TL;DR: Een cybersecurity gap-analyse vergelijkt uw huidige beveiligingsniveau met een referentiekader zoals CyberFundamentals of ISO 27001. Het resultaat is een geprioriteerde roadmap die precies toont welke maatregelen ontbreken en waar u als eerste moet investeren. Voor Vlaamse KMO’s is het de logische eerste stap naar NIS2-compliance, zeker nu tot 50% subsidie beschikbaar is via VLAIO.
U weet dat cybersecurity belangrijk is. Maar wéét u ook waar uw organisatie vandaag precies staat? En hoever u nog verwijderd bent van waar u zou moeten staan, volgens de wetgeving of uw eigen ambities?
Dat verschil, dat is precies wat een gap-analyse meet.
In dit artikel leest u wat een cybersecurity gap-analyse precies inhoudt, hoe het proces verloopt, welke frameworks als meetlat dienen en wat het concreet oplevert voor uw bedrijf. Inclusief een overzicht van de beschikbare subsidies.
Wat is een cybersecurity gap-analyse?
Een cybersecurity gap-analyse is een gestructureerde vergelijking tussen uw huidige beveiligingsmaatregelen (de zogeheten “as-is” situatie) en een vooraf gedefinieerd referentiekader of wettelijke norm (de “to-be” situatie). Het doel: vaststellen welke beveiligingsmaatregelen aanwezig en effectief zijn, en waar de hiaten zitten.
Dat klinkt mogelijk vergelijkbaar met termen als “audit”, “maturity assessment” of “pentest”, maar de verschillen zijn wezenlijk.
Een gap-analyse is control-georiënteerd. Ze kijkt per maatregel of deze aanwezig is en correct werkt. Een maturity assessment gaat een stap verder: het beoordeelt niet alleen de aanwezigheid van controles, maar ook de procesmatige volwassenheid ervan. Is het gedocumenteerd? Wordt het gemonitord? Wordt het continu verbeterd? Daarvoor worden volwassenheidsmodellen gebruikt, zoals de CMMI-schaal.
Een security-audit is weer iets anders. Dat is een formeel, onafhankelijk onderzoek dat vaststelt of u voldoet aan specifieke normen. Het resultaat is vaak een conformiteitsverklaring of certificering, bijvoorbeeld voor ISO 27001 of CyberFundamentals.
En een pentest? Die test technisch of een aanvaller daadwerkelijk kan binnendringen. Waar een gap-analyse de breedte van uw beveiliging in kaart brengt, gaat een pentest de diepte in op specifieke systemen.
In de praktijk vormt de gap-analyse vaak de kern van wat een cybersecurity audit oplevert. Het is het analytische proces dat vertelt waar u staat, zodat u weet waar u naartoe moet.
Waarom een gap-analyse het logische vertrekpunt is
U kunt niet verbeteren wat u niet meet. Dat geldt voor omzet, voor klanttevredenheid, en net zo goed voor cybersecurity.
Uit de VLAIO Cybersecurity Barometer van mei 2025 (uitgevoerd door ECOOM-STORE, UGent, bij 2.720 Vlaamse ondernemingen) blijkt dat bijna 1 op de 2 Vlaamse ondernemingen in 2024 slachtoffer was van een succesvolle cyberaanval. Bij 10% leidde dat tot ernstige operationele of financiële schade. Tegelijkertijd waren er in heel Vlaanderen nog slechts 130 formele cybersecurity verbetertrajecten opgestart.
Dat betekent dat het overgrote deel van de Vlaamse KMO’s opereert zonder een formeel, gestructureerd beeld van hun beveiligingsniveau. Zonder nulmeting zijn investeringen in cybersecurity in feite een schot in het donker.
Een gap-analyse brengt daar verandering in. Ze geeft u een objectief vertrekpunt, stelt prioriteiten vast op basis van risico, en levert de onderbouwing die u nodig hebt om budget vrij te maken bij de directie, om een audit voor te bereiden, of om aan te tonen bij klanten en toezichthouders dat u bezig bent met beveiliging.
Benieuwd hoe u zich concreet kunt voorbereiden op een cybersecurity audit? Dat artikel neemt u mee door de praktische stappen na de gap-analyse.
Hoe verloopt een gap-analyse in vijf stappen?
Een gestandaardiseerde cybersecurity gap-analyse volgt vijf opeenvolgende fasen. Hieronder leest u wat elke fase inhoudt en wat er van uw organisatie verwacht wordt.
Stap 1: scope en referentiekader bepalen
In de eerste fase legt u samen met de uitvoerende partij de grenzen van de analyse vast. Welke systemen, locaties, processen en personeelsgroepen worden onderzocht? Welk referentiekader wordt als meetlat gebruikt, bijvoorbeeld CyberFundamentals Important, ISO 27001 of NIST CSF 2.0?
De scopebepaling is kritiek. Een te nauwe scope is één van de meest gemaakte fouten bij gap-analyses. Organisaties sluiten soms complexe of verouderde systemen bewust uit om de analyse eenvoudiger te houden. Dat creëert blinde vlekken die later voor onaangename verrassingen zorgen.
Stap 2: huidige staat inventariseren
In fase twee wordt uw feitelijke beveiligingsstatus objectief in kaart gebracht. Dit steunt op drie pijlers: een documentenrevisie (evaluatie van beleid, procedures en netwerkdiagrammen), interviews met sleutelfiguren (van directie tot IT-beheerders) en technische observaties (configuratie-audits, kwetsbaarheidsscans).
De nadruk ligt op feitelijke bewijslast. Het gaat er niet om of u een patchbeleid hébt, maar of dat beleid in de praktijk ook wordt nageleefd.
Hier zit een belangrijk aandachtspunt voor IT-managers. De benodigde interne tijdsinvestering wordt regelmatig onderschat. Voor een efficiënt ingericht traject moet u rekenen op minimaal 3 tot 4 uur verdeeld over interviews en de finale oplevering. Bij organisaties met beperkte documentatie of een brede scope kan dat oplopen tot tientallen uren aan het opsporen, structureren en bewijzen van processen.
Stap 3: gewenste staat definiëren
Op basis van het gekozen framework en uw eigen risicobereidheid wordt het doelniveau vastgelegd. Welke controls moeten geïmplementeerd zijn? Welke minimale volwassenheidsscore per domein is vereist?
Bij het CyberFundamentals framework bijvoorbeeld is voor het Basic-niveau een minimale score van 2,5 op 5 vereist voor de conformiteitsbeoordeling. Voor het Essential-niveau is dat 3,5 op 5.
Stap 4: gaps identificeren en classificeren
Door de resultaten uit stap 2 systematisch te spiegelen aan de doelstellingen uit stap 3, worden de beveiligingskloven zichtbaar. Elke gap wordt geclassificeerd op basis van risico-impact: kritiek, hoog, medium of laag.
Die classificatie combineert de technische kwetsbaarheid met de operationele context en de waarde van de onderliggende systemen. Een ontbrekende MFA op een extern toegankelijk systeem weegt bijvoorbeeld zwaarder dan een verouderd patchniveau op een intern testsysteem.
Wat komt er in de praktijk het vaakst bovendrijven bij Vlaamse KMO’s? Zwak identiteits- en toegangsbeheer (gedeelde beheerdersrechten, MFA niet universeel afgedwongen), ontbrekende of ongeteste incident response plannen, inconsistent patchbeheer, onveilige back-uparchitectuur die bij ransomware mee versleuteld wordt, ontbreken van structurele awareness-trainingen, en inconsistent beheer van leveranciersrisico’s.
Stap 5: roadmap en prioriteiten opstellen
De geclassificeerde gaps worden vertaald naar een pragmatisch actieplan. Dat plan prioriteert herstelmaatregelen op basis van risicoreductie ten opzichte van implementatiekosten.
Een goede roadmap bevat concrete herstelfasen (bijvoorbeeld 30, 90 en 180 dagen), geschatte budgetten, benodigde resources en toegewezen verantwoordelijken. Het is geen theoretisch document, maar een werkplan dat uw IT-team en directie direct kunnen gebruiken.
Welk framework gebruikt u als meetlat?
De keuze van het referentiekader bepaalt de structuur en diepgang van uw gap-analyse. Hieronder vindt u een overzicht van de vier meest gebruikte frameworks voor Belgische KMO’s.
| Framework | Ontwikkeld door | Aantal controls | Meest geschikt voor | Belgische context |
|---|---|---|---|---|
| CyberFundamentals (CyFun) | CCB (België) | 34 (Basic), 133 (Important), 218 (Essential) | Vlaamse KMO’s, NIS2-compliance | Verplicht voor NIS2-conformiteitsbeoordeling in België |
| NIST CSF 2.0 | NIST (VS) | 106 subcategorieën, 6 functies | Internationale organisaties, strategisch overzicht | CyFun 2025 is volledig geharmoniseerd met NIST CSF 2.0 |
| ISO 27001:2022 | ISO | 93 controls (Annex A) + managementsysteemvereisten | Organisaties die certificering nastreven | Erkend als alternatief pad voor NIS2-conformiteit |
| CIS Controls v8.1 | CIS | 18 controls, 153 safeguards | Technisch gerichte organisaties | Vaak gebruikt als operationeel fundament onder NIST of ISO |
Voor de meeste Vlaamse KMO’s is CyberFundamentals het logische startpunt. Het is specifiek ontworpen voor de Belgische context, het wordt door het CCB erkend als het nationale kader voor NIS2-compliance, en het is opgebouwd in drie progressieve niveaus die aansluiten bij de schaal en het risicoprofiel van uw organisatie.
Het Basic-niveau met 34 controls biedt bescherming tegen 82% van de meest voorkomende cyberaanvallen. Het Important-niveau (133 controls) dekt tot 94% af. Het Essential-niveau (218 controls) is bedoeld voor kritieke infrastructuur en biedt historisch dekking tegen 100% van de geanalyseerde aanvalsscenario’s.
Belangrijk: het CCB heeft het CyFun-framework in de 2025-versie volledig geharmoniseerd met de NIST CSF 2.0-structuur. Beide frameworks kennen nu dezelfde 6 functies (Govern, Identify, Protect, Detect, Respond, Recover), 22 categorieën en 106 subcategorieën. Dat vereenvoudigt de mapping als u later naar een internationaal kader wilt overstappen.
Gap-analyse en NIS2: wat de wet van u verwacht
De Belgische NIS2-wet (van kracht sinds 18 oktober 2024) schrijft in artikel 30 voor dat alle entiteiten binnen het toepassingsgebied een grondige risicoanalyse moeten uitvoeren op basis van een “all-hazards” benadering. De resultaten moeten worden geformaliseerd in een integraal beveiligingsbeleid.
De minimale maatregelen die NIS2 voorschrijft (artikel 21) zijn precies die domeinen die een gap-analyse toetst: managementbetrokkenheid, procesmatige inrichting, risicobeheer en bedrijfscontinuïteit.
De wet maakt daarbij een belangrijk onderscheid. Essentiële entiteiten zijn onderworpen aan zowel proactief (ex-ante) als reactief (ex-post) toezicht. Zij moeten verplicht periodiek een formele conformiteitsbeoordeling ondergaan. Belangrijke entiteiten vallen onder reactief toezicht en hoeven geen periodieke externe audit te ondergaan, maar kunnen zich hier wel vrijwillig aan onderwerpen om het wettelijke “vermoeden van conformiteit” te verkrijgen.
Een nuance die vaak verloren gaat in de communicatie: het behalen van een CyFun-label biedt een sterk vermoeden van NIS2-conformiteit, maar is geen automatische garantie. Als uw organisatie faalt op het gebied van incidentrapportage (verplicht binnen 24 uur) of nalatig is geweest in het beveiligen van een systeem dat buiten de initiële audit-scope viel, blijft de bestuurlijke aansprakelijkheid onverminderd van kracht.
Een gap-analyse is daarom niet alleen een compliance-instrument. Het is ook een instrument om uw risicopositie helder te documenteren, zodat u bij een incident kunt aantonen dat u redelijke maatregelen hebt genomen.
Wat levert een gap-analyse concreet op?
Een professionele cybersecurity gap-analyse levert een gestructureerde set deliverables op die zowel voor de IT-manager als de zaakvoerder bruikbaar zijn.
Het gap-rapport beschrijft per subcategorie van het referentiekader de exacte afwijking, ondersteund door verzamelde bewijslast. Denk aan: “Uw patchbeleid bestaat op papier, maar uit de technische scan blijkt dat 23% van de servers langer dan 90 dagen niet gepatcht is.”
De risicomatrix (of heatmap) is een visuele weergave waarin de geïdentificeerde gaps worden geplot op waarschijnlijkheid van uitbuiting versus potentiële impact. Dit maakt direct zichtbaar waar de quick wins zitten en waar de meest kritieke risico’s liggen.
De roadmap vertaalt dat naar een chronologisch actieplan met concrete herstelfasen, budgetindicaties en verantwoordelijkheden. Bij Cyberplan leveren we standaard een roadmap die werkt met een 30-90-180-dagenhorizon, zodat u direct kunt starten met de meest urgente maatregelen.
Ten slotte geeft een radardiagram (spinnenwebdiagram) u in één beeld uw huidige prestaties per beveiligingsdomein ten opzichte van het streefniveau. Dat is bijzonder nuttig voor rapportage aan de directie: het toont in één visual waar de organisatie sterk staat en waar de aandacht naartoe moet.
Een belangrijk onderscheid in de methodologie: een goede gap-analyse combineert kwantitatieve en kwalitatieve beoordeling. De kwantitatieve scoring (bijv. op een schaal van 0 tot 5) levert harde cijfers op die geschikt zijn voor benchmarking en voortgangsrapportage. De kwalitatieve duiding verklaart waaróm een gap bestaat (legacy-systemen, cultuuraspecten, capaciteitstekort) en of een controle in de praktijk daadwerkelijk bijdraagt aan risicoreductie.
Het CyFun-framework dwingt dat onderscheid expliciet af door apart te scoren op Policy Maturity (is de maatregel gedocumenteerd?) en Implementation Maturity (is de maatregel operationeel?). Zoals SANS het formuleert: “Policy without practice is just paper.”
Wat kost een gap-analyse en welke subsidies zijn er?
De kosten van een externe, professionele gap-analyse voor een middelgrote organisatie met 50 tot 250 medewerkers variëren in de Belgische markt typisch tussen €15.000 en €35.000, afhankelijk van de complexiteit van de infrastructuur (met name bij OT-systemen) en de gewenste diepgang.
De doorlooptijd bedraagt gemiddeld 2 tot 4 weken. Bij complexe organisaties met meerdere entiteiten of productieomgevingen kan dat oplopen tot 5 tot 7 weken.
Die investering hoeft u niet volledig zelf te dragen. De Vlaamse overheid biedt via VLAIO twee substantiële subsidieprogramma’s die de drempel aanzienlijk verlagen.
VLAIO Cybersecurity Verbetertrajecten bieden Vlaamse KMO’s tot 50% subsidie op begeleide trajecten die verplicht starten met een diepgaand security-assessment (gap-analyse) en technische nulmeting. Het START-pakket (10 consultantdagen, richtprijs €10.300) kost na subsidie circa €5.150 voor een KMO. Het MEDIUM-pakket (24 dagen, richtprijs €24.720) biedt daarnaast 14 dagen implementatieondersteuning. Het PLUS-pakket (34 dagen, richtprijs €35.020) voegt daar onder meer incident response oefeningen en ISO 27001-voorbereiding aan toe. Projecten zijn uitbreidbaar tot maximaal 50 consultantdagen of €60.000, met upgrades tot 6 maanden na oplevering.
Meer over de VLAIO cybersecurity verbetertrajecten en de voorwaarden leest u in ons uitgebreide artikel.
KMO-portefeuille biedt sinds februari 2026 exclusief subsidie voor cybersecurity-advies. Kleine ondernemingen ontvangen 45% subsidie, middelgrote ondernemingen 35%, tot maximaal €7.500 per jaar.
Concreet rekenvoorbeeld: een gap-analyse van €15.000 kost na VLAIO Verbetertraject-subsidie (50%) nog €7.500. Via de KMO-portefeuille (45% voor een kleine onderneming) betaalt u €8.250.
De bedrijfseconomische rechtvaardiging is helder. Volgens het IBM Cost of a Data Breach Report 2025 bedraagt de wereldwijde gemiddelde kost van een datalek $4,44 miljoen. Organisaties met een formeel incident response team en geteste plannen realiseren een gemiddelde kostenreductie van $2,66 miljoen per incident. Een gap-analyse die leidt tot een gestructureerde roadmap vermindert het cyberbeveiligingsrisico aantoonbaar, met een typische terugverdientijd van 2 tot 3 maanden.
Veelgestelde vragen over cybersecurity gap-analyse
Wat is het verschil tussen een gap-analyse en een risicoanalyse?
Een risicoanalyse beoordeelt dreigingen, kwetsbaarheden en hun potentiële impact (risico = dreiging × kwetsbaarheid × impact). Een gap-analyse meet specifiek waar u staat ten opzichte van een referentiekader. Ze overlappen deels, want gaps vertegenwoordigen risico’s, maar de methodologie en het perspectief verschillen. In de praktijk voert u vaak beide uit, waarbij de gap-analyse de meetbare afwijkingen blootlegt en de risicoanalyse de bredere dreigingscontext biedt.
Hoe lang duurt een gap-analyse voor een KMO met 100 medewerkers?
Reken op 2 tot 4 weken doorlooptijd. De intensiefste periode voor uw IT-team is de eerste week, wanneer documentatie verzameld wordt en interviews plaatsvinden. Bij beperkte documentatie kan de interne tijdsinvestering aanzienlijk hoger liggen dan de geadverteerde 3 tot 4 uur.
Moet ik een gap-analyse doen vóór een formele audit?
Ja, dat is sterk aan te raden. Een gap-analyse is methodologisch gezien een voorbereidende stap. Ze legt bloot welke hiaten u nog moet dichten vóór een formele audit of conformiteitsbeoordeling. Een audit veronderstelt dat uw beveiligingsprogramma al operationeel en stabiel is.
Welk CyFun-niveau is verplicht voor mijn bedrijf?
Dat hangt af van uw classificatie als essentiële of belangrijke entiteit onder NIS2. Gebruik de CyFun Selection Tool van het CCB om uw doelmatig zekerheidsniveau te bepalen. Essentiële entiteiten moeten minimaal het niveau Important behalen; voor certificering op Essential-niveau geldt een deadline van 18 april 2027.
Kan ik een gap-analyse intern uitvoeren?
Het CCB biedt een Self-Assessment Excel Tool waarmee u een eerste zelfevaluatie kunt uitvoeren. Dat is een waardevolle eerste stap. Voor een betrouwbare, audit-geschikte gap-analyse is een onafhankelijke externe blik echter aan te raden. Een extern expert brengt objectiviteit, benchmarkervaring en een frisse kijk op processen die intern als “normaal” worden beschouwd.
Wat als blijkt dat mijn organisatie ver onder het gewenste niveau scoort?
Dat is geen reden voor paniek, maar juist de waarde van de oefening. De roadmap prioriteert herstelmaatregelen op basis van risico en haalbaarheid. In de praktijk zijn de eerste stappen (MFA afdwingen, back-ups testen, patchbeleid naleven) vaak technisch eenvoudig en hoog in risicoreductie. Het CCB merkt op dat organisaties die zich registreren en aantoonbaar bezig zijn, meer rust ervaren dan zij die afwachten.
Van gap-analyse naar actie
Een cybersecurity gap-analyse is geen doel op zich. Het is het startpunt van een traject dat uw organisatie structureel weerbaarder maakt. Het verschil tussen “we denken dat we veilig zijn” en “we weten waar we staan en wat we nog moeten doen” is precies het verschil dat een gap-analyse maakt.
Bij Cyberplan starten we elk beveiligingstraject met een grondige analyse van uw huidige situatie. Op basis daarvan weet u precies waar u staat ten opzichte van het framework dat voor uw organisatie relevant is, en welke maatregelen nog ontbreken. Die voorbereiding kan bovendien gesubsidieerd worden via het VLAIO cybersecurity verbetertraject.
Wilt u weten waar uw organisatie staat? Boek een vrijblijvende kennismaking en we brengen samen in kaart welke stappen u nog moet zetten.
