NIS2: van theorie naar echte cyberweerbaarheid

Johnny Honing is al vijf jaar de verbindende schakel tussen informatiebeveiliging en compliance. Waar veel juristen puur vanuit wetgeving redeneren, brengt hij concrete praktijkervaring mee uit zowel interne processen als klantbegeleiding. Samen met Melanie van Leeuwen geeft hij later dit jaar de opleiding NIS2: Naar een veiliger en veerkrachtiger Digitale Samenleving bij Lefebvre Sdu.

“De NIS2 is geen losstaande wet, maar een bevestiging en spiegel van hoe sterk onze samenleving afhankelijk is geworden van digitale systemen”, vertelt Johnny. Die afhankelijkheid groeit razendsnel: meer mensen werken remote, er zijn aanzienlijk meer internationale samenwerkingsverbanden en daarnaast ook een toenemende afhankelijkheid van third-party leveranciers. “Deels thuiswerken is inmiddels veelal de norm, soms zelfs vanuit het buitenland. Dat, in combinatie met internationalisering en onze groeiende afhankelijkheid van ketenpartners, heeft ervoor gezorgd dat het risicolandschap bij veel organisaties fundamenteel is veranderd.”

De kloof tussen boardroom en werkvloer 
Één van de grootste uitdagingen die Johnny in de praktijk ziet, is het verschil in bewustwording tussen senior management en de operationele tak. “We zien een risico met betrekking tot kennis en ownership bij organisaties. Er is best een groot verschil tussen senior management en uitvoerende afdelingen als het gaat over bewustwording van bijvoorbeeld informatiebeveiliging of cybersecurity.”

Volgens hem ligt bij ongeveer 90% van de incidenten de oorzaak in menselijk handelen. Dat maakt bewustwording geen nice-to-have, maar een harde voorwaarde voor weerbaarheid. Een goed risicobeeld begint bij het topniveau. “Als bestuurder of als senior management moet je gewoon goed begrijpen wat risicomanagement in relatie tot informatiebeveiliging inhoudt. Jij bent uiteindelijk namelijk eindverantwoordelijk.”

De invloed van AI 
Inmiddels kunnen we wel stellen dat AI niet meer weg te denken is. Een actueel en boeiend thema in de training is de impact van kunstmatige intelligentie met betrekking tot cybersecurity. AI biedt kansen, bijvoorbeeld bij het automatiseren van risicoanalyses, het opstellen van beleid of het monitoren van systemen. Maar het creëert ook nieuwe risico’s. Denk bijvoorbeeld aan automation bias, waarbij men te snel vertrouwt op de output, maar ook de beveiliging van de AI-systemen zelf.

“AI is een enorm goede tool om processen te versnellen”, aldus Johnny. “Maar het brengt nieuwe risico’s met zich mee. De overlap tussen NIS2 en de AI-Act maakt een geïntegreerde aanpak noodzakelijk.” Oftewel, organisaties kunnen NIS2 en AI niet langer als losse eilanden behandelen.

Geen checklist maar cultuurverandering
Johnny benadrukt dat NIS2 geen checklist is die je eenmalig afvinkt. Het gaat om een cultuurverandering waarbij structurele integratie noodzakelijk is. Bestuurders en management spelen daarin een sleutelrol: zonder een duidelijke top-down aanpak van het bestuur blijft security een IT-kwestie in plaats van een organisatorisch thema. “Als management het voortouw neemt, groeit het draagvlak en wordt dat bewustzijn langzaamaan ook door de rest van de organisatie makkelijker en breder omarmd.”

De NIS2 dwingt organisaties om verder te kijken dan alleen hun eigen muren. Leveranciersmanagement en supply chain-risico’s krijgen veel aandacht. Johnny merkt dat veel bedrijven hier nog zoekende zijn: hoe ver ga je in het in kaart brengen van ketenpartners zonder de samenwerking te verstoren? 
 
De opleiding ‘NIS2: Naar een veiliger en veerkrachtiger Digitale Samenleving’ is nadrukkelijk praktijkgericht. Deelnemers leren niet alleen wat de wet vereist, maar vooral hoe ze die eisen kunnen vertalen naar hun eigen organisatie. “Het is een volledig lesplan waarbij deelnemers de kans krijgen om op basis van hun sector en risicoprofiel zelf in te schatten wat wel en niet relevant is.”

Investeren in veerkracht 
Bedrijven die nog wachten tot de wet volledig gehandhaafd wordt, lopen onnodige risico’s. Johnny ziet dat veel organisaties de urgentie onderschatten, deels omdat de invoering van NIS2 meerdere keren is uitgesteld. Toch is nú handelen verstandig: “Je moet een goed stappenplan opzetten en er serieus over nadenken. Security resources zijn iets waar je écht rekening mee moet houden, het is geen onderwerp dat je tot het laatste moment kunt uitstellen.”

Hoe pak je dat aan? De praktijkgerichte opleiding geeft je concrete handvatten: van een gedegen risicoanalyse tot effectief leveranciersmanagement en het creëren van draagvlak op alle niveaus. Meld je aan en zorg dat jouw organisatie niet alleen compliant is, maar daadwerkelijk weerbaar tegen de digitale dreigingen van morgen. Zo ben je klaar voor de toekomst!

NIS2: Naar een veiligere en veerkrachtigere Digitale Samenleving
Deze praktijkgerichte opleiding van Lefebvre Sdu is ontwikkeld voor bestuurders, juristen, compliance officers, security professionals en lijnmanagers die NIS2 willen omzetten in werkbare maatregelen. Meld je aan en zorg dat jouw organisatie ook klaar is voor de eisen van morgen!

Auteur: Teri Soekkha