contact

GAP-analyse op de maatregelen

GAP-analyse met diepgang

Renco Schoemaker is een ervaren adviseur informatiebeveiliging en privacy. Hij heeft tientallen nulmetingen, GAP-analyses en scans uitgevoerd. En hij is zeer vertrouwd met de BIO(2) en weet dus goed door te vragen waar nodig!

Neem direct contact op β†’ Check relevante content β†’
Achtergrond

Wat is de BIO versie 2?

De Baseline Informatiebeveiliging Overheid 2 is eind 2025 vastgesteld in het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO). De BIO2 wijkt op een aantal essentiΓ«le punten af van haar voorganger.

πŸ—οΈ Nieuwe structuur

Maatregelen zijn ingedeeld volgens de internationale NEN-EN-ISO/IEC 27002:2022

βš–οΈ Juridische grondslag

De BIO2 wordt regelgeving via de Cyberbeveiligingswet (Cbw), -besluit en -regeling.

πŸ‡ͺπŸ‡Ί NIS2-afstemming

Inhoudelijk in lijn gebracht met NIS2-richtlijn, specifiek art. 21 over cyberbeveiliging.

πŸ”„ ISMS verplicht

Het managementsysteem moet worden toegepast conform NEN-EN-ISO/IEC 27001

🧭

Inzicht geven en prioriteiten stellen

Veel organisaties zien door de bomen (maatregelen) het bos (in control komen) niet meer. Een degelijk uitgevoerde GAP-analyse biedt inzicht in 'wat er nog moet gebeuren' om te voldoen aan de BIO2-overheidsmaatregelen. Op basis hiervan stel je een jaarplan op met geprioriteerde maatregelen. Alternatief is een volwassenheidsmeting. Ook een GAP-analyse op het ISMS is mogelijk.

Aanpak
Het stappenplan van qeep IT safe
Β 
1

Vooronderzoek en afbakening

Renco brengt eerst in kaart hoe de organisatie is gestructureerd en hoe de governance voor informatiebeveiliging op hoofdlijn is ingericht. Er wordt ook gekeken naar wat is uitbesteed aan marktpartijen, SSC's of zuster-/moederorganisaties. Er worden documenten opgevraagd β€” minimaal het informatiebeveiligingsbeleid. Voor de application controls kiest de opdrachtgever maximaal drie taakapplicaties. Op basis hiervan wordt de GAP-analyse afgebakend en stelt hij een lijst op van te interviewen functies.

πŸ“„ Documentenanalyse
Β 
2

Afnemen interviews

Renco gaat in gesprek met de in stap 1 bepaalde functies en doorloopt systematisch de gehele BIO2. Vooraf bepaalt hij welke vragen aan welke functies worden voorgelegd β€” zodat de belasting voor de opdrachtgever minimaal blijft. Per overheidsmaatregel wordt de actuele status vastgelegd. Niet-van-toepassing zijnde maatregelen worden geregistreerd voor de verplicht op te stellen Verklaring van Toepasselijkheid (VvT).

πŸŽ™οΈ Gestructureerde interviews
Β 
3

Analyse en (prio)rapportage

Renco analyseert de uitkomsten en vraagt waar nodig aanvullende documentatie op. Het rapport bevat een visuele weergave per hoofdstuk, een Verklaring van Toepasselijkheid (VvT) en een geprioriteerd overzicht van nog te implementeren maatregelen. Op basis van best practices, frameworks en volwassenheidsmodellen levert de GAP-analyse directe input voor je jaarplan of roadmap.

πŸ“Š Visueel rapport + VvT + prioritering
4

Presentatie aan management

Renco hecht eraan dat uitkomsten leiden tot concrete verbetering. Daarom presenteert hij de resultaten ook graag aan het (hoger) management of bestuur. Dit levert naast inhoudelijk inzicht ook de betrokkenheid op die met de komst van de Cyberbeveiligingswet niet langer optioneel maar verplicht is. De presentatie wordt vooraf afgestemd met de CISO en vindt bij voorkeur op locatie plaats.

πŸ“ Bij voorkeur op locatie
Maatwerk mogelijk

Aanpassingen normenkader

Renco kan op verzoek ook een framework (lees er meer over) of ander normenkader hanteren dan de BIO2. Het normenkader wordt gezamenlijk bepaald voorafgaand aan de opdrachtverstrekking. Renco denkt graag met u mee. Hieronder vindt u enkele opties.

NEN-EN-ISO/IEC 27001 Annex A Cbw (NIS2) Control Framework (ADR/BZK/NOREA) IEC 62443 (OT) CSIR NIST Cyber Security Framework

Een BIO2 GAP-analyse laten uitvoeren?

Neem contact op met qeep IT safe voor een vrijblijvend kennismakingsgesprek.

Neem contact op β†’