Cybersecurity Assessment
Het probleem: beveiliging zonder integraal overzicht
Organisaties investeren in losse maatregelen — een EDR hier, een firewall-upgrade daar, een bewustzijnstraining — maar zien zelden het geheel. Zonder structureel overzicht ontstaat:
- Investeringen in lage-impact maatregelen terwijl kernrisico's onbeheerst blijven
- Onvoldoende aansluiting tussen IT-realiteit en wat het bestuur denkt dat er geregeld is
- Compliance-activiteiten die wettelijk voldoen maar security niet verbeteren
- Versnipperde verantwoordelijkheden — niemand "owns" de security-positie integraal
- Geen aantoonbare basis voor audit, toezichthouder of cyber-verzekeraar
- Ontbrekend inzicht in hoe uw positie zich verhoudt tot sectorgenoten
Een cybersecurity assessment brengt structuur, meetbaarheid en richting.
Wat u krijgt bij een DEFION Cybersecurity Assessment
Onze assessments combineren strategische analyse met technische validatie:
✔ Huidig beveiligingsniveau — Analyse van bestaande maatregelen, governance, processen en technische inrichting
✔ Risicoidentificatie — Systematische beoordeling van technische én organisatorische risico's, geprioriteerd op impact
✔ Volwassenheidsscore — Meetbaar niveau op people, process en technology tegen erkende modellen (NIST CSF, ISO 27001, CMMC)
✔ Compliance-gap analyse — Toetsing aan NIS2, DORA, ISO 27001, CRA of sectorspecifieke kaders
✔ Bestuurlijke rapportage — Helder rapport voor directie, raad van bestuur en externe toezichthouders
✔ Prioriteitenkaart — Concrete rangschikking van verbeteringen op basis van risico-impact én uitvoerbaarheid
✔ Implementatieroadmap — Fasering met eigenaarschap, tijdlijnen en afhankelijkheden
Geen generieke checklist. Een onderbouwde, organisatiegerichte beoordeling op maat.
Welke vormen van assessment biedt DEFION?
Security Maturity Assessment
Systematische beoordeling van uw beveiligingsvolwassenheid op basis van erkende frameworks (NIST Cybersecurity Framework, ISO 27001, CMMC). U krijgt een meetbaar startpunt en een heldere groeiroute.
Risico Assessment
Identificatie en prioritering van uw technische en organisatorische risico's. Welke risico's zijn kritiek voor uw bedrijfsvoering? Waar is de kans op incident het hoogst én de impact het grootst?
Compliance Assessment
Gestructureerde toetsing aan specifieke normenkaders: ISO 27001, NIS2, DORA, EU Cyber Resilience Act of sectorspecifieke regelgeving. Gericht op aantoonbare compliance, niet alleen op papieren vinkjes.
Technische Security Review
Evaluatie van uw architectuur, configuraties, netwerksegmentatie en technische beveiligingsmaatregelen. Identificeert technische kwetsbaarheden die organisatorische assessments niet vangen.
Threat Modeling
Identificatie van realistische aanvalspaden gegeven uw organisatietype, sector en dreigingsprofiel. Welke aanvallers bedreigen u, wat willen ze bereiken en hoe zouden ze dat doen?
OT Security Baseline Assessment
Beoordeling van uw industriële omgeving op security-volwassenheid — specifiek gericht op OT-architectuur, segmentatie en de convergentie van IT en OT. Relevant voor de maakindustrie, energie, water en transport.
Tijdens de intake bepalen wij samen welke combinatie aansluit bij uw doelstelling.
Hoe een assessment bij DEFION verloopt
-
Scopebepaling & doelstelling
We bepalen samen het normenkader, de doelstelling en de betrokken stakeholders — IT, security, compliance, management en eventuele externe toezichthouders. -
Documentatieanalyse
We beoordelen bestaande beleidsdocumenten, architectuurbeschrijvingen, risicoregisters en eerdere auditrapportages. -
Interviews & technische validatie
Gestructureerde interviews met sleutelpersonen, aangevuld met technische controles om de werkelijke situatie te valideren — niet alleen wat op papier staat. -
Scoring & prioritering
Volwassenheidsniveau wordt bepaald, risico's worden geprioriteerd en compliance-gaten worden geïdentificeerd. Bevindingen worden gekoppeld aan bedrijfsimpact. -
Rapportage & presentatie
U ontvangt een helder rapport — een technische versie voor IT en security, en een bestuurssamenvatting voor directie en toezichthouders. Wij presenteren de bevindingen persoonlijk en beantwoorden vragen.
Voor welke organisaties is een assessment essentieel?
Een cybersecurity assessment is onmisbaar voor:
- Organisaties met groeiende compliance-eisen (NIS2, DORA, ISO 27001, CRA)
- Besturen die persoonlijke aansprakelijkheid dragen voor security (NIS2) en aantoonbaar inzicht nodig hebben
- Organisaties die risicogestuurd willen investeren in plaats van intuïtief budget toewijzen
- Organisaties die audit-zekerheid nodig hebben richting toezichthouders, verzekeraars of klanten
- Na een incident: begrijpen hoe het kon, en wat er structureel moet veranderen
- Bij fusies, acquisities of outsourcing: governance en security-positie valideren vóór besluitvorming
- Organisaties die voor het eerst een gestructureerd security-programma willen opzetten
"Als je kijkt waar we tien jaar geleden stonden, hebben we enorme vooruitgang geboekt. Het gevoel van controle is groter. We hebben processen en controlemechanismen opgezet die ons in staat stellen de impact van een mogelijke aanval te beperken." FuturumShop, e-commerce klant
"Dankzij DEFION profiteren we van up-to-date kennis over hedendaagse beveiligingsdreigingen en manieren om risico's te voorkomen. We hebben gemoedsrust in de wetenschap dat we 24/7 volledig worden ondersteund door hun team."
Jeroen van Stokkum ICT-manager
![[object Object]](https://assets.defion.security/api/assets/images/l7GY2Z9ip58BiQ5Bckyaz6f4Kz3KdM-w2000.webp?t=3840)
“De sector en de partners waarmee we samenwerken hanteren hoge beveiligingsnormen. Het beschermen van de privacy van individuen in de beelden en de gevoeligheid van de informatie die de drones verzamelen, zoals over objecten in kritieke infrastructuur, vereist dat onze beveiliging onfeilbaar is. Met Defion werken we samen met een professionele partner die ons op het juiste niveau kan ondersteunen. De samenwerking past ook perfect binnen onze strategie om betrouwbare en veilige dronetechnologie aan Europese klanten te leveren.”
Benjamin van der Hilst Medeoprichter & CEO
“Nieuwe eisen vanuit NIS2 voor OT-systemen vergroten de focus op beveiliging. Met DEFION weten we dat we de juiste expertise in huis hebben om onze systemen veilig te houden. De samenwerking was gemakkelijk en prettig; de specialisten zaten echt naast ons in plaats van tegenover ons. Dankzij hun openheid en expertise werken we samen aan hetzelfde doel: optimale beveiliging. Dit geeft ons het vertrouwen om de toekomst tegemoet te treden.”
Alexander OdijkTeammanager
“Als je kijkt waar we tien jaar geleden stonden, hebben we enorme vooruitgang geboekt. Het gevoel van controle is groter. Met Security Assurance en MDR hebben we processen en controlemechanismen opgezet die ons in staat stellen de impact van een mogelijke aanval te beperken. De samenwerking dient ook als een constante herinnering om de focus op beveiliging te behouden en de juiste prioriteiten op dat gebied te stellen. Het houdt ons alert en scherp. Bovendien zijn de specialisten van Defion zeer technisch onderlegd en gepassioneerd over hun vakgebied. Dat blijkt duidelijk uit hun diensten.”
Gerco VermeerDevelopment Manager
Veelgestelde vragen
Hoeveel kost een cybersecurity assessment?
Dit hangt af van de omvang van uw organisatie, het gekozen normenkader en de gewenste diepte. Een intakegesprek is kosteloos. Wij geven binnen één werkdag een eerste inschatting.
Hoe lang duurt een assessment?
Van intake tot eindrapport typisch 4-8 weken, afhankelijk van scope en beschikbaarheid van betrokkenen.
Hoe verschilt dit van een pentest?
Een assessment is strategisch en organisatiegericht: we beoordelen beleid, processen, governance en technische inrichting. Een pentest is technisch en exploratief: we proberen actief kwetsbaarheden te misbruiken. Ze zijn complementair — een assessment bepaalt prioriteiten, een pentest valideert of de verdediging werkt.
Mogen wij het rapport delen met onze auditor of toezichthouder?
Ja, en wij raden het aan. Onze rapporten zijn opgesteld met externe stakeholders in gedachten.
Wat als wij al een eerdere audit hebben gehad?
Wij nemen eerdere rapporten mee als input en richten ons op wat sindsdien is veranderd én op blinde vlekken die eerder zijn gemist.
Biedt DEFION ook begeleiding bij de implementatie van aanbevelingen?
Ja. Wij helpen graag met prioriteitenplanning en implementatiebegeleiding, inclusief CISO as a Service voor organisaties die structurele security-leiderschap nodig hebben.
Waarom DEFION — en niet een groot adviesbureau?
Technische diepgang én strategisch advies
Grote consultancybedrijven leveren compliance-rapporten. DEFION levert technisch gevalideerde inzichten aangevuld met strategisch advies — door specialisten die ook pentesten en incidenten responderen.
Vendor-neutraal en zonder verkoopagenda
Wij verkopen geen producten. Onze aanbevelingen zijn gebaseerd op uw belangen — niet op licentie-opportunities.
IT én OT
Onze assessors begrijpen zowel IT-omgevingen als industriële OT-architecturen. In sectoren waar IT en OT convergeren — maakindustrie, energie, water, transport — is dat onderscheidend.
Voortgekomen uit twintig jaar fieldwork
DEFION is ontstaan uit Computest Security en Incide. Onze assessors zijn ook pentesters en incident responders. Zij weten niet alleen wat in theorie kwetsbaar is — zij weten wat aanvallers in de praktijk doen.
