Een NIS2-gap analyse is een gestructureerde beoordeling waarbij je de huidige cybersecuritysituatie van je organisatie vergelijkt met de eisen uit de NIS2-richtlijn, om zo te bepalen waar nog tekortkomingen bestaan. Het resultaat is een helder overzicht van wat er al goed gaat en welke maatregelen nog ontbreken of versterkt moeten worden. In dit artikel beantwoorden we de meest gestelde vragen over het uitvoeren van een NIS2 gap analyse: van wie er verplicht is tot de meest voorkomende tekortkomingen die zo’n analyse blootlegt.
Wat houdt een NIS2-gap analyse precies in?
Een NIS2-gap analyse is een nulmeting van de cybersecurityvolwassenheid van je organisatie, afgezet tegen de verplichtingen uit de NIS2-richtlijn en de Nederlandse Cyberbeveiligingswet (Cbw). De analyse brengt systematisch in kaart welke maatregelen al zijn getroffen, welke gedeeltelijk zijn ingevoerd en welke nog volledig ontbreken. Het eindresultaat is een concreet actieplan voor NIS2 compliance.
De NIS2-richtlijn verplicht organisaties om passende technische en organisatorische maatregelen te nemen op basis van een risicobeoordeling. Een gap analyse vormt daarvoor het fundament: zonder te weten waar je nu staat, kun je niet bepalen welke stappen nodig zijn. De analyse kijkt niet alleen naar technische beveiligingsmaatregelen, maar ook naar beleid, processen, bestuurlijke verantwoordelijkheid en de beveiliging van de toeleveringsketen.
Wat een NIS2 gap analyse onderscheidt van een gewone cybersecurity analyse is de specifieke normering waaraan wordt getoetst. De NIS2-richtlijn hanteert minimummaatregelen die voor alle betrokken organisaties gelden, aangevuld met sectorspecifieke vereisten. Voor overheidsorganisaties is dat de Baseline Informatiebeveiliging Overheid 2 (BIO2), die wettelijk verankerd is als het normenkader onder de Cbw.
Welke organisaties zijn verplicht een NIS2-gap analyse te doen?
Elke organisatie die onder de Cyberbeveiligingswet valt, is verplicht te voldoen aan de NIS2-zorgplicht. Hoewel de wet geen expliciete verplichting tot het uitvoeren van een gap analyse noemt, is zo’n analyse in de praktijk onmisbaar om aan te tonen dat je de vereiste risicogebaseerde aanpak hanteert. In Nederland vallen naar schatting ruim 10.000 organisaties rechtstreeks onder de NIS2.
De Cyberbeveiligingswet onderscheidt twee categorieën: essentiële en belangrijke entiteiten. Alle gemeenten, provincies en waterschappen worden aangemerkt als essentiële entiteiten. Ook de centrale overheid, departementen, agentschappen en ZBO’s die onder de Kaderwet ZBO’s vallen, zijn essentieel. Buiten de overheid gaat het om organisaties in sectoren zoals energie, transport, drinkwater, digitale infrastructuur en de gezondheidszorg.
Organisaties zijn zelf verantwoordelijk om te bepalen of ze onder de wet vallen. Nuttige hulpmiddelen daarvoor zijn de NIS2 Zelfevaluatietool via regelhulpenvoorbedrijven.nl en de Flowchart Registratieplicht van het NCSC. Naast de direct betrokken organisaties krijgen ook toeleveranciers en ketenpartners te maken met NIS2-eisen, omdat de zorgplicht uitdrukkelijk supply chain security omvat. Bedrijven die aan NIS2-plichtige organisaties leveren, worden daardoor indirect ook geraakt.
Enkele categorieën zijn uitgezonderd van de wet, waaronder het Ministerie van Defensie, de AIVD, de MIVD, de politie en de rechterlijke macht. Organisaties die slechts zijdelings te maken hebben met nationale veiligheid vallen wel gewoon onder de richtlijn.
Hoe voer je een NIS2-gap analyse stap voor stap uit?
Een NIS2 gap analyse uitvoeren verloopt in vijf opeenvolgende stappen: bepaal de toepasselijkheid, breng de huidige situatie in kaart, toets aan de NIS2-vereisten, identificeer de gaps en stel een prioriteitenplan op. Elke stap bouwt voort op de vorige en zorgt samen voor een volledig en bruikbaar beeld van de NIS2 compliance-status.
Stap 1: Bepaal de toepasselijkheid en reikwijdte
Bevestig eerst formeel of je organisatie onder de Cyberbeveiligingswet valt en in welke categorie ze valt: essentieel of belangrijk. Breng ook de reikwijdte van de analyse vast: welke systemen, processen en diensten zijn in scope? Denk daarbij aan kritieke bedrijfsprocessen, afhankelijkheden van leveranciers en de digitale infrastructuur die de continuïteit van dienstverlening draagt.
Stap 2: Breng de huidige situatie in kaart
Documenteer welke beveiligingsmaatregelen al aanwezig zijn. Dit omvat technische maatregelen zoals toegangsbeveiliging, encryptie en multi-factorauthenticatie, maar ook organisatorische maatregelen zoals beleid voor risicoanalyse, incidentrespons en bedrijfscontinuïteit. Interviews met sleutelfunctionarissen en een review van bestaande documentatie vormen hierbij een belangrijke informatiebron. Voor overheidsorganisaties biedt het BIO Self Assessment (BIO-SA) een goed startpunt.
Stap 3: Toets aan de NIS2-vereisten
Vergelijk de huidige situatie met de verplichte maatregelen uit de NIS2-richtlijn en de Cyberbeveiligingswet. Het ministerie van BZK heeft een mapping gepubliceerd die inzichtelijk maakt welke NIS2-maatregelen verplicht, optioneel of situationeel zijn en hoe ze zich verhouden tot de NEN-EN-ISO/IEC 27002 en de huidige BIO. Gebruik deze mapping als referentiekader voor de toetsing. Bij compliance en beleid gaat het niet alleen om het aanvinken van maatregelen, maar om aantoonbare implementatie.
Stap 4: Identificeer en documenteer de gaps
Leg per vereiste vast of de maatregel volledig is geïmplementeerd, gedeeltelijk aanwezig is of volledig ontbreekt. Voeg voor elke gap een risicoduiding toe: hoe groot is de kans op een incident als deze gap niet wordt gedicht, en wat zijn de mogelijke gevolgen? Deze risicoduiding bepaalt later de prioritering van maatregelen.
Stap 5: Stel een prioriteitenplan op
Vertaal de geïdentificeerde gaps naar een concreet actieplan met eigenaarschap, doorlooptijden en benodigde middelen. Prioriteer op basis van risico: begin met maatregelen die de grootste kwetsbaarheden dichten. Vergeet daarbij de toeleveringsketen niet: de NIS2-zorgplicht vereist ook inzicht in de cybersecuritymaatregelen van leveranciers.
Welke NIS2-domeinen komen aan bod tijdens een gap analyse?
Tijdens een NIS2 gap analyse worden alle domeinen beoordeeld die de NIS2-richtlijn als minimummaatregelen aanmerkt. Dit zijn zowel technische als organisatorische domeinen die samen de cybersecurityweerbaarheid van een organisatie bepalen.
De voornaamste domeinen die aan bod komen zijn:
- Risicoanalyse en beveiligingsbeleid: Heeft de organisatie een formeel beleid voor het identificeren en beheren van cyberrisico’s?
- Bedrijfscontinuïteit en crisisbeheer: Zijn er procedures voor herstel na een incident, inclusief back-upbeheer en noodplannen?
- Supply chain security: Zijn de cybersecuritymaatregelen van leveranciers en ketenpartners in kaart gebracht en contractueel geborgd?
- Beveiliging van systemen: Worden systemen veilig verworven, ontwikkeld en onderhouden, inclusief patchmanagement?
- Cryptografie en encryptie: Is er beleid voor het gebruik van versleuteling en worden sleutels adequaat beheerd?
- Toegangsbeveiliging en personeelsbeveiliging: Zijn toegangsrechten gebaseerd op het need-to-know principe en worden medewerkers gescreend en getraind?
- Multi-factorauthenticatie: Wordt MFA toegepast op kritieke systemen en beheerdersaccounts?
- Incidentdetectie en meldplicht: Zijn er processen om incidenten tijdig te detecteren en binnen de wettelijke termijnen te melden bij de bevoegde autoriteiten?
- Bestuurlijke verantwoordelijkheid: Heeft het bestuur voldoende kennis van cybersecurity en is de verantwoordelijkheid formeel belegd?
Voor organisaties waarbij geavanceerde dreigingen een reële factor zijn, kan het zinvol zijn om naast een gap analyse ook een red team assessment te overwegen, om te testen of de bestaande maatregelen ook in de praktijk standhouden.
Hoe lang duurt een NIS2-gap analyse gemiddeld?
Een NIS2 gap analyse duurt gemiddeld tussen de twee en zes weken, afhankelijk van de omvang van de organisatie, de complexiteit van de IT-omgeving en de beschikbaarheid van bestaande documentatie. Voor kleinere organisaties met een overzichtelijke infrastructuur kan een analyse sneller worden afgerond; voor grote of complexe organisaties met meerdere vestigingen of uitgebreide leveranciersketens neemt het meer tijd in beslag.
De doorlooptijd wordt ook bepaald door de mate van voorbereiding. Organisaties die al beschikken over actueel beleid, een recente risicoanalyse en goed bijgehouden systeeminventarisaties kunnen de analyse aanzienlijk versnellen. Organisaties die nog nauwelijks met geformaliseerde cybersecurity bezig zijn, moeten rekening houden met een langere doorlooptijd omdat er meer basiswerk nodig is voordat de toetsing kan beginnen.
Een praktische vuistregel: plan voor de daadwerkelijke analyse twee tot drie weken in, en reserveer daarna nog een tot twee weken voor het opstellen van het rapport en actieplan. De inwerkingtreding van de Cyberbeveiligingswet wordt verwacht in Q2 2026, wat betekent dat organisaties die nog niet zijn gestart weinig tijd te verliezen hebben.
Wat zijn de meest voorkomende tekortkomingen die een NIS2-gap analyse blootlegt?
De meest voorkomende tekortkomingen die een NIS2 gap analyse aan het licht brengt zijn: onvoldoende formeel beleid voor risicoanalyse, gebrekkige supply chain beveiliging, ontbrekende of onvolledige incidentresponsprocedures en beperkte bestuurlijke betrokkenheid bij cybersecurity. Dit zijn structurele zwaktes die in vrijwel alle sectoren terugkomen.
Meer specifiek zien we de volgende tekortkomingen regelmatig opduiken:
- Onvoldoende risicogebaseerd beleid: Veel organisaties hebben technische maatregelen getroffen, maar missen een formeel gedocumenteerd beleid dat de risicoafwegingen onderbouwt.
- Blinde vlekken in de toeleveringsketen: Organisaties weten vaak niet welke cybersecuritystandaarden hun leveranciers hanteren, terwijl de NIS2-zorgplicht dit uitdrukkelijk vereist.
- Incompleet incidentbeheer: Procedures voor detectie en respons bestaan soms op papier, maar zijn niet getest of niet actueel. De NIS2 vereist melding van significante incidenten binnen 24 uur, wat strakke interne processen vergt.
- Onvoldoende MFA-implementatie: Multi-factorauthenticatie ontbreekt nog regelmatig op kritieke systemen, beheerdersaccounts of externe toegangspunten.
- Gebrekkige bestuurlijke kennis: Bestuurders zijn formeel verantwoordelijk voor de cyberweerbaarheid van hun organisatie, maar beschikken vaak niet over de kennis om weloverwogen beslissingen te nemen. Training van de politieke en bestuurlijke leiding is een veelgehoorde aanbeveling na een gap analyse.
- Ontbrekende continuïteitsplannen: Back-upprocedures en herstelplannen zijn aanwezig, maar worden zelden getest op effectiviteit in een realistisch incidentscenario.
- Verouderde systemen zonder patchbeleid: Systemen die niet meer worden ondersteund door de leverancier vormen een structureel risico dat in gap analyses veelvuldig naar voren komt.
Een penetratietest kan na de gap analyse helpen om technische kwetsbaarheden verder te verdiepen en te prioriteren op basis van daadwerkelijke exploiteerbaarheid.
Hoe Q-Cyber helpt met een NIS2-gap analyse
Wij begeleiden organisaties van begin tot eind door het NIS2-traject: van de eerste oriëntatie tot een volledig uitgewerkt actieplan. Onze aanpak combineert technische diepgang met beleidsmatige expertise, zodat de gap analyse niet alleen tekortkomingen identificeert maar ook direct vertaalt naar uitvoerbare maatregelen.
Wat wij concreet bieden:
- NIS2 gap analyse op maat: We toetsen uw organisatie aan de NIS2-vereisten en relevante normenkaders zoals de BIO2, en leveren een helder rapport met geprioriteerde bevindingen.
- Beleidsschrijving en implementatieadvies: We schrijven beleid dat aansluit op uw specifieke risicoprofiel en helpen bij de daadwerkelijke implementatie van maatregelen.
- Bestuurderstrainingen: We verzorgen trainingen voor het management en de politieke leiding, zodat zij hun verantwoordelijkheid onder de Cyberbeveiligingswet kunnen waarmaken.
- Virtuele CISO via Continuous-Q®: Via ons Continuous-Q programma bieden we doorlopende begeleiding door een team van specialisten, zodat NIS2-compliance geen eenmalig project wordt maar een levende capaciteit binnen uw organisatie.
- Onafhankelijk en transparant: We werken zonder binding aan softwarepartijen of toeleveranciers, zodat ons advies altijd in uw belang is.
Wacht niet tot de Cyberbeveiligingswet in werking treedt. De risico’s zijn er nu al, en wie nu begint staat straks sterker. Neem contact op en ontdek hoe we uw organisatie snel en pragmatisch op weg helpen.