In de praktijk zien we dat organisaties snel denken dat ze “redelijk goed bezig zijn” op het vlak van cybersecurity. Er zijn firewalls, back-ups en een IT-partner die alles opvolgt.
Toch kan NIS2-compliance dan nog steeds ontbreken. Het is vergelijkbaar met iemand die zich gezond voelt, maar nooit een grondige medische check-up laat uitvoeren. Zolang er niets fout loopt, lijkt alles in orde, tot er plots wél een probleem opduikt.
De NIS2-richtlijn werd ingevoerd om een hoger en meer uniform niveau van cybersecurity binnen de Europese Unie te garanderen. De focus ligt op het versterken van de digitale weerbaarheid en continuïteit van essentiële en belangrijke organisaties, zodat zij beter bestand zijn tegen cyberincidenten en aanvallen van buitenaf.
In deze blog bespreken we drie duidelijke signalen die erop wijzen dat je organisatie vandaag niet voldoet aan NIS2. Herken je één of meerdere van deze signalen? Dan is het tijd om actie te nemen.
Wat betekent NIS2-compliance concreet voor jouw organisatie?
NIS2 draait om weerbaarheid, maar even goed rond controle en aantoonbaarheid van die weerbaarheid. Kun je bewijzen dat je je risico’s kent? Wie er verantwoordelijk is wanneer er iets misloopt? Welke beslissingen worden dan genomen? Hoe worden incidenten opgevolgd?
In theorie klinkt dat logisch. In de praktijk zien we echter drie vaak terugkerende signalen die aantonen dat organisaties toch nog niet voldoen aan NIS2.
Signaal 1: Cybersecurity zit enkel bij IT, niet bij het bestuur
Een van de duidelijkste signalen van non-compliance is wanneer cybersecurity volledig bij IT wordt gelegd. De IT-afdeling beheert de beveiligingsmaatregelen, volgt updates op en reageert op incidenten. Maar het bestuur of senior management blijft op afstand. Cybersecurity wordt gezien als een technisch onderwerp en niet als een strategische verantwoordelijkheid.
Onder NIS2 is dat niet langer voldoende. De richtlijn stelt expliciet dat het bestuur verantwoordelijk is voor het opvolgen van risico’s, het goedkeuren van beveiligingsmaatregelen en het toezicht houden op de uitvoering. Bestuurders moeten bovendien voldoende kennis hebben om die rol ook effectief te kunnen opnemen.
Cybersecurity is dus naast een operationele taak ook een onderwerp voor de boardmeeting governance-onderwerp geworden.
Hoe herken je dit in de praktijk?
Stel jezelf een paar eenvoudige vragen.
Komt cybersecurity structureel op de agenda van het bestuur? Worden cyberrisico’s formeel besproken en gedocumenteerd? Is er vastgelegd wie bepaalde risico’s accepteert en waarom deze geaccepteerd worden? Als er morgen een ernstig incident plaatsvindt, is het dan duidelijk wie de eindverantwoordelijkheid draagt? Weet het bestuur welke kritieke processen afhankelijk zijn van welke systemen, en welke impact een verstoring zou hebben op de organisatie?
Bovendien is awareness ook een duidelijke graadmeter: krijgen bestuurders gerichte opleiding over cyberdreigingen en hun rol onder NIS2? Of blijft kennis vooral geconcentreerd bij IT?
Wanneer deze vragen moeilijk te beantwoorden zijn wijst dit op een structureel governance-tekort, en dus op een verhoogd risico op non-compliance.
Wat verwacht NIS2 hier wél?
NIS2 verwacht dat cybersecurity verankerd is op bestuursniveau. Dat betekent dat het bestuur niet alleen geïnformeerd wordt, maar ook actief betrokken is bij het goedkeuren van beveiligingsmaatregelen, het vastleggen van prioriteiten en het opvolgen van risico’s. Cybersecurity moet deel uitmaken van de strategische besluitvorming, net zoals financiële of operationele risico’s daar deel van zijn.
Daarnaast moet duidelijk vastliggen wie waarvoor verantwoordelijk is. Niet informeel, maar formeel gedocumenteerd. Wie neemt welke beslissingen? Wie accepteert bepaalde risico’s? Wie houdt toezicht op de uitvoering?
De richtlijn verwacht ook dat bestuurders over voldoende kennis beschikken om hun rol op te nemen. Dat impliceert opleiding en bewustmaking, zodat beslissingen niet blindelings worden gedelegeerd aan IT.
Tot slot draait het om aantoonbaarheid. Het moet zichtbaar zijn dat risico’s worden besproken, dat beslissingen worden genomen en dat opvolging plaatsvindt. Zonder die governance-structuur blijft compliance kwetsbaar.
Signaal 2: Er is geen structureel en aantoonbaar risico-managementproces
NIS2 vertrekt vanuit één fundamenteel principe: je moet je risico’s kennen voordat je ze kunt beheersen.
Toch blijkt dat er vaak geen duidelijk en actueel overzicht bestaat van informatieveiligheidsrisico’s. Er is geen centraal risicoregister of een vaste methode om risico’s te beoordelen. Daarnaast worden prioriteiten bepaald op basis van buikgevoel of urgentie, niet op basis van impact en waarschijnlijkheid. Dit kan zorgen voor problemen.
NIS2 vereist een risicogebaseerde aanpak. Dat betekent dat je systematisch in kaart brengt welke processen en systemen kritisch zijn, welke dreigingen daarop van toepassing zijn en welke maatregelen nodig zijn om de continuïteit te waarborgen.
Belangrijk daarbij is niet alleen dat je maatregelen neemt, maar dat je kunt aantonen waarom bepaalde keuzes zijn gemaakt. Waarom dit risico werd geaccepteerd. Waarom dat risico prioriteit kreeg. Wie die beslissing heeft genomen.
Wanneer risicoanalyse geen vast proces is, maar een eenmalige oefening of een document dat niet wordt bijgewerkt, dan voldoet de organisatie niet aan wat NIS2 verwacht.
Extra aandachtspunt: supply chain security onder NIS2
Onder NIS2 stopt bovendien de verantwoordelijkheid niet aan de grenzen van je eigen organisatie.
De richtlijn maakt duidelijk dat ook risico’s in de toeleveringsketen moeten worden meegenomen in die risicoanalyse. Met andere woorden: als een leverancier of IT-partner wordt getroffen door een cyberincident dat jouw dienstverlening beïnvloedt, blijft dat ook jouw probleem.
Bij het kiezen van een leverancier, wordt er meestal gekeken naar prijs, beschikbaarheid en services. Wanneer cybersecuritymaatregelen en/of certificering geen structureel onderdeel zijn van dit keuzeproces, wijst dit op niet-compliance met NIS2.
NIS2 verwacht namelijk dat je inzicht hebt in de risico’s die verbonden zijn aan externe partijen. Dat betekent dat je weet welke leveranciers toegang hebben tot kritieke systemen, welke afhankelijkheden er bestaan en welke impact een verstoring bij hen kan hebben op jouw organisatie.
Supply chain security is daarom geen bijkomende oefening, maar een integraal onderdeel van je risicomanagement.
Wil je hier dieper op ingaan?
In ons eBook over supply chain attacks onder NIS2 leggen we concreet uit hoe je deze risico’s in kaart brengt en beheerst.
Typische rode vlaggen
Hoe weet je of je risicomanagement onvoldoende structureel is? Deze signalen komen vaak terug:
- Er is geen centraal en actueel risicoregister. Risico’s zitten verspreid in losse documenten of in het hoofd van enkele medewerkers.
- De laatste risicoanalyse dateert van enkele jaren geleden en wordt niet systematisch herzien.
- Het is onduidelijk welke processen en systemen écht kritisch zijn voor de continuïteit van de organisatie.
- Risicobeoordelingen gebeuren vooral na een incident, niet preventief.
- Leveranciers worden niet structureel beoordeeld op hun cybersecuritymaatregelen.
- Er is geen duidelijke koppeling tussen geïdentificeerde risico’s en concrete actieplannen.
Eén rode vlag kan nog toeval zijn. Maar wanneer meerdere van deze situaties herkenbaar zijn, wijst dat meestal op een gebrek aan een volwassen en aantoonbare risicoaanpak, en dus op een verhoogd risico op non-compliance met NIS2.
Signaal 3: Incidenten worden niet tijdig herkend, geregistreerd of gemeld
Zelfs organisaties met degelijke beveiligingsmaatregelen kunnen tekortschieten wanneer een incident zich effectief voordoet.
NIS2 legt duidelijke verplichtingen op rond incidentmanagement. Je wilt hiermee schade beperken, maar incidenten ook tijdig detecteren, correct documenteren en, wanneer nodig, melden aan de bevoegde autoriteit.
Hier heb je een duidelijk proces voor nodig. Zonder dit formeel incident response plan weten medewerkers niet wat als ernstig incident wordt beschouwd. Escalatielijnen zijn dan onduidelijk en meldtermijnen zijn niet ingebed in een concreet proces.
Herkenbaar? Dan wijst dit ook weer op niet-compliance met NIS2.
De richtlijn voorziet strikte meldtermijnen. Dat betekent dat je snel moet kunnen inschatten wat de impact is van een incident, wie betrokken moet worden en welke informatie moet worden gerapporteerd. Zonder vooraf gedefinieerde procedures is dat in de praktijk moeilijk haalbaar.
Incidentmanagement draait dus niet alleen om reageren. Het draait om voorbereiding, duidelijke verantwoordelijkheden en documentatie.
Wat vereist NIS2 rond incidentmelding?
NIS2 legt duidelijke verplichtingen op wanneer zich een significant cyberincident voordoet.
Organisaties moeten ernstige incidenten binnen strikte termijnen melden aan de bevoegde autoriteit. Dat betekent dat je snel moet kunnen beoordelen of een incident meldingsplichtig is, welke impact het heeft op je dienstverlening en welke informatie moet worden doorgegeven.
Dat vraagt voorbereiding. Je moet vooraf vastleggen:
- wanneer een incident als “significant” wordt beschouwd,
- wie de interne escalatie opstart,
- wie de impactanalyse uitvoert,
- en wie verantwoordelijk is voor de formele melding.
Daarnaast verwacht NIS2 dat incidenten niet alleen worden opgelost, maar ook gedocumenteerd en geëvalueerd worden. Wat is er gebeurd? Wat was de impact? Welke maatregelen worden genomen om herhaling te voorkomen?
Twijfel je over uw NIS2-compliance? Dit is de volgende stap
We herhalen het vaak, maar cybersecurity gaat niet om het eenmalig afvinken van een checklist. Integendeel, het draait rond continuë monitoring, verbetering en evaluatie.
Herken je één of meerdere van de signalen uit deze blog? Dan is dat geen reden tot paniek, maar wel een signaal om gestructureerd actie te ondernemen.
De eerste stap is helderheid. Waar sta je vandaag? Welke risico’s zijn al in kaart gebracht? Waar zitten de grootste gaten? En welke prioriteiten moet je als eerste aanpakken?
Een maturity assessment of gerichte gap-analyse geeft je dat inzicht. Niet om extra werk te creëren, maar om focus en een duidelijk vertrekpunt aan te brengen. Perfectie bestaat niet, maar wanneer je kunt aantonen dat je actief werkt aan governance, risicobeheersing en opvolging, behoud je de controle.
Wil je weten waar jouw organisatie vandaag staat?
Plan een vrijblijvend gesprek met onze experts en krijg helder inzicht in je huidige maturiteit en NIS2-verplichtingen.
