Gap-analyse & Nulmeting — ontdek waar uw organisatie écht staat
Weet u waar uw organisatie vandaag staat op het gebied van informatiebeveiliging en compliance? Met een gap-analyse brengen wij risico’s, hiaten en prioriteiten helder in beeld — als eerste stap naar aantoonbare digitale weerbaarheid.
Wij toetsen uw situatie aan NIS2, de Cyberbeveiligingswet (CBW) en ISO 27001 — en leveren een heldere compliance-score en prioriteitenplan waarmee u direct aan de slag kunt.
Waarom starten met een gap-analyse?
Regelgeving zoals NIS2, de Cyberbeveiligingswet (CBW) en ISO 27001 verplichten steeds meer organisaties om hun digitale weerbaarheid aantoonbaar te versterken. Niet alleen vitale sectoren zoals energie en zorg vallen hieronder, maar ook productiebedrijven, logistieke organisaties, ICT-dienstverleners en hun leveranciers.
Veel organisaties weten nog niet exact wat deze kaders concreet betekenen voor hun processen, systemen en ketenafspraken. Voldoet uw organisatie al aan de eisen, of zijn er risico’s die kunnen leiden tot boetes, reputatieschade of verstoring van kritieke processen?
Een gap-analyse is de snelste manier om dit inzichtelijk te maken. Wij brengen in kaart waar u nu staat, welke onderdelen al voldoen en waar nog risico’s of hiaten zitten — ongeacht of het gaat om NIS2, CBW of ISO 27001. Met dit inzicht kunt u gericht werken aan aantoonbare compliance en structurele digitale weerbaarheid.
Een gap-analyse vormt altijd het vertrekpunt voor een effectief implementatieplan.
Wat levert een gap-analyse concreet op?
Na afloop ontvangt u een rapport dat direct bruikbaar is voor bestuur, auditors en toezichthouders.
Wij brengen kwetsbaarheden in kaart binnen beleid, processen, IT-systemen en leveranciersafspraken. Daarnaast ontvangt u een duidelijke compliance-score die laat zien hoe volwassen uw organisatie is ten opzichte van het van toepassing zijnde kader — NIS2, CBW of ISO 27001.
Het rapport bevat een praktische roadmap met prioriteiten en maatregelen, zodat u direct weet waar u moet starten. Ook afhankelijkheden in de keten en externe risico’s worden inzichtelijk gemaakt. U ontvangt geen theoretisch rapport, maar een werkdocument waarmee u direct stappen kunt zetten richting aantoonbare compliance.
Wilt u weten hoe dit zich vertaalt naar leveranciersmanagement? Lees verder op onze pagina over ketenverantwoordelijkheid.
Hoe werkt onze Gap-analyse?
Stap 1 – Interview & documentatie
We starten met intakegesprekken en een analyse van bestaand beleid, procedures, contracten en technische documentatie. We toetsen deze aan de eisen van het toepasselijke kader (NIS2, CBW of ISO 27001) en bepalen samen de scope: welke processen, afdelingen en leveranciers worden meegenomen.
Stap 2 – On-site observatie
Onze experts kijken naar de praktijk. Hoe wordt beleid toegepast op de werkvloer? Welke maatregelen zijn operationeel? Waar zitten kwetsbaarheden? Ook ketenafspraken en leverancierssturing worden meegenomen.
Stap 3 – Analyse & rapportage
Alle bevindingen worden verwerkt in een overzichtelijk rapport met risico’s, quick wins en structurele verbeterpunten. Inclusief prioriteitenmatrix en een format dat direct bruikbaar is richting bestuur, auditors en toezichthouders.
Voor welke organisaties is een gap-analyse relevant?
Een gap-analyse is relevant voor elke organisatie die inzicht wil in haar cybersecurity-volwassenheid — of dat nu voortkomt uit een wettelijke verplichting zoals NIS2 of de Cyberbeveiligingswet, een ISO 27001-certificeringstraject, of simpelweg de wil om aantoonbaar goed beveiligd te zijn. Niet elke organisatie hoeft een wet te volgen om baat te hebben bij weten waar ze staat.
In de praktijk zien we dat dit speelt bij organisaties in energie en transport, bij zorginstellingen en farmaceutische bedrijven, maar net zo goed bij cloudproviders, softwareleveranciers en IT-dienstverleners. Ook productiebedrijven en logistieke organisaties krijgen steeds vaker te maken met compliance-verplichtingen, omdat zij onderdeel zijn van kritieke digitale ketens.
Bent u leverancier van een organisatie die onder NIS2 of CBW valt, of wilt u een ISO 27001-certificering behalen? Dan is een gap-analyse de juiste eerste stap. Met de uitkomsten voorkomt u verrassingen bij audits of klantvragen en bouwt u aantoonbare compliance op die standhoudt richting klanten, auditors en toezichthouders.
Meer weten? Bekijk onze diensten pagina Cyber Consulting.
Veelgestelde vragen over de gap-analyse
Hoe lang duurt een gap-analyse?
Een gap-analyse bestaat uit een combinatie van interviews, documentreview en een eindrapportage. Gemiddeld zijn wij één dag bij u op locatie aanwezig voor inventarisatie en gesprekken. Daarna verwerken wij de bevindingen in een analyse en adviesrapport. Dit kost doorgaans enkele werkdagen, afhankelijk van de omvang van uw organisatie en de complexiteit van processen.
Is een gap-analyse verplicht?
Formeel is een gap-analyse niet in de wet vastgelegd, maar in de praktijk is het de meest efficiënte manier om inzicht te krijgen in waar u staat. Zonder gap-analyse ontbreekt vaak een duidelijk vertrekpunt, waardoor verbeterplannen versnipperd raken en compliance moeilijk aantoonbaar wordt. Met een gap-analyse bouwt u een solide basis om gericht beleid, technische maatregelen en rapportageverplichtingen in te voeren.
Wat is het verschil tussen een gap-analyse en een audit?
Een audit toetst achteraf of u daadwerkelijk voldoet aan vastgestelde normen en richtlijnen. Een gap-analyse daarentegen kijkt juist naar de huidige situatie en brengt in kaart welke hiaten of risico’s er nog bestaan. Het is dus een voorbereidende en strategische stap die richting geeft aan verbeteringen, terwijl een audit de formele controle is. Met andere woorden: een gap-analyse vertelt u wat er nodig is om klaar te zijn voor een audit.
Wat als we al ISO 27001-gecertificeerd zijn?
ISO 27001 geeft een stevige basis voor informatiebeveiliging en overlapt deels met de NIS2-verplichtingen. Toch zijn er belangrijke verschillen: NIS2 legt nadruk op ketenverantwoordelijkheid, expliciete bestuursverantwoordelijkheid en verplichte rapportages bij incidenten. Ook back-upstrategieën en risicobeheer krijgen extra aandacht. Onze gap-analyse maakt inzichtelijk waar ISO 27001 reeds voorziet en waar aanvullende maatregelen nodig zijn om volledig NIS2-compliant te worden.
Hoe helpt de gap-analyse bij leveranciersmanagement?
NIS2 stelt ook eisen aan leveranciers en partners. In de gap-analyse kijken wij daarom in de basis hoe uw leveranciersmanagement is ingericht en of er zicht is op de belangrijkste risico’s en afspraken. Dit geeft u een eerste beeld of de fundamenten aanwezig zijn. Voor een diepgaande beoordeling van contractuele borging, ketenrisico’s en praktische implementatie verwijzen wij naar onze verdiepende dienst: Keten in kaart brengen .
Start vandaag met uw gap-analyse
Wilt u weten waar uw organisatie staat en welke stappen nodig zijn om aantoonbaar compliant te worden — voor NIS2, CBW of ISO 27001? Plan een vrijblijvend intakegesprek met een van onze experts. Binnen korte tijd heeft u inzicht in uw huidige status, risico’s en de route naar compliance.
Neem contact op