Gap analyse

Een gap analyse is een gestructureerde methode om het verschil te meten tussen de huidige beveiligingssituatie van een organisatie en een gewenste norm of standaard. Binnen cybersecurity wordt een gap analyse ingezet om vast te stellen in hoeverre een organisatie voldoet aan frameworks zoals ISO 27001, NIS2, of de BIO. Het resultaat is een helder overzicht van de punten waar de organisatie tekortschiet, de zogenaamde gaps, en een concreet verbeterplan om deze tekortkomingen systematisch weg te werken.

De gap analyse is een onmisbaar instrument bij elk certificeringstraject of compliance-project. Zonder een nulmeting weet je niet waar je staat en kun je niet bepalen welke maatregelen prioriteit verdienen. De analyse voorkomt dat je tijd en budget besteedt aan maatregelen die de organisatie al heeft geimplementeerd, en richt de aandacht op de gebieden waar de grootste risico's liggen. Dit maakt de gap analyse niet alleen een beoordelingsinstrument, maar ook een strategisch planningshulpmiddel waarmee je de route naar certificering of compliance efficient kunt plannen en budgetteren.

Hoe voer je een gap analyse uit? Stappen

Een gap analyse begint met het kiezen van de referentienorm of het framework waartegen je de organisatie wilt toetsen. Voor de meeste organisaties is dit ISO 27001, de internationale standaard voor informatiebeveiliging. Overheidsorganisaties toetsen tegen de BIO, zorginstellingen tegen NEN 7510, en financiele instellingen tegen DORA. Organisaties die onder NIS2 vallen, toetsen tegen de eisen uit de Cyberbeveiligingswet. De keuze van de norm bepaalt de scope en diepgang van de analyse.

De volgende stap is het verzamelen van informatie over de huidige situatie. Dit gebeurt door middel van documentreview, interviews met sleutelfiguren uit verschillende afdelingen, en technische assessments van de IT-omgeving. Je beoordeelt bestaand beleid, procedures, technische configuraties, en de mate waarin medewerkers bewust zijn van beveiligingsrisico's. Een ervaren assessor loopt alle eisen van de gekozen norm systematisch langs en scoort per eis de mate van conformiteit op een vastgestelde schaal.

Op basis van de verzamelde gegevens wordt een gap-rapport opgesteld. Dit rapport bevat per normeis een beoordeling van de huidige status (voldoet, voldoet gedeeltelijk, voldoet niet), een beschrijving van de gap waar van toepassing, en een aanbeveling voor de benodigde verbetermaatregel. De gaps worden geprioriteerd op basis van risico en impact, zodat de organisatie weet welke tekortkomingen het eerst moeten worden aangepakt om het grootste effect te bereiken.

Tot slot wordt op basis van het rapport een implementatieplan opgesteld met tijdlijnen, verantwoordelijkheden en benodigde resources. Dit plan vormt de routekaart naar certificering of compliance en geeft het management inzicht in de benodigde investering. Gedurende de implementatie kan de gap analyse periodiek worden herhaald om voortgang te meten en nieuwe gaps te identificeren die zijn ontstaan door veranderingen in de organisatie of de norm.

Wanneer voer je een gap analyse uit?

Een gap analyse is het logische startpunt bij elk certificeringstraject. Als je organisatie ISO 27001-certificering nastreeft, begint het traject altijd met een gap analyse die de afstand tot de norm in kaart brengt en een realistisch beeld geeft van de benodigde inspanning. Hetzelfde geldt voor organisaties die zich willen voorbereiden op NIS2 of die moeten voldoen aan sectorspecifieke normen als NEN 7510 voor de zorg of DORA voor de financiele sector.

Daarnaast is een gap analyse waardevol na significante veranderingen in de organisatie. Een fusie, overname, grote IT-migratie, of de introductie van nieuwe bedrijfsprocessen kan ervoor zorgen dat eerder geimplementeerde maatregelen niet meer toereikend zijn. Door periodiek een gap analyse uit te voeren, houd je de beveiliging actueel en voorkom je dat gaps zich opstapelen tot een onbeheersbaar niveau. Veel organisaties plannen jaarlijks een beperkte gap analyse als onderdeel van hun beveiligingscyclus.

Ook bij de transitie naar een nieuwe versie van een norm is een gap analyse aan te raden. De overgang van ISO 27001:2013 naar ISO 27001:2022 heeft bijvoorbeeld geleid tot wijzigingen in de controlemaatregelen, waarbij het aantal controls is teruggebracht van 114 naar 93 en er een nieuwe categorie voor technologische controls is toegevoegd. Organisaties die al gecertificeerd waren, moesten een transitie gap analyse uitvoeren om vast te stellen welke aanpassingen nodig waren om aan de nieuwe versie te voldoen voor de deadline van oktober 2025.

Wat kost een gap analyse?

De kosten van een gap analyse hangen af van de omvang van de organisatie, de gekozen norm, en of je de analyse intern of extern laat uitvoeren. Een standaard ISO 27001 gap analyse door een externe consultant duurt gemiddeld twee tot vijf dagen en kost tussen 3.000 en 15.000 euro. Voor grotere organisaties met complexe IT-omgevingen, meerdere locaties of uitgebreide leveranciersketens kan dit oplopen tot 25.000 euro of meer.

Een interne gap analyse is goedkoper in directe kosten maar vereist medewerkers met kennis van zowel de norm als de organisatie. Het risico van een interne analyse is dat blinde vlekken worden gemist omdat de beoordelaar te dicht op de materie zit. Veel organisaties kiezen daarom voor een hybride aanpak waarbij een externe consultant de analyse uitvoert samen met interne medewerkers die de organisatie kennen, waardoor je het beste van beide werelden combineert.

Naast de kosten van de analyse zelf moet je rekening houden met de kosten van het verhelpen van de gevonden gaps. Deze kunnen varieren van enkele honderden euro's voor het opstellen van ontbrekende documentatie tot tienduizenden euro's voor het implementeren van technische beveiligingsmaatregelen als netwerksegmentatie, SIEM-systemen of endpoint protection. Een goede gap analyse helpt je om deze kosten vooraf realistisch in te schatten en een onderbouwd budget op te stellen voor het gehele certificeringstraject.

Veelgestelde vragen over gap analyse

Hoelang is het resultaat van een gap analyse geldig?

Een gap analyse is een momentopname en heeft geen formele geldigheidsduur. In de praktijk blijft het resultaat zes tot twaalf maanden bruikbaar als er geen grote veranderingen plaatsvinden in de organisatie of de IT-omgeving. Bij significante wijzigingen in de organisatie of de norm is een nieuwe analyse noodzakelijk.

Kan ik een gap analyse zelf uitvoeren?

Ja, mits je beschikt over voldoende kennis van de relevante norm. Het NCSC en het Digital Trust Center bieden zelfbeoordelingstools voor het MKB. Voor certificeringstrajecten is het echter raadzaam om minimaal een externe validatie te laten uitvoeren, omdat een onafhankelijke blik blinde vlekken voorkomt en meer vertrouwen geeft aan stakeholders.

Wat is het verschil tussen een gap analyse en een security audit?

Een gap analyse meet de afstand tot een specifieke norm en levert een verbeterplan op. Een security audit is een formele beoordeling van de effectiviteit van bestaande beveiligingsmaatregelen. De gap analyse gaat vooraf aan implementatie om tekortkomingen te identificeren, de audit volgt na implementatie om te verifieren dat de maatregelen effectief werken.

Welke norm kies ik voor een gap analyse?

Dit hangt af van de sector en doelstellingen van de organisatie. ISO 27001 is de meest universele keuze en internationaal erkend. Overheidsorganisaties gebruiken de BIO, zorginstellingen NEN 7510, en financiele instellingen DORA. Organisaties die onder NIS2 vallen, toetsen tegen de eisen uit de Cyberbeveiligingswet.

Hoe lang duurt een gap analyse traject?

De analyse zelf duurt twee tot vijf dagen, afhankelijk van de organisatiegrootte en complexiteit. Inclusief voorbereiding, interviews en rapportage duurt het totale traject twee tot vier weken. Het implementeren van de gevonden verbeterpunten kan vier tot twaalf maanden duren, afhankelijk van de omvang van de gaps.

Klaar voor certificering? Vergelijk Governance, Risk & Compliance specialisten op IBgidsNL.