Met de inwerkingtreding van de Cyberbeveiligingswet (Cbw) en de BIO2 staat voor veel overheidsorganisaties een vertrouwd ritueel op de agenda: in kaart brengen waar je nu staat in relatie tot waar je wilt en/of moet staan. Ofwel het uitvoeren van een GAP-analyse. Maar wat houdt het precies in en wat levert het op? Een andere manier om in kaart te brengen waar je staat, is de volwassenheidsmeting waarover ik al eerder schreef. Vandaag dus aandacht voor de GAP-analyse!
De aanleiding: BIO2 en Cbw
Nieuwigheid > stand van zaken
De BIO2 is eind 2025 vastgesteld in het OBDO en wordt verplicht gesteld via de Cyberbeveiligingswet. Dat betekent o.a. een zorgplicht voor bestuurders (Cbw art. 21), een meldplicht bij incidenten en aantoonbare betrokkenheid van het bestuur bij risicomanagement. Voor overheidsorganisaties dient de zorgplicht te worden ingevuld middels de BIO2.
Veel organisaties zijn nog (steeds) bezig met de BIO (versie 1) en moeten nu richting BIO2. De structuur is ingrijpend gewijzigd: van de oude BIG/BIO-indeling naar de 27002:2022. Dat vertaalt zich in andere hoofdstukken, nieuwe maatregelen en het loslaten van de bekende nummering. Allemaal redenen om nog maar eens in kaart te brengen waar je staat tegenover het "nieuwe" normenkader. Een GAP-analyse is logisch het startpunt, maar de vraag is: welke? Start je bij het ISMS (ISO 27001) of bij de BIO2-overheidsmaatregelen (ISO 27002)? Beide kan, maar tegelijk of kort achter elkaar raad ik af.
"Allemaal redenen om nog maar eens in kaart te brengen waar je staat tegenover het nieuwe normenkader. Een GAP-analyse is logisch het startpunt, maar de vraag is: welke?"
De BIO2 GAP-analyse van de IBD
De Informatiebeveiligingsdienst heeft een uitgebreid Excel-instrument ontwikkeld. Het bestaat uit negen tabbladen en behandelt drie onderwerpen. Risicomanagement is vanzelfsprekend een essentieel onderdeel van het ISMS.
· Volwassenheid risicomanagement (hoogover)
· ISMS-inrichting (conform ISO 27001)
· BIO2-overheidsmaatregelen (het grootste deel)
De BIO2-maatregelen zijn uitgewerkt in bijna 500 rijen. Per maatregel staat er een toelichting, een doel, en zijn de concrete subvragen uitgesplitst. Per vraag kun je de status vastleggen, een verantwoordelijke koppelen en aantekeningen maken. Het tabblad 'Verklaring van toepasselijkheid' vult zich automatisch op basis van je invoer. Overigens is het mij niet duidelijk of deze VVT nu verplicht (openbaar) is of niet.
Over nadenken voordat je start
Diepgang en scoping
De allereerste vraag die je jezelf moet stellen is: wat wil ik bereiken met het inzicht dat een GAP-analyse brengt? Als je dat scherp hebt voor jezelf, weet je ook op welk niveau dat inzicht er moet komen. De BIO2 GAP-analyse dwingt je qua maatregelen in te zoomen op de overheidsmaatregelen, maar is die detaillering wel nodig voor jouw doel? Misschien kan je wel af met een GAP-analyse op de beheersmaatregelen uit de ISO 27001 Annex A of het Cbw Control Framework van de ADR. Voor privacy heb je ook keuze genoeg: optie 1, optie 2 en optie 3.
GAP-analyse ISMS
Inzicht in het vertrekpunt voor de start van een ISMS, met veel aandacht voor risicomanagement. Een dienst van qeep IT safe.
Het simpelweg uitvoeren van een GAP-analyse vanuit de gedachte "dan weten we (weer) waar we staan" raad ik af. Eerst het doel en dan het middel. Indien je besluit een GAP-analyse uit te voeren, dien je scherp te hebben wat je wel en niet meeneemt. Welke processen vallen binnen scope van de GAP-analyse? Wat is uitbesteed aan een SSC of leverancier? Welke taakapplicaties zijn relevant? Zonder die afbakening kan je de antwoorden - lees: stand van zaken - niet (goed) duiden. Ook dit is (denk)werk dat aan ruim de GAP-analyse voorafgaat.
WC-eend, peer-reviews of tweede lijn
De grootste valkuil bij GAP-analyses is dat de CISO/CPO de vragen zelf invult op basis van zijn eigen indruk. Dat levert geen analyse op, maar een mening. Een goede GAP-analyse vereist gesprekken met de functioneel verantwoordelijken: de manager die over het applicatiebeheer gaat, de HR-afdeling over screening van medewerkers, de proceseigenaar over monitoring van logbestanden. Dat kost tijd. Maar zonder die gesprekken mis je de afwijking tussen wat op papier staat en wat in de praktijk gebeurt.
Grofweg kan je als CISO/CPO kiezen de vragen/maatregelen zelf te (laten) invullen. Het is dan een zelfevaluatie in de categorie "Wij van WC-eend". Let wel, afhankelijk van je doel kan dit uitstekend zijn! In een andere variant laat je verschillende betrokkenen elkaar bevragen op de gegeven antwoorden (peer review). Tot slot kan je ook als (C)ISO/(C)PO de rol van 'kritische bevrager' op je nemen. Er wordt doorgaans maar al te gemakkelijk verondersteld dat iets er 'wel is' of 'wel wordt gedaan'.
Met of zonder documentatie
Vragen als "Is er beleid voor cryptografie?" zijn gemakkelijk met "ja" beantwoord. De vraag is of dat beleid actueel is, is vastgesteld door het management en wordt nageleefd. Een goede GAP-analyse vraagt hierop door bij de meest relevante documenten. Wanneer is dit voor het laatst beoordeeld? Wie heeft het goedgekeurd? Waaruit is af te leiden dat het beleid ook gevolgd wordt? De BIO2 GAP-analyse van de IBD bevat per maatregel een toelichting op het doel. Die context is nuttig om die vervolgvragen goed te stellen. Gebruik ze.
Om te voorkomen dat de GAP-analyse een IT-audit wordt, zou ik wegblijven bij het uitvragen van allerlei documentatie (bewijslast/evidence). Voorafgaand aan de GAP-analyse kan je de belangrijkste (beleids)documenten doornemen, zodat je die kennis in je achterhoofd hebt tijdens de interviews. Beperk je tot vragen stellen, antwoorden noteren en doorvragen waar nodig. Er is geen goed of fout hier, terwijl dat bij een IT-audit natuurlijk anders ligt.
"Beperk je tot vragen stellen, antwoorden noteren en doorvragen waar nodig. Er is geen goed of fout bij een GAP-analyse."
GAP-analyse maatregelen
Inzicht in de implementatie(status) van beveiligings-maatregelen uit normenkaders, zoals de BIO2. Een dienst van qeep IT safe.
En dan opleveren aan directie
Geen doel, maar alleen (!) een middel
Na het doorlopen van alle vragen/maatregelen en het opvolgen van de acties/vervolgvragen die je noteerde, is het zaak de uitkomst terug te leggen daar waar die hoort: in de lijn. Een GAP-analyse is geen doel op zich. De BIO2 GAP-analyse of het AVG-borgingsproduct van de IBD is een uitstekend vertrekpunt, zeker voor gemeenten. Maar het resultaat staat of valt met een visuele rapportage die voor de directie goed leesbaar is. En deze GAP-analyserapportage gaat je helpen het doel te bereiken.
Vergeet het handelingsperspectief daarbij niet: wat wil je eigenlijk dat de directie ermee doet? Wat zijn de twee of drie dingen die echt (nu) moeten gebeuren, en wie is daarvoor aan zet? En: wat is de risicoacceptatie als er niets verandert? Dan ben je weer terug bij je doel. Ga niet de uitkomsten presenteren vanuit het idee dat de directie dan 'weer even op de hoogte is'. Dat kan en mag naar mijn idee niet het doel zijn. Wil je weten hoe ik zo'n GAP-analyse aanpak? Kijk dan op mijn website van qeep IT safe of neem direct contact op met me.
P.S. Je kan ook eenvoudig een vrijblijvende offerte aanvragen ;-)
Share onDeze link maakt onderdeel uit van een content collectie. Wat dat is leg ik hier uit. Via onderstaande button vind je alle content rondom het onderwerp normenkaders bij elkaar.
