Een cybersecurity maturity model is geen vragenlijst die je één keer per jaar invult voor een rapportage aan de board. Het is een diagnostisch instrument waarmee CISO’s en CTO’s preciezer kunnen zien waar hun organisatie staat, welke volgende stap haalbaar is, en wat die stap concreet vereist aan mensen, processen en technologie. Voor leiders die in 2026 hun security-investeringen willen onderbouwen, levert een goed gebruikt volwassenheidsmodel meer richting op dan elk vendor-pitch deck.
Het model dat we hier gebruiken kent vijf niveaus en is geënt op de gangbare CMMI-benadering en het NIST Cybersecurity Framework 2.0. Per niveau bekijken we niet alleen wat er op papier moet staan, maar vooral wat je team moet kennen en kunnen. Want hoe je een niveau ook beschrijft, het bestaat alleen als de mensen die het uitvoeren de juiste vaardigheden hebben. Dat is de sleutel-inzicht waarmee een werkbare cybersecurity assessment begint.
Waarom een cybersecurity maturity model meer doet dan jouw scorebord verbeteren
Een goed cybersecurity maturity model heeft drie functies tegelijk. Eerst: een gemeenschappelijke taal binnen het bedrijf. Wanneer de board, IT-leiding, business-eenheden en security-team allemaal naar hetzelfde 5-niveau-model kijken, verdwijnt het deel van de discussies dat alleen over terminologie ging. Tweede functie: een routekaart voor investering. Een organisatie op niveau 2 die naar niveau 3 wil, weet welke specifieke capaciteiten ontbreken en kan daarop gericht inkopen, aannemen en opleiden, in plaats van breed in alle richtingen tegelijk.
Derde functie: een meetinstrument over de tijd. Wanneer je deze cybersecurity assessment jaarlijks herhaalt met dezelfde criteria, zie je voortgang of stilstand objectief. Het NIST Cybersecurity Framework 2.0, gepubliceerd door het National Institute of Standards and Technology op 26 februari 2024, hanteert vier Implementation Tiers van Partial tot Adaptive met deze meet-functie expliciet als doel. NIST CSF 2.0 voegde een zesde core function toe (Govern) om bestuurlijke aansturing van security meetbaar te maken, en wordt inmiddels in meer dan 185 landen als benchmark gebruikt.
Niveau 1: Reactief, incidenten gebeuren, je leert achteraf
Een organisatie op niveau 1 van het cybersecurity maturity model reageert op security pas wanneer er iets misgaat. Er zijn enkele losse tools (een antivirus, een firewall, misschien een EDR), maar geen centrale registratie van wat ze melden. Een phishing-incident wordt afgehandeld door wie er net beschikbaar is. Een ransomware-aanval onthult dat er geen back-up-strategie is. Het kenmerkende patroon: elke maand is anders, omdat elke aanpak ad hoc wordt verzonnen. Het Nederlandse Cybersecuritybeeld 2025 van het NCSC stelt expliciet dat veel organisaties hun digitale basishygiëne nog niet op orde hebben, en dat het juist die basis is die succes of falen bepaalt.
Op dit niveau heb je geen security-team in functionele zin. Misschien is er één persoon die security ‘erbij doet’, vaak een systeembeheerder of een externe IT-partner. De volgende stap is niet ‘meer tooling kopen’, dat versterkt alleen de chaos. De volgende stap is iemand verantwoordelijk maken voor security met genoeg tijd en kennis om dat serieus uit te voeren, plus minstens drie weken gestructureerde praktijkgerichte cybersecurity-opleiding om de basis op te bouwen.
Niveau 2: Beheerst, basisprocessen staan, maar inconsistent
Op niveau 2 van het cybersecurity maturity model bestaat er een security-rol of klein team, en er staan basisprocessen op papier: patch-management, incident-respons, access-management. Het probleem: ze worden ongelijk uitgevoerd. De ene afdeling patcht op tijd, een andere niet. Er bestaat een incident-respons-plan, maar het is sinds de schrijfdatum nog niet geoefend. Toegangsrechten worden uitgereikt zonder structurele periodieke review. Volgens het ISACA 2024 State of Cybersecurity-onderzoek geeft 51 procent van security-professionals aan dat hun budget onvoldoende is en 57 procent dat hun team onderbemand is. Veel niveau-2 organisaties zitten precies in die mismatch tussen ambitie en capaciteit.
Het team op dit niveau heeft typisch één tot drie mensen met security als hoofdtaak, vaak met IT-achtergrond zonder formele security-opleiding. De volgende stap is standaardisatie: dezelfde processen op dezelfde manier uitvoeren, ongeacht wie aan het stuur zit. Dat vereist documentatie, maar vooral training. Een werkbare aanpak van information security structureel verbeteren via opleiding begint hier, omdat zonder gemeenschappelijke kennis-basis standaardisatie alleen op papier bestaat.
Niveau 3: Gedefinieerd, gestandaardiseerd, getraind, herhaalbaar
Niveau 3 in elk cybersecurity maturity model is waar de meeste mid-market organisaties op willen uitkomen, en waar veel grote organisaties verkeerd denken te staan terwijl ze feitelijk niveau 2 zijn. Op niveau 3 staan processen niet alleen op papier, ze worden ook daadwerkelijk uniform uitgevoerd door alle teamleden. Er is een SOC of een vergelijkbare functie die alerts triëert volgens vastgestelde criteria. Incident response is geoefend in scenario’s, niet alleen geschreven. Detection-regels worden centraal beheerd en geüpdate.
Het team op dit niveau heeft typisch vijf tot vijftien mensen, met heldere rolverdeling tussen tier-1, tier-2, en gespecialiseerde functies zoals threat hunter of detection engineer. Belangrijke vereiste op dit niveau: continue training. Standaard cybersecurity-cursussen leveren de eerste basis, maar het verschil tussen een klassikale cursus en simulatie-gebaseerd oefenen wordt zichtbaar in hoe consistent het team onder druk presteert. Voor verschillende cybersecurity-functies in Nederland is niveau 3 ook het punt waarop carrièrepaden binnen het team realistisch worden, wat retentie aanzienlijk verbetert.
Niveau 4: Gemeten, data-gedreven, voorspelbaar, gebenchmarkt
Op niveau 4 van het cybersecurity maturity model wordt security gemanaged op meetbare uitkomsten in plaats van op uitgevoerde activiteiten. Het verschil is fundamenteel: niveau 3 weet ‘we hebben incident response georganiseerd’, niveau 4 weet ‘onze gemiddelde tijd tot detectie is 14 uur, onze gemiddelde tijd tot containment is 6 uur, onze false-positive ratio is 23 procent en daalt’. Die metrics worden gemeten, gerapporteerd en gestuurd. Beslissingen over investeringen worden onderbouwd met data uit de eigen organisatie in plaats van met algemene benchmarks.
Het team op dit niveau heeft typisch een dedicated SOC met tien of meer mensen, een eigen detection engineering capaciteit, en een security architect die meet welke maatregelen werken. Op dit niveau is het verschil tussen ‘medewerker getraind’ en ‘medewerker presteert’ meetbaar geworden, en wordt training een meetbare investering in plaats van een kostenpost. Een effectieve structurele security-strategie via opleiding vereist op dit niveau dat trainings-uitkomsten worden gemeten in dezelfde metrics als de rest van de security-organisatie.
Niveau 5: Optimaliserend, continue verbetering, proactieve detectie
Niveau 5 van het cybersecurity maturity model is in de praktijk zeldzaam buiten de grootste organisaties en gespecialiseerde sectoren zoals financial services, defensie en high-tech. Op dit niveau is security niet alleen reactief en gemeten, maar proactief: bedreigingen worden voorspeld op basis van threat intelligence en eigen telemetrie, en verdedigingen worden vooraf aangepast. Threat hunting is geen incidentele activiteit maar een continue functie. Tooling wordt voortdurend bijgesteld op basis van waarnemingen, en het hele apparaat leert van elk incident.
Het team op dit niveau heeft gespecialiseerde rollen voor adversary emulation, purple teaming, en threat intelligence. Het belangrijke punt: niveau 5 betekent niet ‘meer mensen’ maar ‘andere mensen’. De vaardigheden die niveau-5 effectief maken (offensieve denkwijze, hypothese-onderzoek, communicatie met onderzoekers wereldwijd) zijn niet automatisch te bereiken door promotie van niveau-4 analisten. Ze vereisen gerichte training, vaak buiten de organisatie, en een werving-strategie die andere persoonlijkheidstypen aantrekt dan de procesmatige tier-1 of tier-2 analist.
Wat je security volwassenheid organisatie nu beperkt
De meeste organisaties identificeren hun beperking verkeerd. Wie naar zichzelf kijkt vanuit een tools-perspectief denkt ‘we hebben de verkeerde SIEM’ of ‘we missen een UEBA-platform’. Wie naar zichzelf kijkt vanuit een proces-perspectief denkt ‘onze procedures zijn niet strak genoeg’. In de praktijk is voor de meeste organisaties de beperkende factor de security volwassenheid organisatie-breed in termen van wat mensen kunnen, niet wat tools doen of wat procedures voorschrijven.
Een eerlijke zelfdiagnose stelt vier vragen. Eerst: kan een random teamlid om 21:00 uur op een werkdag dezelfde escalatiekeuze maken die een ervaren collega zou maken? Tweede: weten je analisten waarom een specifieke detection-regel bestaat, of voeren ze hem uit zonder de logica te kennen? Derde: is er een formele training-cyclus voor het hele team, of gebeurt opleiding ad hoc per persoon? Vierde: kun je de verschillen tussen jouw team en industrie-benchmark op concrete metrics laten zien? Eerlijke antwoorden op deze vragen vertellen meer over je werkelijke niveau dan elk extern audit-rapport.
Hoe Trivian helpt bij cybersecurity assessment en niveau-doorgroei
Bij Trivian benaderen we het cybersecurity maturity model niet als rapportage-instrument maar als trainings-routekaart. Onze cybersecurity bootcamp voor bedrijven is gestructureerd rond exact deze niveau-progressie: welke vaardigheden hebben mensen nodig om van niveau 2 naar niveau 3 te bewegen, of van niveau 3 naar niveau 4. Dat betekent dat we starten met een korte cybersecurity assessment van waar je team feitelijk staat, niet waar je organisatie op papier denkt te staan. Het verschil tussen die twee is voor de meeste mid-market organisaties twee tot drie tienden van een volwassenheidsniveau.
Wat samenwerking met Trivian rond een cybersecurity maturity model voor CISO’s en CTO’s concreet inhoudt: een trainings-plan dat aansluit bij de daadwerkelijke vaardigheden-gap, scenario-oefeningen die de operationele standaarden van het volgende niveau introduceren, en periodieke benchmarks tegen branchedata. Voor organisaties die structureel willen investeren in deze team-capaciteit, werken we vanaf de bestaande samenstelling van het security-team in plaats van een uniform niveau-3 curriculum op te leggen aan een feitelijk niveau-2 organisatie.
Een werkbaar cybersecurity maturity model herken je aan twee dingen: het is bestuurbaar (je kunt elke vereiste vertalen naar een concrete capaciteit), en het is verdedigbaar (je kunt elke investering linken aan een verwachte niveau-progressie). Wie deze twee combineert, transformeert security van een onbestuurde kostenpost in een meetbaar groeitraject. Plan een adviesgesprek om te bespreken hoe een gericht trainingsplan voor jouw team op het volgende niveau eruit kan zien, en welke concrete stappen het verschil maken in de komende twaalf maanden.



