Naar de inhoud

NIS2: waarom uitstel geen optie meer is

Melanie van Leeuwen

Melanie van Leeuwen, Compliance Consultant bij ICT Recht, heeft een opvallende carrière achter de rug. Van familierechtbank in Missouri als openbaar aanklager tot information en compliance consultant in Nederland. “Het leven pakt soms anders uit,” zegt ze met een lach. Vandaag helpt ze organisaties de NIS2-richtlijn te vertalen naar concrete, werkbare maatregelen. Geen droge wetgeving, maar praktische governance die bestuurders écht aangaat. Dat is het uitgangspunt van de cursus NIS2: Naar een veiliger en veerkrachtiger Digitale Samenleving die zij op 12 juni geeft.

De NIS2-richtlijn en de Nederlandse Cyberbeveiligingswet stellen hoge eisen aan risicobeheersing, leveranciersmanagement, incidentresponse en bedrijfscontinuïteit. Voor veel organisaties voelt het als een ver-van-hun-bed-show. Toch is dat een gevaarlijke misvatting, waarschuwt Melanie. “De grootste valkuil is dat we al zo lang weten dat de wet eraan komt, maar dat men nog niet echt begonnen is. Het is een beetje ‘dat komt wel’.”

Die houding is begrijpelijk, zeker bij kleinere organisaties met beperkte middelen. De overheid stelde de invoering herhaaldelijk uit, wat het gevoel van urgentie niet hielp. Maar uitstel is nu echt geen optie meer, is de boodschap. Bestuurders worden persoonlijk aansprakelijk gesteld en moeten binnen twee jaar na inwerkingtreding van de wet een passende training hebben gevolgd. Het is dus tijd om actie te ondernemen.

Van papieren verplichting naar daadwerkelijke weerbaarheid 
Volgens Melanie is NIS2 in de kern geen complexe exercitie, maar vooral digitale basishygiëne. Organisaties met een ISO27001 of NEN7510 zijn vaak al een heel eind op weg. “Dan hoef je misschien alleen wat dingen aan te passen, een stuk overzichtelijker dus.” De echte uitdaging zit in de vertaalslag naar de praktijk.

Belangrijke pijlers zijn governance, risicomanagement, leveranciersmanagement, incidentresponse en business continuity. “Je moet weten hoe je toeleveringsketen loopt, waar MFA (Multi-Factor Authentication) nodig is, beleid hebben en risico’s actief beheersen”, legt ze uit. Vooral het leveranciersmanagement leidt tot lastige vragen in de markt. Klanten vragen soms vergaande inzage in contracten, wat en stuk verder gaat dan strikt noodzakelijk.

Een praktische eerste stap die veel organisaties overslaan: bepaal of je eigenlijk wel onder de wet valt en voer een gap-analyse uit. “Dan weet je in ieder geval waar je staat en wat je nog moet doen”, aldus Melanie. Dat voorkomt paniek, onrust en onnodige investeringen.

Persoonlijke aansprakelijkheid en multidisciplinaire aanpak 
Wat NIS2 onderscheidt van eerdere wetgeving is de nadruk op de rol van het bestuur. Het is niet langer voldoende om ‘informatiebeveiliging’ in het portfolio van één bestuurslid te leggen. Iedereen in het topmanagement draagt verantwoordelijkheid. “Ze kunnen persoonlijk aansprakelijk worden gesteld en in het ergste geval uit hun functie worden gezet”, benadrukt Melanie.

De consequenties van nalatigheid zien we regelmatig in het nieuws. Reputatieschade, boetes en in extreme gevallen zelfs menselijk leed, zoals bij de ransomware-aanval op een Londense ziekenhuisketen. “De gevolgen kunnen heel serieus zijn. Over het algemeen zal dat voornamelijk reputatieschade zijn, maar dat is als ondernemer al een risico dat je niet wilt lopen.”

De waarde van de opleiding 
De cursus NIS2: Naar een veiliger en veerkrachtiger Digitale Samenleving is ontwikkeld om bestuurders, security officers en IT-managers praktische handvatten te geven. Deelnemers leren niet alleen wat de wet vereist, maar vooral hoe je die verplichtingen slim en efficiënt implementeert.

“Wat leer je? Praktische kennis: hoe je de NIS2 kan toepassen, hoe voer je een risicoanalyse uit en wat is verplicht vanuit leveranciersmanagement”, somt Melanie op. Ook de noodzaak van een multidisciplinaire samenwerking wordt uitgebreid behandeld tijdens de cursus. Juristen, IT’ers en bestuurders moeten dezelfde taal spreken om NIS2 succesvol te maken.

Daarnaast komt de invloed van AI aan bod. Enerzijds een tool voor betere monitoring, anderzijds een nieuwe vector voor geavanceerde phishing. De AI Act en NIS2 raken elkaar hier. “Je kan het niet meer op een eilandje zetten. Je moet met een multidisciplinair team werken.”

Melanie besluit: organisaties die nu actie ondernemen, bouwen niet alleen compliance op, maar ook echte veerkracht. In een tijd waarin cyberincidenten bijna dagelijks voorkomen, is dat geen kostenpost, maar een strategische investering in continuïteit en vertrouwen. En dát wil je!

Neem zelf nu ook actie en meld je aan voor de cursus op 12 juni. Dan ben je zeker goed voorbereid!

Auteur: Teri Soekkha