Blog & Events
Bestuurders, kom in actie
De invoering van NIS2 komt dichterbij. Deze nieuwe Europese richtlijn voor netwerk- en informatiebeveiliging zal grote gevolgen hebben voor organisaties in uiteenlopende sectoren. Niet alleen zullen meer organisaties worden aangemerkt als ‘essentieel’ of ‘belangrijk’, ook zullen de verplichtingen strenger zijn en de persoonlijke aansprakelijkheid van bestuurders nadrukkelijker worden vastgelegd.
Veel organisaties lopen het risico NIS2 te benaderen als een set regels die moet worden afgevinkt. Dat is een gevaarlijke misvatting. NIS2 is geen IT-project, maar vraagt om een fundamentele verandering in de manier waarop een organisatie met cybersecurity omgaat. Het gaat om een cultuurverandering: van losse maatregelen naar een duurzame mentaliteit waarin cybersecurity verankerd is in strategie, gedrag en besluitvorming.
Een juiste aanpak biedt echter ook kansen: organisaties die cybersecurity omarmen als kernwaarde, vergroten hun betrouwbaarheid, versterken hun concurrentiepositie en kunnen zich profileren als vertrouwde partner voor klanten, leveranciers en investeerders.
Wat verandert er precies?
De Network and Information Security Directive 2 (NIS2) gaat verder dan de eerdere richtlijn. De belangrijkste doelstellingen zijn:
- Versterken van cyberweerbaarheid binnen de hele EU;
- Verminderen van kwetsbaarheden in netwerken en informatiesystemen;
- Waarborgen van continuïteit bij cyberincidenten;
- Vergroten van transparantie en verantwoordingsplicht, waarbij bestuurders persoonlijk aansprakelijk kunnen zijn.
De kenmerken van een NIS2-cyberveilige organisatie
Een organisatie die de vereisten van NIS2 niet alleen naleeft maar omarmt, onderscheidt zich door de volgende kenmerken:
- Duidelijke governance en communicatie: het bestuur formuleert en communiceert een visie op cybersecurity die in lijn is met de NIS2-verplichtingen. Managers en medewerkers begrijpen wat dit betekent voor hun werk en handelen ernaar.
- Cybersecurity als integraal onderdeel van de strategie: niet als kostenpost, maar als investering in continuïteit, vertrouwen en concurrentiekracht.
- Voorbeeldgedrag van bestuur en management: medewerkers accepteren verandering pas als zij zien dat leidinggevenden dezelfde verantwoordelijkheid nemen.
- Continu leren en ontwikkelen: training en bewustwording maken duidelijk dat iedere medewerker een rol heeft in cyberweerbaarheid.
- Feedback en doorontwikkeling: cultuurverandering wordt actief gemeten en bijgestuurd. Bestuurders luisteren naar signalen uit de organisatie en optimaliseren waar nodig.
- Vasthoudendheid en visie: bestuurders realiseren zich dat cultuurverandering tijd kost en blijven koersvast, ook als weerstand of tegenslag optreedt.
Het risico van afwachten
De invoering van de AVG laat zien wat er mis kan gaan: veel organisaties stelden naleving uit, vertrouwden erop dat de handhaving wel mee zou vallen, en kwamen pas in actie toen boetes en reputatieschade al werkelijkheid waren.
Bij NIS2 ligt dat risico opnieuw op de loer. Het verschil is echter dat de wetgeving nu verder gaat: bestuurders én CISO’s kunnen persoonlijk aansprakelijk worden gesteld bij nalatigheid. Dit vraagt om directe actie en een proactieve benadering, niet om een afwachtende houding.
Wat betekent dit voor bestuurders?
De essentie is duidelijk: zonder cultuurverandering blijft NIS2 een papieren exercitie.
Bestuurders hebben de verantwoordelijkheid om cybersecurity als prioriteit in te bedden in alle lagen van de organisatie. Dat betekent:
- Het belang van cybersecurity expliciet uitdragen;
- Zelf het goede voorbeeld geven in keuzes en gedrag (tone at the top);
- Investeren in kennis, training en bewustwording;
- Cyberrisico’s behandelen als bedrijfskritisch, net als financiële of juridische risico’s;
- Tijdig beginnen, zodat veranderingen kunnen inslijten in processen én cultuur.
Conclusie: Begin vandaag
NIS2 is geen kwestie van enkel naleving – het is een kans om de organisatie structureel sterker te maken. Door nu te starten met de noodzakelijke cultuurverandering, kan een bestuur ervoor zorgen dat cybersecurity doordringt tot in de haarvaten van de organisatie.
Dat vraagt om visie, leiderschap en volharding. Maar het alternatief – wachten en slechts voldoen aan minimale eisen – brengt veel grotere risico’s met zich mee. Gebruik de tijd die er nog is, en begin vandaag.
