Skip to main content

Digitale weerbaarheid is geen certificaat

NIS2 is een EU-richtlijn (de European Network en Information Security Directive EU n. 2022/2555) die tot doel heeft een hoger gemeenschappelijk niveau van cybersecurity te realiseren en daarmee de digitale weerbaarheid te verbeteren. Als je een bestuurslid, directeur of manager bent in de publieke sector, is de term NIS2 je ongetwijfeld al ter ore gekomen. Maar wat betekent dit concreet voor je dagelijkse werkzaamheden? Dit artikel geeft een uitgebreide uitleg over waarom digitale weerbaarheid niet langer een IT-project is, maar een cruciale en fundamentele taak van modern bestuur.

Tegenwoordig beginnen de meeste publieke organisaties hun NIS2 traject met het afgaan van een checklist. Ze vragen zich voortdurend af: “Wat moeten we regelen?” en “Wat moeten we bewijzen?”. Deze focus op bewijsstukken duidt op een algemeen misverstand over compliance; wie NIS2 ziet als een “klassieke” checklist gaat voorbij aan het feit dat het een nieuwe systemische benadering betreft.

De richtlijn omschrijft niet alleen de beveiligingstechnieken, maar benadrukt de zorgplicht van het bestuur. Hoewel de wet een enorme technische component heeft, omschrijft de wet digitale weerbaarheid eerst en vooral als een bestuurlijke verantwoordelijkheid. Het is niet iets dat simpelweg aan de IT-afdeling gedelegeerd kan worden om het daar vervolgens bij te laten.

NIS2 verbreedt de horizon: een digitale verstoring (zoals een datalek of incident) is voortaan handhaafbaar als een falen van de bedrijfsvoering, waarbij het bestuur direct verantwoordelijk is. Dit betekent dat toezichthouders bij aantoonbare nalatigheid bestuurders persoonlijk aansprakelijk kunnen stellen. Daarnaast is het bestuur verplicht om trainingen te volgen om voldoende kennis en vaardigheden op te doen om hun verantwoordelijkheden uit te dragen.

Wat houdt nalatigheid in?

Artikel 21 van de NIS2-richtlijn biedt een lijst met maatregelen voor cyberbeveiliging en risicobeheer die publieke organisaties moeten implementeren. Deze maatregelen omvatten onder meer incidentafhandeling, bedrijfscontinuïteit en crisisbeheer, basispraktijken voor cyberhygiëne, en beleid rondom versleuteling. Het niet implementeren van deze maatregelen kan worden gezien als nalatigheid van het bestuur waarvoor bestuursleden dus persoonlijk aansprakelijk gesteld kunnen worden. Maar hoe werkt dat in de praktijk?

Een typisch voorbeeld van nalatigheid is een bestuur dat herhaaldelijk budgetverzoeken negeert die de digitale weerbaarheid zullen versterken, bijvoorbeeld als er een kwetsbaarheid wordt ontdekt in het systeem dat wordt gebruikt voor Wmo-betalingen en de beheerders middelen nodig hebben om deze kwetsbaarheid te herstellen, maar het bestuur deze middelen niet toekent. Als deze kwetsbaarheid op een later moment wordt uitgebuit door kwaadwillenden, dan is het nalaten van actie (in dit geval het niet toekennen van budget voor herstel) een voorbeeld van nalatigheid.

Om dit te voorkomen, zul je data niet langer als een IT-bijproduct moeten zien, maar als de ruggengraat van de bedrijfsvoering. We helpen jouw organisatie graag om versnippering te doorbreken door eigenaarschap te beleggen: van systemen naar proceseigenaars die verantwoordelijk zijn voor hun eigen datastromen.

De juiste vraag: zijn we NIS2-weerbaar?

Anders dan de bewijsstukvraag zul je jezelf de vraag moeten stellen: “Zijn we weerbaar genoeg om aan de nieuwe NIS2-eisen te voldoen?”. Deze verschuiving in focus – van bewijsvoering en verantwoording naar denken in weerbaarheid verandert de strategie:

Het is niet alleen een kwestie van louter preventie; er moet ook geïnvesteerd worden in herstelcapaciteit. Je zorgt voor een volledig voorbereid en helder crisiscommunicatieplan tussen juridische zaken, IT, compliance en bestuursleden voor wanneer er sprake is van een incident.

De CISO als de belangrijkste adviseur

Je CISO speelt een kernrol in het NIS2-klaarmaken van je organisatie. 

Verder lezen bij de bron
IB&P

Nieuwsbrief

Deze versturen we 3-4x per jaar.

Recente blogs

De nieuwe Archiefwet: waarom informatiebeveiliging hierbij moet aanhaken
Op 1 januari 2027 treedt de nieuwe Archiefwet in werking. Op het eerste gezicht lijkt dat vooral een onderwerp voor informatiebeheer, DIV, de gemeentearchivaris of juridische zaken. Toch raakt de nieuwe wet ook duidelijk aan informatiebeveiliging.
Waarom BIO2 vooral om eigenaarschap in de lijn vraagt
BIO2 maakt informatiebeveiliging nadrukkelijk onderdeel van goed management: proceseigenaren moeten risico’s kennen, keuzes maken en opvolging organiseren. Daarmee verschuift de focus van losse maatregelen naar aantoonbaar eigenaarschap, samenwerking en risicogestuurde sturing binnen de gemeentelijke praktijk.
Jouw leverancier, jouw risico: Waarom ketenrisico’s geen IT-probleem zijn
Veel gemeenten vertrouwen op leveranciers, maar blijven zelf verantwoordelijk voor de risico’s in de keten. In deze blog lees je waarom ketenrisico’s actief bestuurd moeten worden en hoe je als organisatie grip krijgt op leveranciers, contracten en continuïteit.

Meer recente berichten

Applicatiebeveiliging kraakt onder de snelheid van AI-ontwikkelingen
Verder lezen
Evaluatie datalek gemeente Epe
Verder lezen
Waarom informatiebeveiliging nooit af is
Verder lezen
De Cloud Act en digitale soe­ve­rei­ni­teit ontrafelt
Verder lezen
AI zet decennia cybersecurity op zijn kop
Verder lezen
Privacyklachten stijgen explosief – en de overheid staat in de top 3
Verder lezen
Maatregelen nodig voor automatisering Van Brienenoordbrug
Verder lezen
AP stelt procesbeschrijving voor verscherpt toezicht vast
Verder lezen
Digitale weerbaarheid: waarom een strategische aanpak noodzakelijk is
Verder lezen
Privacyschending bij de verkoop van ‘verloren pakketten’: Bol start onderzoek
Verder lezen