2 april 2025

Hoe mijn stage bij 2-Control bijdraagt aan de toekomst van BIO- en NIS2-audits

Hi iedereen, ik ben Kaan. De afgelopen weken ben ik gestart met mijn afstudeerstage bij 2-Control. Naast mijn normale werkzaamheden als IT-auditor werk ik aan een strategische uitdaging die steeds actueler wordt: hoe kunnen organisaties zich voorbereiden op de steeds strengere eisen rondom informatiebeveiliging?

Mijn stage richt zich op het onderzoeken en ontwikkelen van een geïntegreerde auditpropositie die inspeelt op twee belangrijke kaders:

  • BIO (Baseline Informatiebeveiliging Overheid), verplicht voor veel (semi)publieke instellingen;
  • NIS2, de Europese richtlijn die vanaf 2025 als de Cbw (Cyberbeveiligingswet) hogere eisen stelt aan organisaties in vitale sectoren zoals energie, transport en digitale infrastructuur.

Beide kaders vragen om een stevig niveau van compliance en transparantie. Dat biedt kansen en uitdagingen – vooral op het gebied van audits. Hoe zorg je dat audits praktisch toepasbaar blijven, zonder de diepgang of juridische basis te verliezen?

Waarom is dit belangrijk?

Regelgeving rondom informatiebeveiliging wordt steeds strenger, zowel voor overheden (BIO) als voor bedrijven in essentiële sectoren (NIS2). Leveranciers van overheidsinstellingen dienen aantoonbaar aan deze regelgeving te voldoen. Veel organisaties worstelen met de vraag: “Hoe moeten we dit aantonen?”, “moeten we naast bestaande certificeringen en auditverklaringen nog andere trajecten doorlopen?”, ”hoe voorkomen we dubbel werk?” Mijn doel is om te kijken of we één dienst kunnen ontwikkelen die aansluit bij de wensen van zowel de afnemer (overheidsinstellingen) als de leverancier (IT Serviceorganisatie). Dat betekent duidelijkheid in hoe aantoonbaar te voldoen op basis van een efficiënte en effectieve auditaanpak die aansluit bij de eisen van afnemers.

In mijn onderzoek breng ik de belangrijkste eisen en marktbehoeften in kaart, voer ik interviews met relevante field experts en toets ik de haalbaarheid van een gecombineerde aanpak. Uiteindelijk werk ik toe naar één eindproduct wat opgebouwd is uit meerdere onderliggende (deel)producten. Denk hierbij aan een business case, normenkader en een bijhorende implementatieplan waarmee 2-Control haar dienstverlening kan uitbreiden naar nieuwe markten.

Wat levert het op?

Stel nou dat het lukt om BIO en NIS2 samen te brengen in één audit en ook dit makkelijker te kunnen integreren met reeds bestaande audits (zoals ISO 27001 en SOC 2): dan hoeven organisaties zich maar één keer voor te bereiden. Dat scheelt tijd, geld en een hoop gedoe. Bovendien wordt de ketenbeveiliging daarmee direct meegenomen, iets waar NIS2 enorm de nadruk op legt. Zo zijn klanten beter beschermd tegen cyberdreigingen en voldoen ze aan de laatste regelgeving — allemaal in één klap.

Naar overzicht
BIO
Joram Dictus
RE IT-auditor
076-5019470

Benieuwd wat wij voor u kunnen betekenen? Neem dan gerust contact met mij op.

2-Control B.V.

Haagsemarkt 1
4813 BA Breda
Nederland
+31 (0)76 5019470

BTW NL866595934B01
KVK 93995814