17 juni 2026

Welke stappen moet je zetten voor een ENSIA-audit?

Je bent ENSIA-coördinator, beleidsmedewerker informatieveiligheid, of je bent gewoon degene bij wie de audit op het bordje is beland. Misschien weet je al precies wat er van je verwacht wordt. Maar misschien kijk je ook nog een beetje schuin naar dit proces en denk je: waar begin ik eigenlijk?

ENSIA (Eenduidige Normatiek Single Information Audit) is het jaarlijkse verantwoordingsproces waarmee Nederlandse gemeenten aantonen dat zij zorgvuldig omgaan met informatieveiligheid. Concreet gaat het om de beveiliging van systemen zoals de BRP, DigiD en Suwinet. Een onafhankelijke externe IT-auditor beoordeelt de systemen, verwerkt bevindingen in een intern dossier en stel daarna de bijbehorende assurance-verklaring op.

Goed nieuws: als je de stappen kent en op tijd begint, is het goed te doen. Hieronder lees je hoe het werkt.

Lees verder

Stap 1: Weet wat er van je gemeente wordt verwacht

ENSIA draait om twee vormen van verantwoording:

  • Horizontaal: het college van Burgemeester & Wethouders (B&W) legt via een zelfevaluatie, collegeverklaring, een externe IT-audit en een passage in het jaarverslag verantwoording af aan de gemeenteraad.
  • Verticaal: de gemeente rapporteert aan Logius en BKWI (de landelijke toezichthouders) over de specifieke domeinen DigiD en Suwinet. Optioneel kan de gemeente ook rapporteren over de Basisregistratie Personen (BRP) en de BAG, BGT en BRO.

Binnen de gemeente zijn de rollen helder verdeeld: de ENSIA-coördinator beheert het proces en verzamelt het bewijsmateriaal. Het college van B&W stelt de rapportages vast en keurt ze goed. Een externe RE-auditor controleert en beoordeelt de DigiD-aansluiting(en) en Suwinet en rapporteert hierover in een assurance-verklaring.

Stap 2: Voer de zelfevaluatie uit

De zelfevaluatie is het startpunt van de ENSIA-audit. Via de ENSIA-tool beantwoordt de gemeente een uitgebreide vragenlijst, gebaseerd op de normen uit de Baseline Informatiebeveiliging Overheid (BIO). Zo brengt de gemeente in kaart of haar systemen en processen aan de gestelde eisen voldoen.

Dit klinkt overzichtelijk, maar in de praktijk stuit je hier al snel op lastige vragen: wat telt als aantoonbaar bewijs? Welke normen zijn van toepassing op onze situatie? Hoe gaan we om met systemen die we hebben uitbesteed aan een leverancier?

Stap 3: Plan een pre-audit

Voordat de definitieve ENSIA-audit plaatsvindt, loont het om een pre-audit te laten uitvoeren. Een externe auditor beoordeelt dan alvast de zelfevaluatie resultaten, het verzamelde bewijsmateriaal en het door de gemeente opgesteld dossier. Op deze manier wordt een gap-analyse uitgevoerd om vast te stellen wat nodig is om aan de normen te voldoen.

Het grote voordeel is dat je op tijd weet waar de zwakke plekken zitten. Zo kun je die aanpakken vóór de definitieve ENSIA-audit en voorkom je verrassingen op het laatste moment. Ons advies: plan dit ruim in, bijvoorbeeld in oktober/november, niet in de laatste weken van de cyclus.

Stap 4: Voer de noodzakelijke verbeteringen door

Uit de pre-audit komen vrijwel altijd verbeterpunten. Denk aan ontbrekende documentatie, procedures die weliswaar zijn opgezet maar in de praktijk niet aantoonbaar worden gevolgd, of technische kwetsbaarheden. De gemeente pakt deze punten zelf op. Pas als dat is gedaan, is de basis op orde voor de definitieve audit.

Stap 5: Laat een penetratietest uitvoeren (indien van toepassing)

Voert jouw gemeente zelf hosting of softwareontwikkeling uit? Dan ben je verplicht om voor de DigiD-aansluiting een penetratietest te laten uitvoeren, ook wel een 'ethical hacking test' of 'pentest' genoemd. Je webomgeving wordt daarmee systematisch getest op kwetsbaarheden. Voor alle DigiD- aansluitingen is een jaarlijkse penetratietest vereist op de webomgeving. Gemeenten die dit volledig uitbesteden kunnen meestal gebruik maken van de assurance-verklaring van hun leverancier. De auditor beoordeelt altijd of deze toereikend is.

Stap 6: De ENSIA-audit zelf

Als alle voorbereidingen zijn afgerond, voert een gekwalificeerde externe IT-auditor de daadwerkelijke audit uit. Het onderwerp van onderzoek is/zijn de DigiD-aansluiting(en) en Suwinet. De auditor beoordeelt of de verschillende domeinen voldoen aan de gestelde normen en of de gemeente dit ook aantoonbaar kan maken.

Het oordeel wordt vastgelegd in een gestandaardiseerde rapportage, opgesteld en ondertekend door een geregistreerde IT-auditor (RE). Hierbij wordt voldaan aan de gestelde eisen vanuit de beroepsorganisatie NOREA.

Stap 7: Afronding en verantwoording richting college en raad

De manier waarop de ENSIA-cyclus wordt afgesloten, verandert de komende jaren. Voor het verantwoordingsjaar 2025 (inleverperiode tot 1 mei 2026) gold nog de bekende werkwijze: de getekende collegeverklaring, inclusief de DigiD- en Suwinet-bijlagen. Optioneel kon de gemeente er ook voor kiezen om wel al via de 3000D-methodiek te rapporteren. Via het jaarverslag en de verticale rapportages legt de gemeente vervolgens verantwoording af aan de gemeenteraad en de landelijke toezichthouders.

Vanaf verantwoordingsjaar 2026 verandert dit voor DigiD fundamenteel. DigiD wordt dan buiten de ENSIA-collegeverklaring geplaatst. De IT-auditor stelt per DigiD-aansluiting een eigen assurancerapportage op en is daarmee zelf penvoerder van de volledige rapportage. De gemeente hoeft voor DigiD geen bijlagen meer op te stellen.

Voor Suwinet zijn er plannen om dit ook te wijzigen maar hier is nog geen besluit over genomen door de toezichthouder BKWI en beroepsorganisatie NOREA. Tot die tijd blijft de collegeverklaring met IT-auditverklaring voor Suwinet ongewijzigd. De ENSIA-cyclus sluit voor beide domeinen af wanneer alle rapportages zijn vastgesteld door het college en tijdig zijn aangeleverd aan de toezichthouders.

Wat speelt er nu, in 2026?

Als je dit leest, ben je waarschijnlijk langzaam aan het voorbereiden op de verantwoording over 2026 (1 januari tot 31 december 2026). Een paar dingen die nu actueel zijn:

  • DigiD en de 3000D-methodiek: voor het verantwoordingsjaar 2025 hadden gemeenten nog de keuze tussen de traditionele ENSIA-methode en de nieuwe 3000D-aanpak. Vanaf het verantwoordingsjaar 2026 is de 3000D-methode verplicht voor alle DigiD-aansluitingen. Hierbij stelt een IT-auditor per DigiD-aansluiting een afzonderlijk assurance-rapport op. Dit betekent dat de DigiD-bijlagen bij de collegeverklaring komen te vervallen. Er wordt nog besloten of dit ook voor Suwi gaat gelden.
  • Suwinet en toetsing op werking: naast de vertrouwde momentopname per 31 december, wordt voor een aantal Suwinet-normen nu ook de werking getoetst: heeft de gemeente de normen het hele jaar aantoonbaar nageleefd? De werking wordt getoetst over de laatste 6 maanden van de auditperiode (1 juli tot en met 31 december). Vanaf het verantwoordingsjaar 2026 worden de normen 6.1.2, 7.2.2, 9.2.1, 9.2.2, 9.2.5, 9.2.6 en 12.4.1 getoetst op werking. Vanaf verantwoordingsjaar 2027 is het verplicht alle Suwinet normen te laten toetsen op werking.

Liever niet zelf het wiel uitvinden?

Het ENSIA-proces vraagt om goed voorbereide documentatie, een kritische blik op eigen systemen en processen, en kennis van de actuele normen en methodieken. Bij 2-Control begeleiden we gemeenten door het hele traject — van pre-audit tot ondertekende auditverklaring. We kennen de valkuilen, denken mee over wat in jouw situatie past, en zorgen dat je op tijd klaar bent.

Neem contact op meteen van onze experts. We vertellen je graag wat we voor jouw gemeente kunnen betekenen.

Naar overzicht

2-Control B.V.

Haagsemarkt 1
4813 BA Breda
Nederland
+31 (0)76 5019470
verkoop@2-control.nl

BTW NL866595934B01
KVK 93995814

Inschrijven nieuwsbrief

Blijf op de hoogte van het laatste nieuws over onze IT-auditdiensten.