Governance & Verantwoordelijkheid
NIS2: van IT-onderwerp naar bestuurlijke verantwoordelijkheid
Veel organisaties maken dezelfde fout.
Ze starten bij IT.
Tools. Firewalls. Monitoring.
Logisch… maar niet voldoende.
NIS2 draait niet om technologie.
Het draait om besturing, verantwoordelijkheid en aantoonbare controle.
Bestuurlijke verantwoordelijkheid
Binnen NIS2 ligt de verantwoordelijkheid niet langer bij IT, maar expliciet bij de directie.
Bestuurders zijn persoonlijk verantwoordelijk voor cybersecurity en compliance.
Dat betekent dat cybersecurity een vast onderdeel wordt van de boardroom.
Besluiten over risico’s worden niet meer impliciet genomen, maar bewust en aantoonbaar op directieniveau.
Organisaties moeten laten zien dat de directie actief betrokken is. Denk aan vastgelegde besluiten, goedgekeurd beleid en structurele management reviews. Niet één keer per jaar, maar vaak per kwartaal.
Daarnaast is inzicht cruciaal. Geen technische dashboards, maar heldere KPI’s die laten zien waar de organisatie staat, welke risico’s er zijn en welke keuzes worden gemaakt.
De kern is simpel:
niet “IT regelt het”, maar de directie stuurt actief op veiligheid en continuïteit.
Beleid en strategie
Zonder duidelijke koers blijft security reactief en versnipperd.
NIS2 vraagt om een doordachte strategie, vertaald naar concreet en werkbaar beleid.
Geen stapels documenten, maar een helder fundament dat richting geeft aan de organisatie.
Denk aan een informatiebeveiligingsbeleid, afspraken over acceptabel gebruik, toegangsbeheer, incident response en backup & herstel.
Belangrijker nog: het beleid moet leven.
Het moet zijn goedgekeurd door de directie, actueel zijn en zichtbaar terugkomen in de dagelijkse operatie.
Geen templates die in een map verdwijnen, maar beleid dat daadwerkelijk gebruikt wordt.
Leveranciersmanagement
Security stopt niet bij de grenzen van je eigen organisatie.
Sterker nog: leveranciers vormen vaak het grootste risico.
Cloudproviders, IT-partners, softwareleveranciers en externe partijen met toegang tot systemen en data maken allemaal onderdeel uit van jouw risicoprofiel.
NIS2 vereist dat organisaties hier actief op sturen.
Dat begint met inzicht: welke leveranciers zijn kritisch?
Daarna volgt beoordeling: welke risico’s brengen zij met zich mee?
Organisaties moeten aantoonbaar eisen stellen, bijvoorbeeld op het gebied van certificeringen, toegangsbeheer en beveiligingsmaatregelen.
En die eisen moeten niet alleen op papier staan, maar ook periodiek worden getoetst.
In de praktijk betekent dit: supplier risk assessments, minimale security-eisen en structurele evaluaties.
Rollen en verantwoordelijkheden
Security werkt alleen als duidelijk is wie waarvoor verantwoordelijk is.
Binnen veel organisaties ontstaat risico door onduidelijkheid: overlap, aannames of grijze gebieden.
NIS2 dwingt tot helder eigenaarschap.
De directie blijft eindverantwoordelijk.
Een CISO of securityverantwoordelijke stuurt op beleid, coördinatie en toezicht.
IT en operations voeren maatregelen uit.
HR borgt gedrag, awareness en onboarding.
En medewerkers vormen de eerste verdedigingslinie.
Dit moet niet alleen logisch zijn, maar ook aantoonbaar.
Met duidelijke rolverdelingen, functieprofielen en escalation paths voor incidenten.
In de praktijk betekent dit: één duidelijke security owner, heldere afspraken en medewerkers die weten wat er van hen verwacht wordt.
Security is geen afdeling.
Het is een organisatiebreed systeem van verantwoordelijkheid.
Risicomanagement
NIS2 draait om controle. En controle begint met inzicht in risico’s.
Risicomanagement is geen eenmalige exercitie, maar een continu proces.
Organisaties moeten begrijpen waar hun kwetsbaarheden zitten, wat de impact is en hoe ze daarmee omgaan.
Dat begint bij het identificeren van assets, dreigingen en kwetsbaarheden.
Vervolgens worden risico’s geanalyseerd op impact en kans.
Daarna worden keuzes gemaakt: mitigeren, accepteren, vermijden of overdragen.
En die keuzes moeten aantoonbaar zijn.
Een actueel risicoregister, duidelijke risico-eigenaren en vastgelegde besluiten zijn essentieel.
Niet in IT-termen, maar gekoppeld aan echte business impact.
De praktijk?
Regelmatige updates, directe koppeling met investeringen en sturen op wat écht relevant is.
De realiteit
Veel organisaties denken dat ze “iets geregeld hebben”.
Er zijn policies. Er zijn tools.
Maar er is geen regie.
NIS2 kijkt niet naar wat je hebt.
Het kijkt naar of je in control bent.
En dat is precies waar het verschil wordt gemaakt.
