Het probleem

Procedures bestaan. Gedrag niet altijd.

Uw gemeente heeft een informatiebeveiligingsbeleid. Waarschijnlijk een CISO. Misschien een recent BIO-assessment. En toch: de meeste incidenten bij gemeenten zijn niet het gevolg van een technisch lek — maar van een medewerker die een uitzondering maakte. Die iemand binnenliet. Die op een link klikte. Die onder druk besliste.

82% van alle gedocumenteerde inlichtingenoperaties richt zich op mensen, niet op systemen. Niet omdat systemen goed beveiligd zijn — maar omdat mensen beïnvloedbaar zijn. Altijd. Op een slechte dag. Onder tijdsdruk. Als het verhaal geloofwaardig klinkt.

Dat is de kwetsbaarheid die geen IT-audit test. Die geen firewall dicht. En die, als het misgaat, uw gemeente op de voorpagina zet.

82%

Van alle inlichtingenoperaties richt zich op mensen, niet op systemen

342

Nederlandse gemeenten verplicht BIO-compliant en ENSIA-verantwoording

Publiek

ENSIA-resultaten zijn openbaar. Tekortkomingen ook.

Hoe het misgaat

Dit zijn geen hypothetische risico's.

Dit zijn de patronen die wij keer op keer tegenkomen. Niet in theorie. In de gemeenten, instellingen en organisaties waar wij binnen zijn gegaan — op toestemming, zonder dat de medewerkers het wisten.

Fysieke toegang

De monteur die niet stond ingepland

Een bezoeker met een hesje, een gereedschapstas en een overtuigend verhaal loopt door de beveiligde zone van een gemeentehuis. De receptioniste aarzelt even — maar laat hem door. Want hij klinkt gehaast. En het lijkt logisch.

"De meeste dreigingen komen niet binnen doordat iets opvalt — maar doordat iets logisch voelt."

Digitale exposure

Wat een aanvaller weet voordat hij belt

Binnen 30 minuten zijn de e-mailadressen van uw sleutelfunctionarissen bekend, inclusief welke van hen voorkomen in databreaches. Met die informatie bouwt een social engineer een geloofwaardig spearphishing bericht — op naam, met context, met urgentie.

"Een statelijke actor bouwt binnen 20 minuten een volledig HUMINT-profiel — zonder detectie, zonder contact."

Insider dreiging

De medewerker die kwetsbaar is voor benadering

Niet elke insider is kwaadwillend. Maar een medewerker met financiële problemen, een conflict op het werk of toegang tot gevoelige systemen is een doelwit. En die kwetsbaarheid is van buitenaf zichtbaar voor iemand die weet waar te kijken.

"Wij zien deze patronen direct, omdat wij jarenlang getraind zijn om precies dit soort signalen te herkennen."

Procedure vs praktijk

Het beleid dat niemand volgt

Uw clean desk policy staat in het handboek. Uw clean desk is het niet. Wachtwoorden op post-its, toegangsdeuren die op een kier staan, vergaderzalen met vergeten documenten. Niet uit onwil — maar omdat de procedure niet werkbaar is en nooit getest is op realisme.

"Procedures worden structureel omzeild omdat ze niet werkbaar zijn en nooit getest zijn op realisme."

Wetgeving

Drie kaders. Alle drie raken uw gemeente.

De regeldruk op gemeenten neemt toe. Wat ze gemeen hebben: ze vragen allemaal om aantoonbaar bewijs van beheersing — niet alleen een beleidsdocument.

BIO

Baseline Informatiebeveiliging Overheid

Verplicht voor alle gemeenten. ENSIA-verantwoording is jaarlijks en openbaar. Domeinen A.7 (personeel) en A.11 (fysieke beveiliging) vereisen aantoonbaar bewijs van testen — niet alleen beleid. Meer over BIO →

NIS2 · Cbw

Cyberbeveiligingswet

Gemeenten vallen onder de Cyberbeveiligingswet. Zorgplicht vereist risicoanalyse én aantoonbare maatregelen voor het menselijke risico. Handhaving start medio 2026. Meer over NIS2 →

Wwke

Wet weerbaarheid kritieke entiteiten

Gemeenten als kritieke entiteit zijn verplicht fysieke weerbaarheid aan te tonen. Sabotage, infiltratie en insider threats — precies wat Truestate test. Na aanwijzing 10 maanden om compliant te zijn. Meer over Wwke →

Wat wij leveren

Geen rapport over beleid. Bewijs van gedrag.

Wij testen wat uw IT-auditor niet test. Wat uw ENSIA-zelfevaluatie niet oppikt. Wat uw procedures niet afdekken. En wij leveren de rapportage die u nodig heeft om aan te tonen dat u dit serieus neemt — richting gemeenteraad, toezichthouder en bestuur.

Geen consultancy-taal. Geen vage aanbevelingen. Een confronterend rapport dat precies laat zien wat wij hebben gedaan, wat wij hebben gevonden, en wat uw gemeente moet veranderen.

01

Digitale exposure scan

Wat weet een aanvaller al over uw medewerkers? E-mailadressen, databreaches, digitale voetafdrukken, phishing-kwetsbaarheden. Binnen 24 uur een volledig beeld.

02

Fysieke toegangstest

Onze mensen gaan naar binnen — op uw toestemming, zonder dat uw team het weet. Gemeentehuis, depot, serverruimte. Wij documenteren elk moment.

03

Social engineering simulatie

Gerichte phishing, vishing en spearphishing op uw medewerkers. Wie klikt? Wie geeft toegang? Wie deelt informatie? De resultaten zijn direct bruikbaar voor uw BIO-verantwoording.

04

Patroonanalyse rapport

Twee versies: een management rapport (AVG-proof, voor gemeenteraad en toezichthouder) en een intern werkdocument (voor CISO, met namen en details). Beide bruikbaar als bewijs voor BIO, NIS2 en ENSIA.

Pakketten voor gemeenten

Kies het niveau dat past bij uw situatie.

Van een eerste verkenning tot een volledig weerbaar partnerschap. Alle pakketten leveren rapportage bruikbaar voor BIO, NIS2 en ENSIA.

Inzicht

Wat weet een aanvaller al?

Mirror organisatiescan + digitale exposure van de top 3 sleutelfunctionarissen. Inclusief management rapport en NIS2-risicooverzicht.

€4.500

Eenmalig · doorlooptijd 1 week

NIS2 Ready

Aantoonbaar compliant vóór de deadline

Mirror scan + individuele exposure top 5 + physical security test + compliance verklaring bruikbaar richting toezichthouder en gemeenteraad.

€12.500

Eenmalig · doorlooptijd 4 weken

Structureel Weerbaar

Bewijs voor elke ENSIA-cyclus

Jaarrond partnerschap met kwartaalscans, physical security test, awareness sessie voor 25 medewerkers en maandelijkse monitoring.

€16.500

Per jaar · inclusief ENSIA-rapportage

Gratis verkenning

Wij draaien een scan op uw gemeente — en laten u zien wat wij vinden.

Geen verplichtingen. Geen presentatie vol jargon. Wij tonen u concreet wat een aanvaller al weet over uw organisatie en uw mensen — en wat dat voor uw BIO en NIS2-verplichting betekent.

Gesprek aanvragen

Uw gemeente heeft beleid. Maar werken uw mensen ernaar als het erop aankomt?

Procedures bestaan. Gedrag niet altijd.

Dit zijn geen hypothetische risico's.

De monteur die niet stond ingepland

Wat een aanvaller weet voordat hij belt

De medewerker die kwetsbaar is voor benadering

Het beleid dat niemand volgt

Drie kaders. Alle drie raken uw gemeente.

Baseline Informatiebeveiliging Overheid

Cyberbeveiligingswet

Wet weerbaarheid kritieke entiteiten

Geen rapport over beleid. Bewijs van gedrag.

Digitale exposure scan

Fysieke toegangstest

Social engineering simulatie

Patroonanalyse rapport

Kies het niveau dat past bij uw situatie.

Wat weet een aanvaller al?

Aantoonbaar compliant vóór de deadline

Bewijs voor elke ENSIA-cyclus

Wij draaien een scan op uw gemeente — en laten u zien wat wij vinden.

Klaar om te weten
wat uw gemeente blootstelt?

Uw gemeente heeft beleid. Maar werken uw mensen ernaar als het erop aankomt?

Procedures bestaan. Gedrag niet altijd.

Dit zijn geen hypothetische risico's.

De monteur die niet stond ingepland

Wat een aanvaller weet voordat hij belt

De medewerker die kwetsbaar is voor benadering

Het beleid dat niemand volgt

Drie kaders. Alle drie raken uw gemeente.

Baseline Informatiebeveiliging Overheid

Cyberbeveiligingswet

Wet weerbaarheid kritieke entiteiten

Geen rapport over beleid. Bewijs van gedrag.

Digitale exposure scan

Fysieke toegangstest

Social engineering simulatie

Patroonanalyse rapport

Kies het niveau dat past bij uw situatie.

Wat weet een aanvaller al?

Aantoonbaar compliant vóór de deadline

Bewijs voor elke ENSIA-cyclus

Wij draaien een scan op uw gemeente — en laten u zien wat wij vinden.

Klaar om te wetenwat uw gemeente blootstelt?

Klaar om te weten
wat uw gemeente blootstelt?