Skip to main content
Een gap analyse is onmisbaar voor NIS2

Gap-analyse NIS2: ontdek je zwakke plekken en maak een actieplan


De komst van NIS2 voelt voor veel organisaties nog als onzeker aan. Je weet dat het eraan komt, je hoort erover, maar wat betekent het concreet voor jou? Een van de eerste en belangrijkste stappen is een gap-analyse: een systematische vergelijking tussen wat je nu hebt geregeld en wat er straks verplicht is. Zonder zo’n analyse tast je in het duister.

Wat is een gap-analyse eigenlijk?

Een gap-analyse laat zien hoe groot het gat is tussen de huidige situatie en de eisen van NIS2. Het is geen theoretische oefening, maar een praktische manier om inzicht te krijgen. Je bekijkt beleid, processen, techniek en governance, en legt die naast de verplichtingen die NIS2 met zich meebrengt.

Het resultaat is vaak confronterend. Veel organisaties ontdekken dat ze wel wat geregeld hebben; een firewall hier, een ISO-certificaat daar. maar dat het geheel nog te wankel is. Vooral de nieuwe nadruk op bestuurdersverantwoordelijkheid en leveranciersbeheer laat vaak hiaten zien.

Waarom een gap-analyse onmisbaar is

Zonder gap-analyse loop je in feite op goed geluk richting NIS2. Je hebt misschien een idee dat het “wel goed zit”, maar kunt het niet aantonen. En juist het aantonen wordt straks cruciaal: toezichthouders zullen bewijs willen zien. 
Een goede gap-analyse helpt je: 

  • Prioriteiten te stellen: je ziet welke tekortkomingen het meest urgent zijn.
  • Budget te onderbouwen: bestuurders willen harde cijfers, niet vage inschattingen.
  • Verantwoordelijkheid toe te wijzen: ieder verbeterpunt krijgt een eigenaar en een deadline.
  • Het verschil tussen een organisatie die NIS2 stressvol ervaart en een organisatie die er grip op heeft, zit vaak in dit ene document.

Hoe pak je een gap-analyse aan?

Het klinkt misschien simpel, maar een gap-analyse maken vraagt om een professionele aanpak. 

Bepaal de scope
Welke onderdelen van de organisatie vallen onder NIS2? Denk niet alleen aan je hoofdkantoor, maar ook aan dochterondernemingen, vestigingen of kritieke businessunits. Te smal kijken betekent gaten in je analyse, te breed kijken maakt het onwerkbaar. 

Vereisten verzamelen 
Gebruik de wettekst van NIS2 als startpunt, maar vertaal die naar praktische normen. Voor de meeste organisaties is ISO27001 een solide basis. Afhankelijk van je sector komt daar de BIO of NEN7510 bij. De Auditdienst Rijk (ADR) heeft inmiddels ook een concreet NIS2 control frame work gepubliceerd. (zie hun website) Deze normen maken de eisen concreter en helpen bij de toetsing. 

Huidige situatie analyseren 
Leg al je bestaande maatregelen vast. Beleid, procedures, awareness-trainingen, incidentprocessen, leverancierscontracten, audits. Kijk niet alleen naar techniek, maar ook naar cultuur: hoe bewust zijn medewerkers en bestuurders eigenlijk van risico’s? 

Gaps identificeren 
Vergelijk de twee lijsten en noteer waar je tekortschiet. Bijvoorbeeld: je hebt een incidentplan, maar geen proces om binnen 24 uur een melding te doen. Of je leverancierscontracten zeggen niets over beveiliging, terwijl je er wel afhankelijk van bent. 

Actieplan opstellen 
Maak een concreet plan met prioriteiten. Sommige dingen kunnen snel geregeld worden (bijvoorbeeld een meldprocedure opstellen). Andere punten vergen structureel werk, zoals leveranciersaudits of extra trainingen voor bestuurders.

Veelgemaakte fouten 

Ervaring leert dat er over de breedte vaak dezelfde fouten worden gemaakt. 

Te technisch insteken 
Een gap-analyse die alleen naar firewalls en patchmanagement kijkt, mist de kern. Governance en processen zijn minstens zo belangrijk. 

Vertrouwen op certificering 
Een ISO27001-certificaat is waardevol, maar geen garantie voor NIS2-compliance. Zie het als een stevig fundament, niet als eindstation. 

Geen opvolging 
Een gap-analyse die in de la verdwijnt, levert niets op. Het succes zit in opvolging en periodieke herziening.

Hoe diep moet je gaan?

Een gap-analyse hoeft geen encyclopedie te zijn. Het belangrijkste is dat je eerlijk kijkt en concrete acties formuleert. Een praktische methode is werken met een volwassenheidsmodel. Score jezelf per thema van 1 (niet aanwezig) tot 5 (continu verbeteren). Zo zie je in één oogopslag waar je staat én waar je heen moet.

De rol van bestuurders

NIS2 schuift veel verantwoordelijkheid naar de bestuurskamer. Bestuurders zijn eindverantwoordelijk en kunnen zelfs persoonlijk aansprakelijk worden gesteld. Een gap-analyse zonder hun betrokkenheid is dus zinloos. 
Leg de resultaten daarom voor aan de directie, inclusief de risico’s van niets doen. Een helder overzicht van gaten en prioriteiten maakt het makkelijker om budget en steun te krijgen.

Praktische tips

Gebruik bestaande audits: hergebruik bevindingen uit ISO-audits of interne controles. 
Betrek meerdere disciplines: IT, HR, inkoop en compliance zien allemaal andere risico’s. 
Schakel externe expertise in: een onafhankelijke blik ziet vaak meer. 
Maak het cyclisch: herhaal de analyse periodiek, want dreigingen en eisen veranderen. 

Dus...

Een gap-analyse klinkt misschien saai, maar het is een van de krachtigste instrumenten om grip te krijgen op NIS2. Het maakt de kloof zichtbaar en geeft je een routekaart naar verbetering. De echte vraag is dus niet óf je een gap-analyse moet doen, maar wanneer je ermee begint. En eerlijk: waarom zou je wachten?