Terug naar overzicht
Audit

Van losse audits naar geïntegreerde assurance: de toekomst van gemeentelijke controle

Nederlandse gemeenten staan voor een regelgevingstsunami. Ontdek hoe een geïntegreerd assurance-model met ICS-audit de oplossing biedt voor fragmentatie, capaciteitsgebrek en stijgende compliance-eisen.

gemeentenICSNIS2ENSIAinformatiebeveiligingcompliance

In de komende periode worden Nederlandse gemeenten geconfronteerd met een ongekende uitdaging op het gebied van informatiebeveiliging. De Cyberbeveiligingswet (NIS2), BIO2 en aangescherpte ENSIA-eisen treden gelijktijdig in werking waarbij 2026 het jaar is waarin gemeenten zich hierover dienen te verantwoorden. Het huidige gefragmenteerde audit-landschap is hier niet op toegerust. In dit artikel presenteren wij een fundamenteel andere aanpak: geïntegreerde assurance met de In Control Statement (ICS) audit als verbindende schakel.

De regelgevingstsunami

Gemeenten worden wettelijk verplicht tot aantoonbaar risicomanagement, incidentmelding binnen 24 uur, en implementatie van een volwaardig Information Security Management System (ISMS). De sancties onder de Cyberbeveiligingswet zijn substantieel: boetes tot 10 miljoen euro bij schending van de zorgplicht, en persoonlijke boetes tot 25.000 euro voor bestuurders die verplichte trainingen niet volgen (Ministerie van Justitie en Veiligheid, 2024).

Dit is geen papieren exercitie meer. De Rijksinspectie Digitale Infrastructuur krijgt vergaande toezichtbevoegdheden, van preventieve audits tot het aanwijzen van een controlefunctionaris op kosten van de gemeente.

De Baseline Informatiebeveiliging Overheid versie 2 (BIO2) is op 23 september 2025 vastgesteld door het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO, 2025). Deze ingrijpende herziening markeert een paradigmaverschuiving: de vertrouwde Basisbeveiligingsniveaus (BBN1, BBN2, BBN3) verdwijnen volledig en organisaties moeten zelf risico-inschattingen maken en passende maatregelen treffen.

Het probleem: fragmentatie en capaciteitsgebrek

Het huidige audit-landschap bij gemeenten kenmerkt zich door versnippering. Een gemiddelde gemeente moet jaarlijks verantwoording afleggen via ENSIA over minimaal zeven informatiestelsels, aangevuld met Wpg-audits en de jaarrekeningcontrole. Deze trajecten worden uitgevoerd door verschillende partijen met verschillende normenkaders.

Recent onderzoek van Berenschot in opdracht van de VNG biedt uniek inzicht in de werkelijke kosten en capaciteit van informatiebeveiliging bij gemeenten (Berenschot, 2025). De cijfers spreken voor zich:

  • Gemeenten besteden gemiddeld 0,8 miljoen euro incidenteel en 1 miljoen euro structureel per jaar aan informatiebeveiliging.
  • Het grootste deel van de kosten (zowel incidentele alsmede structurele kosten) heeft betrekking op het algemeen beleid en procedures en de uitvoering van reeds geldende wet- en regelgeving. Voor toekomstige wetgeving (zoals BIO2 en Cbw) is een extra bedrag van €0,5 miljoen begroot.
  • De gemiddelde volwassenheid van informatiebeveiliging bij Nederlandse gemeenten scoort 2,4 op een schaal van 5 (volgens het Capability Maturity Model Integration), tussen 'herhaalbaar' en 'gedefinieerd' (M&I/Partners, 2025). Dit sluit aan bij het onderzoek van Berenschot, waarbij de deelnemende gemeenten zichzelf scoren tussen tussen 'laag' en 'midden' op volwassenheid met betrekking tot informatiebeveiliging.
  • Ruim 150 gemeenten waren in 2023-2024 direct of indirect betrokken bij ransomware in de leveranciersketen (IBD, 2025)

Het resultaat van deze fragmentatie is dubbel werk, hogere kosten en gefragmenteerd inzicht. Onderzoek van Highberg identificeerde overlap op circa tien onderwerpen tussen de verschillende normenkaders (Highberg, 2024). Iedere nieuwe partij moet opnieuw ingewerkt worden in de organisatie, wat leidt tot kennislekkage en hoge coördinatielast voor de CISO.

VNG-directeur Andries Kok waarschuwt expliciet: "Structurele tekorten in budgetten, capaciteit en kennis maken het lastig om digitale veiligheid naar het gewenste niveau te brengen" (VNG, 2025).

De oplossing: één samenhangend assurance-model

Gemeenten kunnen alleen duurzaam in control komen door alle controleverplichtingen logisch aan elkaar te koppelen. De introductie van de Cyberbeveiligingswet, de doorontwikkeling van ENSIA en de invoering van de rechtmatigheidsverantwoording maken duidelijk dat losse audits en afzonderlijke controlelijnen niet langer volstaan.

Wij zien dat de gemeentelijke accountantscontrole zich de komende jaren verder ontwikkelt richting een systeemgerichte aanpak, waarin in toenemende mate wordt gesteund op de werking van IT-systemen en interne beheersmaatregelen. Steekproeven en herstelwerk achteraf maken daarbij plaats voor zekerheid die aan de voorkant wordt georganiseerd, in processen en systemen die aantoonbaar functioneren.

De ENSIA IT-audit, de NIS2-verplichting en de jaarrekeningcontrole raken inhoudelijk steeds sterker verweven

Ze hebben allen betrekking op dezelfde kernvragen:

  1. Werkt het ISMS aantoonbaar?
  2. Functioneren IT-beheersmaatregelen in de praktijk?
  3. Kunnen bestuur en accountant daadwerkelijk steunen op de eerste lijn?

Door deze assurance-trajecten te integreren binnen één samenhangend control framework, ontstaat een consistent beheersmodel dat dubbel werk voorkomt en de auditlast verlaagt.

De ICS-audit als verbindende schakel

De In Control Statement (ICS) audit vormt de verbindende schakel in dit geïntegreerde model. Deze audit bouwt voort op ENSIA- en Cyberbeveiligingswet-controleverplichtingen en vertaalt IT-compliance naar aantoonbare procesbeheersing in de eerste lijn.

Hierdoor verschuift de rol van data-analyse, IT-beheersing en interne controle van ondersteunend naar fundamenteel. De financiële audit richt zich steeds meer op posten met schattingen en bestuurlijke keuzes, terwijl de betrouwbaarheid van processen en gegevensstromen vooraf is geborgd.

Van gegevensgericht naar systeemgericht

We begrijpen de wens van gemeenten om meer systeemgericht te werken. Dit is ook verbonden met de toenemende eisen ten aanzien van informatiebeveiliging. Tegelijkertijd weten we uit ervaring dat schaal soms een beperkende factor kan zijn voor het optimaliseren van de interne beheersing.

Daarom gaan we voor wat haalbaar is, niet voor wat theoretisch wenselijk is. Een pragmatische aanpak die past bij de specifieke context van uw gemeente.

De voordelen van geïntegreerde assurance

Het geïntegreerde model levert gemeenten concrete voordelen:

Kostenbesparing van 15-25%

  • Eliminatie van dubbele uitvraag en documentatie-opvraag
  • Efficiëntere inzet van audit-uren door hergebruik van bevindingen
  • Geen separate inwerkkosten voor IT-auditors

Capaciteitsontzorging

  • Eén aanspreekpunt voor alle assurance-vraagstukken
  • Minder coördinatielast voor de CISO
  • Gestroomlijnde planning en communicatie

Kwaliteitsverhoging

  • Integratie van perspectieven leidt tot completer risico-inzicht
  • Consistente normtoepassing over alle trajecten
  • Meerjarige relatie bevordert diepgaand begrip van specifieke risico's

Compliance-zekerheid

  • Tijdige signalering van nieuwe eisen en benodigde acties
  • Voorbereiding op toezicht door RDI
  • Roadmap naar volwassenheidsniveau 3+

De unieke positie van de accountant

De gemeentelijke accountant heeft een unieke uitgangspositie voor het leveren van geïntegreerde assurance. Door de jaarrekeningcontrole kent het accountantskantoor de organisatie, processen, governance en IT-systemen al. De gebruikelijke inwerkperiode van één tot drie jaar voor nieuwe auditors is niet nodig.

Dit vertaalt zich direct naar lagere kosten en hogere kwaliteit.

De accountant ziet de gehele organisatie en kan IT-risico's plaatsen in de bredere context van organisatiebeheersing en financiële verantwoording. De jaarrekeningcontrole en ENSIA-verantwoording volgen dezelfde P&C-cyclus, waardoor werkzaamheden kunnen worden gecombineerd en afgestemd.

De accountantscontrole van de toekomst

Wij zijn ervan overtuigd dat de gemeentelijke accountantscontrole van de toekomst wordt gekenmerkt door:

  • Samenhang tussen IT, processen en verantwoording
  • Vertrouwen op een aantoonbaar functionerende eerste lijn
  • Assurance die wordt opgebouwd via gekoppelde opdrachten in plaats van losse controles

Door IT-systemen hun juiste rol te geven in de interne beheersing, ontstaat ruimte om samen met raad, college en ambtelijke organisatie de focus te verleggen naar het menselijke aspect van verantwoording: interpretatie, uitlegbaarheid en bestuurlijke keuzes.

Precies daar waar het er echt toe doet.

Nulmeting als startpunt

Wij stellen voor om een nulmeting uit te voeren op de Cyberbeveiligingswet-zorgplicht. Deze nulmeting is bedoeld om mogelijke tekortkomingen in een vroeg stadium te signaleren, zodat het ambtelijk apparaat tijdig verbetermaatregelen kan doorvoeren en de bestaande roadmap verder kan aanscherpen.

Hiermee zorgen we voor een heldere toekomstvisie: tijdig inzicht verkrijgen, regie behouden en voorbereid zijn op toekomstige verplichtingen. Zodat in de meest gunstige situatie vanaf boekjaar 2027 één IT-audit wordt verricht op werking, maar middels meerdere assurancerapportages alle stakeholders worden voorzien: van Logius en BKWI, uw VIC-functie, tot ons als uw accountant.

Het momentum is nu

De periode 2025-2026 is het implementatievenster voor NIS2 en BIO2. Gemeenten moeten nu handelen om tijdig compliant te zijn. De VNG signaleert expliciet behoefte aan ondersteuning voor gap-analyses, ISMS-implementatie en audit-begeleiding (VNG, 2025).

Het zit in ons DNA om nieuwsgierig te zijn naar wat onze opdrachtgevers bezighoudt en hoe zij hun organisatie inrichten. Daar bevragen we op en we spiegelen vanuit onze ervaring. Meedenken betekent ook dat we gaan voor wat haalbaar is binnen uw specifieke context.

Benieuwd hoe geïntegreerde assurance er voor uw gemeente uit kan zien? Neem contact met ons op voor een vrijblijvend gesprek over de mogelijkheden.

Referenties

Berenschot. (2025, 7 november). Eindrapport Onderzoek Uitvoeringskosten Informatiebeveiliging Gemeenten. In opdracht van de Vereniging van Nederlandse Gemeenten.

Highberg. (2024). Analyse overlap normenkaders informatiebeveiliging overheid. Highberg.

Informatiebeveiligingsdienst voor gemeenten (IBD). (2025). Dreigingsbeeld informatiebeveiliging Nederlandse gemeenten 2025-2026. IBD.

M&I/Partners. (2025, 29 juli). Formatieonderzoek informatiebeveiliging bij gemeenten 2024.

Ministerie van Justitie en Veiligheid. (2024). Wetsvoorstel Cyberbeveiligingswet: Memorie van toelichting. Rijksoverheid.

Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO). (2025, 23 september). Baseline Informatiebeveiliging Overheid 2 (BIO2). Digitale Overheid.

Vereniging van Nederlandse Gemeenten (VNG). (2025). Ondersteuningsbehoefte gemeenten bij implementatie NIS2 en BIO2. VNG.

M

modus audit

Accountantscontrole herontworpen voor de toekomst

Gerelateerde artikelen

Lees meer over dit onderwerp

modus audit

Fijne Feestdagen 🎄

Een fantastisch jaar, vol met prachtige mijlpalen en inspirerende gesprekken en samenwerkingen. Wij willen iedereen bedanken voor het vertrouwen in modus audit!

Lees meer →

Op de hoogte blijven?

Ontvang onze nieuwste inzichten en updates over ontwikkelingen in accountancy, technologie en regelgeving.

Neem contact op