Waarom een interne audit?
Wetgeving als NIS2 en de AVG vraagt niet alleen dat je bepaalde maatregelen neemt, maar ook dat je kunt aantonen dat ze werken. Een interne audit geeft je dat overzicht: hoe scoort mijn organisatie op elk onderdeel van de richtlijn, waar zitten de gaten, en in welke volgorde pak ik ze aan?
Daarnaast is een audit een prima moment om te merken of je bestaande beleid in de praktijk ook echt wordt opgevolgd. Mooie procedures op papier zijn waardevol, maar alleen als ze ook ergens in de organisatie landen.
- 4 stappen van intake tot uitvoering
- 2 specialismen techniek (XSbyte) en compliance (Fendix)
- 1 plan met prioriteiten en uitvoerder
Onze aanpak met Fendix
Voor de organisatorische en juridische kant van compliance werken we samen met Fendix. Zij zijn specialist op informatiebeveiliging en privacy en voeren de audit zelf uit. XSbyte zit aan tafel voor de technische context en pakt de uitvoering van technische aanbevelingen op. Voor jou betekent dat één traject, twee specialismen, geen afstemmingsverlies.
Stap 1: scope en intake
We beginnen met een korte intake. Welke richtlijn is relevant (NIS2, AVG, of beide), wat is je sector, en welke onderdelen van de organisatie nemen we mee? Voor een MKB-organisatie is dit doorgaans één tot twee uur. Direct daarna voeren we vanuit XSbyte een technische risk assessment uit aan de hand van onze eigen checklist op basis van NIS2 en NEN 7510, zodat de audit zelf snel kan beginnen met betrouwbare invoer.
Stap 2: GAP-analyse
Fendix voert een gestructureerde GAP-analyse uit aan de hand van de eisen uit de richtlijn. Dat omvat onder meer:
- Beleid, governance en bestuurlijke verantwoordelijkheid
- Risicobeheer en incidentprocessen
- Toegangsbeheer, identiteit en encryptie
- Leveranciersbeheer en contractuele afspraken
- Bedrijfscontinuïteit en back-up
- Bewustwording en training van medewerkers
- Documentatie en bewijsvoering
Voor de technische onderdelen sluit XSbyte aan, zodat we meteen kunnen bevestigen wat er al draait en wat aanvullend nodig is. Geen vragenlijst die jij in je eentje moet invullen.
Stap 3: rapport en plan van aanpak
Je ontvangt een rapport met de afwijkingen, een risico-inschatting per punt en een prioriteitenlijst. We vertalen dat naar concrete actiepunten met een tijdlijn en een verantwoordelijke per actie. Wat is een quick win van een paar dagen, wat een traject van een paar maanden, en wat is optioneel?
Stap 4: gezamenlijke uitvoering
Voor de technische actiepunten (MFA, EDR, segmentatie, back-up, monitoring) zetten we het werk in gang vanuit XSbyte. Vaak komen die rechtstreeks uit ons bestaande aanbod: de Onbezorgde werkplek voor identiteit, MFA en back-up, MDR voor endpoint-detectie, en awareness met Guardey voor de menselijke kant. Voor beleid, contracten en awareness-verankering werken we door met Fendix. We coördineren onderling, jij houdt de regie maar hoeft niet alles zelf op te tuigen.
Specifiek voor NIS2 of AVG
-
Digitale weerbaarheid
NIS2
Richt zich op middelgrote en grote organisaties in essentiële of belangrijke sectoren, plus hun toeleveringsketen. Wordt in Nederland ingevoerd via de Cyberbeveiligingswet, met persoonlijke aansprakelijkheid voor bestuurders.
-
Persoonsgegevens
AVG
Geldt voor elke organisatie die met persoonsgegevens werkt. Een audit kijkt naar verwerkingsregister, verwerkersovereenkomsten, datalek-procedures en de rechten van betrokkenen.
We doen beide los of in één traject. Veel organisaties combineren ze omdat de overlap groot is en je dan in één beweging twee compliance-vragen afdekt.
Tip: plan een audit niet vlak voor een externe deadline. Ze leveren altijd actiepunten op, en die wil je rustig kunnen oppakken in plaats van als brandhaard.
Waarom deze combinatie werkt
We werken al jaren samen met Fendix en hebben in de praktijk geleerd dat audits het meest waardevol zijn als techniek en organisatie aan dezelfde tafel zitten. Zo voorkom je dat je een rapport krijgt met dertig actiepunten waar je vervolgens zelf een leverancier bij moet zoeken. Bij ons komt het rapport inclusief uitvoerder.
