ZIG Discovery-fase en een CSI per relevante pilaar
- Draai een BIO2-Zero Trust gap-analyse: welke van de 42 capabilities heb je al, welke niet?
- Prioriteer Phase One capabilities voor je eerste BIO2-verbeterronde
- Documenteer je aanpak met de NSA ZIG als normatief kader, citeerbaar, verifieerbaar, en
.gov
Dat is een BIO2-audit waar een auditor niet doorheen prikt. Niet omdat je het perfect hebt geïmplementeerd, omdat je kunt aantonen dat je een gedegen, gefaseerd, en internationaal gevalideerd framework volgt.
De NSA ZIG is te vinden op nsa.gov/Cybersecurity/ZIG. De pagina's zijn openbaar, de PDF's gratis te downloaden, en de technology mapping is interactief doorzoekbaar.
AI & Security Intelligence
Wekelijkse nieuwsbrief met AI updates, security alerts en compliance inzichten, direct in uw inbox.
Security & AI Operating Model
Advisory met executiekracht
Van BIO2 en NIS2 tot EU AI Act, embedded in uw operating model, niet als extern project. Maandelijks opzegbaar, met assessments als bewijsvoering.