CFO's en bestuurders krijgen bij elk beveiligingsplan dezelfde vraag: “Is dit bedrag voldoende of juist te hoog?” Het antwoord is alleen zinvol wanneer u weet hoe vergelijkbare organisaties investeren. €500.000 voor security lijkt indrukwekkend totdat blijkt dat de organisatie 200.000 inwoners bedient, vitale processen ondersteunt en NIS2-plichten heeft. Voor een kleine uitvoeringsorganisatie kan hetzelfde bedrag juist buitensporig zijn.
Benchmarking ordent deze discussie. Door security-uitgaven te spiegelen aan peers op basis van kenmerken zoals organisatiegrootte, dreigingsprofiel, digitaliseringsgraad en compliance-kaders krijgt het bestuur data in plaats van aannames. Tegelijkertijd is context cruciaal: nutsbedrijven, gemeenten en agentschappen kennen elk een ander risicoprofiel en dus ander kostenpatroon. Deze whitepaper beschrijft hoe u peer groups selecteert, welke KPI's relevant zijn, hoe u voor context normaliseert en hoe u bevindingen vertaalt naar besluiten voor Nederlandse overheidsorganisaties.
Stap-voor-stap aanpak voor security-benchmarking:
- Selecteer peers op basis van omvang, dreiging, compliancekader en digitaliseringsgraad.
- Verzamel gestandaardiseerde KPI's (kosten vs. IT-budget, FTE's, tooling per gebruiker).
- Normaliseer resultaten voor context (bijv. vitale processen, cloudvolwassenheid).
- Voer gap-analyses uit en vertaal bevindingen naar bestuurlijke keuzes.
Vergelijk appels met appels. Een waterschap leek 8% van het IT-budget “te veel” uit te geven ten opzichte van het overheids-gemiddelde van 5%. Toen de benchmark werd verlegd naar vitale waterbeheerders (gemiddeld 9%) bleek het budget juist te laag. Context bepaalt of u moet bijsturen of juist investeren.
1. Peerselectie en segmentatie
Een effectieve benchmark begint met het zorgvuldig bepalen van wie een echte peer is. Nederlandse overheidsorganisaties lijken oppervlakkig vergelijkbaar, maar verschillen sterk in mandaat, financieringsstructuur en toezichthouders. Een provincie met vitale waterkeringen draagt een andere continuiteitsverplichting dan een zelfstandig bestuursorgaan dat vooral vergunningen afhandelt. Door eerst het primaire proces, de maatschappelijke impact en de wettelijke meldplichten te beschrijven, ontstaat een basis die voorkomt dat vergelijkingen worden gevoerd op basis van aannames in plaats van feiten.
Daarna weegt u objectieve parameters zoals de totale begroting, het aandeel IT-kosten, het aantal medewerkers, de hoeveelheid digitale diensten en de mate waarin de organisatie internationaal zichtbaar is. Koppel aan die volumematen een dreigingsprofiel: welke kroonjuwelen vallen onder de Nederlandse Baseline voor Veilige Cloud, welke onderdelen zijn aangewezen als vitaal onder de Wbni of vallen straks onder NIS2, en welke ketenafhankelijkheden vergroten de kans op supply-chain-aanvallen. Door deze kenmerken te combineren ontstaat een matrix waarin alleen organisaties met vergelijkbare bestuurlijke druk en risicobereidheid overblijven.
Digitaliseringsgraad is minstens zo bepalend. Een gemeente die al volledig op Microsoft 365, Azure Landing Zones en geautomatiseerde CI CD pijplijnen draait kent een ander kostenniveau dan een organisatie die nog veel legacy oplossingen beheert of pas een migratieprogramma start. Neem daarom cloudvolwassenheid, adoptiegraad van Zero Trust principes, mate van automatisering en de aanwezigheid van centrale SOC capaciteit mee als aparte dimensies. Zo voorkomt u dat schaalvoordelen of dubbele lasten van transities ten onrechte als overspending of onderinvestering worden geïnterpreteerd.
Gebruik waar mogelijk Nederlandse bronnen om de segmentatie te onderbouwen. Data uit ENSIA, Rijksbrede I rapportages, NCSC kwartaalupdates en koepelassessments van VNG, Unie van Waterschappen of vakdepartementen geven inzicht in zowel budgetten als volwassenheid. Combineer deze datasets met interne planning en control cijfers en normaliseer ze naar kengetallen zoals security uitgaven per kritieke dienst, beheerlast per 10.000 inwoners of uitgaven per gebruiker met hoog risico. Koppel daar gewichten aan zodat risicodrijvers zwaarder meewegen dan cosmetische indicatoren zoals het aantal publicaties of marketingcampagnes.
Betrek daarnaast risicobereidheid en publieke zichtbaarheid expliciet in de segmentatie. Sommige organisaties accepteren tijdelijk hogere risico's omdat zij in een transformatieprogramma zitten of omdat de politieke prioriteit elders ligt. Leg vast waar het bestuur expliciet kiest voor meer of minder beveiligingscapaciteit en vertaal dat naar een weging in de peerselectie. Zo voorkomt u dat een organisatie die bewust inhaalt zich onterecht onder druk gezet voelt door een benchmark die de context niet kent.
Maak tenslotte gebruik van een scoringsmodel waarin iedere dimensie een puntenscore krijgt. Denk aan een schaal voor kritieke processen, voor compliancecomplexiteit, voor het aantal ketenpartners en voor de mate van digitalisering. Een objectief model helpt bij het aannemen of afwijzen van peers en maakt het mogelijk om wijzigingen te simuleren wanneer de organisatie groeit of nieuwe taken oppakt. Door de scorekaart te koppelen aan het centrale risicoregister ontstaat traceerbaarheid naar het overall risicoprofiel.
Documenteer tenslotte elke keuze in een segmentatiehandboek dat onderdeel wordt van het ENSIA dossier en van de audittrail richting Auditdienst Rijk of Rekenkamer. Beschrijf waarom een organisatie wel of niet in de peer set is opgenomen, welke datapunten zijn gebruikt en hoe vaak de lijst wordt geactualiseerd. Plan een jaarlijkse herijking tijdens de P en C ronde, inclusief toetsing door CISO, controller en lijnmanagement, zodat nieuwe verplichtingen uit de Nederlandse Baseline voor Veilige Cloud, BIO profielen of sectorale beleidsbrieven automatisch worden meegenomen. Zo blijft peerselectie een transparante, herhaalbare stap in plaats van een eenmalige exercitie.
2. KPI's en meetmethoden
Zodra de peer set staat, wordt de kwaliteit van de benchmark bepaald door de meetlat die u gebruikt. Een set willekeurige kengetallen leidt tot discussies over definities, terwijl een zorgvuldig ontworpen KPI raamwerk de vertaalslag maakt van kosten naar risicoverlaging. Begin daarom met het vastleggen van de doelstelling van iedere KPI: ondersteunt deze het BIO controleraamwerk, laat hij compliancekosten zien of bewaakt hij juist de effectiviteit van incidentresponsketens. Door de functie van elke indicator vast te leggen voorkomt u dat cijfers zonder context in dashboards belanden.
Financiele kerncijfers blijven noodzakelijk omdat bestuurders willen weten hoeveel van het IT budget naar beveiliging gaat en hoe dat zich verhoudt tot de peer groep. Meet security uitgaven als percentage van de totale digitale portefeuille, als absolute kosten per medewerker en als kosten per inwoner of klant. Voeg granulariteit toe door preventieve en detectieve investeringen uit elkaar te trekken en door licentiekosten, externe diensten, opleidingen en personele lasten apart te rapporteren. Zo ziet u of een afwijkend totaalbedrag voortkomt uit een dure SOC sourcing constructie of juist uit strategische investeringen in identiteitsbeheer.
Kijk vervolgens naar capaciteits en volwassenheidsindicatoren. Het aantal security FTE per 1.000 werknemers geeft inzicht in de personele dekking, maar zegt weinig zonder informatie over automatisering. Neem daarom metrics op over het percentage geautomatiseerde use cases binnen incidentrespons, het aantal gedocumenteerde playbooks, de volwassenheidsscore volgens bijvoorbeeld NIST CSF of de Nederlandse Baseline voor Veilige Cloud, en de gemiddelde doorlooptijd van meldingen. Wanneer u deze waardes naast de kosten legt ontstaat een beeld van efficiëntie: hogere uitgaven worden acceptabel als ze leiden tot kortere detectietijden, betere compliance en minder auditbevindingen.
Normalisatie en datakwaliteit verdienen aparte aandacht. Definieer vooraf welke licenties tot security worden gerekend, hoe shared services worden verdeeld en op welk moment u kosten boekt. Leg vast hoe u medewerkers telt: gaat het om fte, om gebruikersaccounts of om externen die toegang hebben tot systemen. Gebruik consistente bronnen, bijvoorbeeld grootboekrekeningen, HR systemen en Azure of Microsoft 365 telemetrie, en laat de controller toetsen of de datasets aansluiten op de jaarrekening. Wanneer ieder datapunt een eigenaar, herkomst en validatiestap heeft, wordt het benchmarkrapport auditproof.
Aanvullend is het verstandig om KPI's te voorzien van tijdreeksen zodat trends en seizoenseffecten zichtbaar worden. Vergelijk minimaal drie jaar historische data en markeer momenten waarop grote projecten live gingen, want die gebeurtenissen verklaren vaak pieken. Door trendanalyses standaard te tonen in dashboards kan het bestuur zien of afwijkingen incidenteel of structureel zijn.
Gebruik visualisaties die bestuurders begrijpen, zoals bandbreedtes, waterfall charts en contributieanalyses waarin duidelijk wordt welke kostenpost de meeste impact heeft. Combineer combinaties van KPI's in managementrapportages: toon bijvoorbeeld tegelijkertijd de maturityscore, de security-uitgaven en het aantal grote incidenten. Een integrale presentatie vermindert de kans dat een enkel cijfer tot verkeerde conclusies leidt en maakt duidelijk hoe KPI's elkaar beïnvloeden.
Tot slot moet de KPI set kunnen inspelen op veranderingen. Voeg daarom narratieve indicatoren toe, zoals een maturity assessment of lessons learned uit penetratietesten, zodat bestuurders begrijpen welke kwalitatieve factoren het cijfer beïnvloeden. Koppel KPI's aan concrete beslissingen: de verhouding tussen detectie en preventie bepaalt of een organisatie meer moet investeren in SOC automatisering of juist in identity governance. Door KPI's rechtstreeks te mappen op maatregelen uit de Nederlandse Baseline voor Veilige Cloud, BIO paragraaf 3 of NIS2 artikel 21, maakt u inzichtelijk welke investeringen wettelijk noodzakelijk zijn en welke ruimte er nog bestaat voor optimalisatie.
3. Contextualiseren en interpreteren
Wanneer de cijfers binnenkomen begint het echte werk: het duiden van afwijkingen op basis van risico, volwassenheid en strategische keuzes. Een ruwe constatering dat een ministerie 1,5 procentpunt meer uitgeeft dan de peers zegt weinig zolang u niet uitlegt dat dezelfde organisatie verantwoordelijk is voor internationale sanctiehandhaving, kritieke persoonsgegevens host en onder verhoogde dreiging van statelijke actoren staat. Contextualiseren betekent daarom dat u de cijfers koppelt aan concrete dreigingsscenario's, recent geconstateerde kwetsbaarheden en beleidsdoelen die door het bestuur zijn vastgesteld.
Een praktische aanpak is het definiëren van bandbreedtes. U bepaalt het gemiddelde en de mediaan van de peer groep en voegt daar een tolerantiezone aan toe waarin afwijkingen nog logisch kunnen worden verklaard. Pas wanneer een KPI buiten deze zone valt start u een diepere analyse. Daarbij onderzoekt u of het verschil voortkomt uit tijdelijke factoren zoals migraties, uit achterstallige vervangingen of uit historische onderinvestering. Door verklaringen te onderbouwen met feiten uit projectportfolio's, aanbestedingen en auditrapporten blijft de discussie feitelijk en voorkomt u dat emotie de boventoon voert.
Scenarioanalyse helpt bij het vertalen van cijfers naar besluitvorming. Reken door wat er gebeurt als het securitybudget met een procentpunt stijgt: welke maatregelen kunnen dan worden gerealiseerd, hoeveel sneller detecteert het SOC incidenten en welke compliance risico's verdwijnen. Doe hetzelfde voor neerwaartse scenario's en benoem de risico's die dan ontstaan, bijvoorbeeld langere hersteltijden of het niet halen van NIS2 eisen. Door scenario's te koppelen aan concrete controles uit de Nederlandse Baseline voor Veilige Cloud ziet het bestuur precies welke verplichtingen geraakt worden.
Gebruik deze inzichten vervolgens om bestuurlijke boodschappen te formuleren. Een CISO kan bijvoorbeeld toelichten dat hogere kosten veroorzaakt worden door de noodzakelijke uitbreiding van meervoudige authenticatie naar alle burgerportalen, ingegeven door BIO hoofdstuk 7. Of de controller kan laten zien dat lagere uitgaven het gevolg zijn van een recent voltooid consolidatieprogramma waardoor toolingkosten structureel dalen. Door elke afwijking te koppelen aan een actie, risicoacceptatie of besparing blijft het gesprek gericht op maatregelen in plaats van op emotionele meningen over dure technologie.
Vergeet ook niet de externe factoren mee te wegen. Nieuwe wetgeving, landelijke verkiezingen, geopolitieke spanningen of sectorale incidenten kunnen tijdelijk hogere kosten afdwingen. Maak in het rapport expliciet welke gebeurtenissen het afgelopen jaar een rol speelden en welke aannames u daarbij hanteerde. Zo wordt zichtbaar dat hogere uitgaven soms voortkomen uit verplichtingen buiten de invloedssfeer van de organisatie.
Tot slot hoort bij ieder benchmarkrapport een duidelijk overzicht van vervolgacties, verantwoordelijken en deadlines. Gebruik een RACI of actie log waarin staat wie de afwijking onderzoekt, wie budgetvrijgave voorbereidt en wanneer het bestuur een update ontvangt. Door opvolging zichtbaar te maken in dashboards en in de ENSIA stukken houdt u momentum vast tot de maatregel daadwerkelijk is uitgevoerd.
Leg ten slotte vast hoe bevindingen worden gedeeld en opgevolgd. Documenteer de interpretatie per KPI in een besluitvormingsmemo dat onderdeel is van het P en C dossier, inclusief verantwoordelijke eigenaar, gekozen maatregel en tijdlijn. Deel samenvattingen met raad van bestuur, college of directieraad en zorg dat dezelfde narratieven worden gebruikt richting toezichthouders zoals Inspectie Justitie en Veiligheid of de Autoriteit Persoonsgegevens. Door elke benchmarkcyclus af te sluiten met lessons learned en toetsing tegen de ENSIA vragenlijst ontstaat een continue verbeterlus waarin cijfers niet alleen worden gemeten, maar ook consequent leiden tot acties.
4. Organisatie en governance
Benchmarking levert pas waarde op wanneer het wordt ingericht als een vast onderdeel van het operating model. Plan daarom een jaarlijkse cyclus die synchroon loopt met begroting en jaarverantwoording: in Q1 actualiseert u de peer set en definities, in Q2 verzamelt u data, in Q3 bespreekt u bevindingen met bestuur en in Q4 verwerkt u de besluiten in budgetten en projecten. Door die planning te koppelen aan de Nederlandse Baseline voor Veilige Cloud en aan de BIO volwassenheidsmeting wordt benchmarking een stuurinstrument in plaats van een eenmalige exercitie.
De dataverzameling vraagt om een duidelijke rolverdeling. CISO office definieert de KPI's en bewaakt de interpretatie, de concerncontroller levert de financiële cijfers vanuit het grootboek, HR levert personeelsgegevens en het SOC of IT operations team levert operationele telemetrie uit Microsoft Sentinel, Defender en Intune. Automatiseer deze stromen waar mogelijk met Power BI dataflows, Azure Data Factory of Purview Data Estate zodat handmatige spreadsheets verdwijnen. Voeg validatieregels toe die controleren of ieder datapunt compleet is en log elk datapad, zodat auditors kunnen volgen hoe een cijfer tot stand komt.
Samenwerking buiten de eigen organisatie vergroot de betrouwbaarheid van de benchmark. Sluit aan bij VNG of IBD communities, deel geanonimiseerde KPI's met andere ministeries via Rijksbreed Overleg Digitale Veiligheid en gebruik de formats van NCSC en Unie van Waterschappen voor het harmoniseren van definities. Leg datasharing afspraken vast in een convenant waarin staat hoe gegevens worden geanonimiseerd, wie toegang heeft en hoe lang data worden bewaard. Zo voldoet u aan AVG eisen en vergroot u het vertrouwen dat peers hun cijfers willen delen.
Veranker de uitkomsten in governanceprocessen. Laat het benchmarkrapport standaard agenderen in de informatiebeveiligingscommissie, in het auditcomite en in de raad die over investeringen beslist. Koppel bevindingen direct aan besluitvormingsdocumenten, bijvoorbeeld door een maatregel alleen te financieren als duidelijk is hoe deze de afwijking verkleint en welk risico daarmee wordt gemitigeerd. Gebruik dezelfde data om contracten met leveranciers te evalueren en om prestatie indicatoren voor uitbestede SOC of cloudbeveiligingsdiensten te herijken.
Ondersteun het proces met tooling die eigenaarschap afdwingt. Een centrale Power BI app of een GRC platform kan taken toewijzen, deadlines bewaken en automatische herinneringen sturen wanneer datasets nog niet zijn aangeleverd. Hierdoor blijft de cyclus draaien, ook als medewerkers wisselen of afdelingen worden gereorganiseerd.
Tot slot heeft een volwassen operating model aandacht voor kennisborging. Documenteer lessons learned, pas de handleidingen voor peerselectie en KPI definities aan en train nieuwe medewerkers in het gebruik van het benchmarkplatform. Integreer de inzichten in risk registers, project start architecturen en business cases zodat iedere investering expliciet verwijst naar de laatste benchmark. Door deze kennisdeling te koppelen aan ENSIA, aan de jaarlijkse BIO zelfevaluatie en aan opleidingsplannen voor security professionals ontstaat een lerende organisatie die elke cyclus sneller en preciezer benchmarkt.
Meet tenslotte de effectiviteit van het operating model zelf. Stel indicatoren op zoals de doorlooptijd van dataverzameling, het aantal datasetcorrecties en de mate waarin benchmarkbevindingen worden verwerkt in investeringsbesluiten. Bespreek deze meta KPI's jaarlijks zodat u het proces blijft verbeteren en benchmarking een volwassen stuurinstrument blijft.
Security-benchmarking geeft bestuurders de context om budgetten te beoordelen op basis van feiten in plaats van reflexen. Mits u peers zorgvuldig selecteert, KPI's eenduidig meet en de uitkomsten vertaalt naar risico en volwassenheid, worden benchmarks een stuurinstrument in plaats van een Excel-exercitie.
Voor Nederlandse overheden zijn private benchmarks vaak onbruikbaar: dreigingen, toezicht en publieke verantwoording verschillen fundamenteel. Gebruik daarom datasets van VNG, UvW, NCSC of vakdepartementen en verzamel zelf data via ENSIA of intervisies. Laat benchmarks beslissingen informeren, niet dicteren: afwijkingen vragen om uitleg, niet automatisch om bezuiniging of groei.
Maak benchmarking onderdeel van de jaarlijkse P&C-cyclus: verzamel data, normaliseer, bespreek met bestuur en leg besluiten vast. Zo ontstaat een continu verbeterproces waarmee security-investeringen aantoonbaar aansluiten op risico, wettelijke eisen en maatschappelijke verwachtingen.