Wat is een NIS2 gap analyse?
Een NIS2 gap analyse is een systematisch onderzoek dat de huidige stand van jouw informatiebeveiliging vergelijkt met de eisen uit de NIS2-richtlijn. Het doel: inzicht krijgen in welke security-maatregelen je al op orde hebt, welke ontbreken en waar de grootste risico's liggen.
De NIS2-richtlijn (voluit: Network and Information Security Directive 2) stelt via de Nederlandse Cyberbeveiligingswet verplichtingen aan organisaties in 18 kritieke sectoren. Een gap analyse is de eerste, essentiële stap om te bepalen hoeveel werk er nog nodig is om compliant te worden.
Hoe werkt een NIS2 gap analyse?
Een professionele NIS2 gap analyse doorloopt doorgaans deze stappen:
1. Scope bepalen
Eerst wordt vastgesteld welke onderdelen van je organisatie onder NIS2 vallen. Ben je een "essentiële entiteit" of een "belangrijke entiteit"? Welke systemen, processen en data zijn in scope?
2. Huidige situatie in kaart brengen
De huidige technische en organisatorische maatregelen worden geïnventariseerd. Denk aan: beleidsdocumenten, toegangsbeheer, incident-response procedures, backup-strategie, supply chain management en awareness-programma's.
3. Toetsen aan NIS2 Artikel 21
NIS2 Artikel 21 beschrijft 10 domeinen waaraan organisaties moeten voldoen. Per domein wordt beoordeeld in hoeverre je huidige maatregelen voldoen aan de eisen. Dit levert een overzicht op van "groene" (voldoet), "oranje" (deels) en "rode" (ontbreekt) controls.
4. Risicoanalyse en prioritering
Niet elke gap is even urgent. Een NIS2 risicoanalyse bepaalt welke tekortkomingen het grootste risico vormen voor je organisatie. Zo kun je gericht investeren in de maatregelen die het meeste verschil maken.
5. Roadmap en actieplan
Het eindresultaat is een concreet NIS2 actieplan met geprioriteerde maatregelen, verantwoordelijken, tijdlijnen en geschatte inspanning. Dit vormt de basis voor je NIS2 compliance traject.
Waarom heb je een NIS2 gap analyse nodig?
Zonder gap analyse werk je blind. Je weet niet waar je staat, wat er ontbreekt en waar je budget het hardst nodig is. Een gap analyse voorkomt:
- Verspilling van budget aan maatregelen die je al op orde hebt
- Blinde vlekken in je beveiliging die bij een audit direct opvallen
- Onnodige vertraging doordat je halverwege het traject ontdekt dat er meer werk is dan verwacht
Daarnaast eist de Cyberbeveiligingswet dat je kunt aantonen dat je een systematische aanpak hebt gevolgd. Een gedocumenteerde gap analyse is daar het bewijs van.
NIS2 gap analyse laten maken
Een gap analyse kun je zelf uitvoeren als je de expertise in huis hebt, maar veel organisaties kiezen ervoor om een NIS2 specialist in te schakelen. Die brengt niet alleen kennis van de richtlijn mee, maar ook ervaring met vergelijkbare organisaties in jouw sector.
Bij PeopleRock is de NIS2 gap analyse onderdeel van ons NIS2 compliance traject. We combineren de analyse met een assessment van je Microsoft 365-omgeving, zodat we direct kunnen zien welke controls al via M365 gedekt worden. Het resultaat: een realistische roadmap die rekening houdt met wat je al hebt.
Hoelang duurt een NIS2 gap analyse?
Voor een organisatie met 50–250 medewerkers duurt een gap analyse doorgaans 2 tot 4 weken. Dit omvat interviews met key stakeholders, documentreview, technische checks en het opstellen van het rapport met actieplan.
Volgende stappen
Na de gap analyse begin je aan de daadwerkelijke NIS2 implementatie: het opzetten van ontbrekende documenten, het inrichten van technische maatregelen en het trainen van medewerkers. Bij PeopleRock begeleiden we je door al deze stappen — van gap analyse tot audit-ready.