Kennis
Onze praktische NIS2 GAP-analyse: bereid je organisatie voor
Informatie
Bedrijfsvoering
Gemeente Gennep laat een NIS2 GAP-analyse uitvoeren: wat is het resultaat?
Informatieveiligheid is mensenwerk
Theo werkt 43 jaar bij de gemeente Gennep — een gemeente met zo’n 17.000 inwoners en 140 collega’s. "Als Chief Information Security Officer (CISO) is informatieveiligheid mijn hoofdtaak. In een kleine gemeente pak je echter van alles op. Informatieveiligheid is uiteindelijk vooral mensenwerk en gaat voor een groot deel over gedrag. Onze gemeente is kwetsbaar: we werken veel samen met externe partners. Als daar iets misgaat, blijven wij verantwoordelijk, want het gaat om onze gegevens en onze inwoners.
Wat ik bijzonder vind aan deze tijd, is dat AI de komende jaren veel gaat betekenen voor gemeenten en andere organisaties. Tegelijkertijd baart het me zorgen: cybercriminelen beschikken immers over precies dezelfde middelen, en dat kan grote risico’s met zich meebrengen."
Waarom heb je voor NCOD gekozen?
"Ik ken NCOD al heel lang. Soms heb je behoefte aan een onafhankelijke partij die met je mee kan denken, omdat je als kleine organisatie niet alle kennis in huis hebt. Het is voor ons fijn om terug te vallen op een partij zoals NCOD.
Ik ervaar jullie als een organisatie die flexibel kennis inbrengt. NCOD is klein en compact georganiseerd, met een andere filosofie dan veel grote adviesbureaus. Toen ik ooit bij NCOD op kantoor kwam, stond daar één grote tafel waar iedereen samen aan het lunchen was; dat gaf mij meteen een gevoel van verbondenheid."
Met welke uitdaging heeft NCOD je geholpen?
"Ons vraagstuk ging over de NIS2, de nieuwe Europese richtlijn voor informatieveiligheid, die ook voor Nederland en gemeenten van toepassing wordt. Eerder gingen we ervan uit dat deze wet nog dit jaar in de Nederlandse wetgeving (de Cyberbeveiligingswet) zou worden omgezet, maar inmiddels is dit uitgesteld naar het tweede kwartaal van 2026. We hebben NCOD gevraagd ons hierbij te ondersteunen door een NIS2 GAP-analyse uit te voeren, een plan van aanpak op te stellen en mee te denken over beleidsvorming."
Wat heeft onze NIS2 GAP-analyse jullie opgeleverd?
"De analyse gaf ons een duidelijk beeld van waar we nu staan en welke vervolgstappen nodig zijn. Zo werd bij het thema ‘continuïteit’ gekeken of er een plan is voor de komende vier jaar. Ontbreekt zo’n plan, dan scoor je een 0 of 1; is het aanwezig, dan een 10. Op basis van de huidige wetgeving behaalden we bijvoorbeeld een 10, maar volgens de nieuwe NIS2-richtlijn lag onze score aanzienlijk lager. Dankzij de analyse weten we nu precies waarop we ons moeten richten en kunnen we een nieuw plan voor de komende vier jaar opstellen. Het geeft ons helder inzicht in onze prioriteiten."
Kwam dit overeen met wat vooraf beloofd was?
Theo was vooral benieuwd naar wat uit de analyse zou komen. Een GAP-analyse was hem niet onbekend: "het is een bepaald systeem met daaronder een assessment. Maar de NIS2 GAP-analyse gaat behoorlijk diep, zowel op processen en organisatie als op techniek. Bijvoorbeeld de vraag welke kabels er gebruikt zijn. Door strengere regelgeving kan het zelfs nodig zijn om nieuwe, veiligere kabels aan te leggen."
Is de opdracht al afgerond of loopt deze nog?
De opdracht startte in september 2024 en liep tot augustus 2025. Inmiddels is deze afgerond. Theo vertelt: "We kijken naar de mogelijkheid voor een doorstart. Een van de aanbevelingen die uit de NIS2 GAP-analyse kwam, was om het informatiebeleid te actualiseren, inclusief de nieuwe wetgeving. We hebben NCOD gevraagd een visiedocument op te stellen over informatieveiligheid. Dat wordt onderdeel van het bredere informatiebeleid van de gemeente, waarna een tactische uitwerking volgt, specifiek gericht op informatieveiligheid en afgestemd op de nieuwe wetgeving."
Zijn er nog verbeterpunten?
Theo: "Nee, het is keurig opgezet en ingepland. NCOD heeft goede afspraken met ons gemaakt en was flexibel — er was zelfs een extra bijeenkomst georganiseerd. Alles verliep vlot en de collega’s van NCOD kwamen altijd fysiek langs. Dat vind ik heel belangrijk: elkaar zien, de organisatie zien — dat geeft veel meer gevoel bij het geheel."
Zou je de NIS2 GAP-analyse als product aanbevelen?
"Ja, 100%. In het regionale CISO-overleg zie ik dat nog weinig organisaties deze analyse hebben uitgevoerd, terwijl iedereen zich moet voorbereiden op de nieuwe wet- en regelgeving."
We denken graag met je mee!
Neem contact op met Maartje, adviseur Financiën & Bedrijfsvoering.
