NIS2 is een EU-richtlijn (de European Network en Information Security Directive EU n. 2022/2555) die tot doel heeft een hoger gemeenschappelijk niveau van cybersecurity te realiseren en daarmee de digitale weerbaarheid te verbeteren. Als je een bestuurslid, directeur of manager bent in de publieke sector, is de term NIS2 je ongetwijfeld al ter ore gekomen. Maar wat betekent dit concreet voor je dagelijkse werkzaamheden? Dit artikel geeft een uitgebreide uitleg over waarom digitale weerbaarheid niet langer een IT-project is, maar een cruciale en fundamentele taak van modern bestuur.

Tegenwoordig beginnen de meeste publieke organisaties hun NIS2 traject met het afgaan van een checklist. Ze vragen zich voortdurend af: “Wat moeten we regelen?” en “Wat moeten we bewijzen?”. Deze focus op bewijsstukken duidt op een algemeen misverstand over compliance; wie NIS2 ziet als een “klassieke” checklist gaat voorbij aan het feit dat het een nieuwe systemische benadering betreft.

De richtlijn omschrijft niet alleen de beveiligingstechnieken, maar benadrukt de zorgplicht van het bestuur. Hoewel de wet een enorme technische component heeft, omschrijft de wet digitale weerbaarheid eerst en vooral als een bestuurlijke verantwoordelijkheid. Het is niet iets dat simpelweg aan de IT-afdeling gedelegeerd kan worden om het daar vervolgens bij te laten.

NIS2 verbreedt de horizon: een digitale verstoring (zoals een datalek of incident) is voortaan handhaafbaar als een falen van de bedrijfsvoering, waarbij het bestuur direct verantwoordelijk is. Dit betekent dat toezichthouders bij aantoonbare nalatigheid bestuurders persoonlijk aansprakelijk kunnen stellen. Daarnaast is het bestuur verplicht om trainingen te volgen om voldoende kennis en vaardigheden op te doen om hun verantwoordelijkheden uit te dragen.

Wat houdt nalatigheid in?

Artikel 21 van de NIS2-richtlijn biedt een lijst met maatregelen voor cyberbeveiliging en risicobeheer die publieke organisaties moeten implementeren. Deze maatregelen omvatten onder meer incidentafhandeling, bedrijfscontinuïteit en crisisbeheer, basispraktijken voor cyberhygiëne, en beleid rondom versleuteling. Het niet implementeren van deze maatregelen kan worden gezien als nalatigheid van het bestuur waarvoor bestuursleden dus persoonlijk aansprakelijk gesteld kunnen worden. Maar hoe werkt dat in de praktijk?

Een typisch voorbeeld van nalatigheid is een bestuur dat herhaaldelijk budgetverzoeken negeert die de digitale weerbaarheid zullen versterken, bijvoorbeeld als er een kwetsbaarheid wordt ontdekt in het systeem dat wordt gebruikt voor Wmo-betalingen en de beheerders middelen nodig hebben om deze kwetsbaarheid te herstellen, maar het bestuur deze middelen niet toekent. Als deze kwetsbaarheid op een later moment wordt uitgebuit door kwaadwillenden, dan is het nalaten van actie (in dit geval het niet toekennen van budget voor herstel) een voorbeeld van nalatigheid.

Om dit te voorkomen, zul je data niet langer als een IT-bijproduct moeten zien, maar als de ruggengraat van de bedrijfsvoering. We helpen jouw organisatie graag om versnippering te doorbreken door eigenaarschap te beleggen: van systemen naar proceseigenaars die verantwoordelijk zijn voor hun eigen datastromen.

De juiste vraag: zijn we NIS2-weerbaar?

Anders dan de bewijsstukvraag zul je jezelf de vraag moeten stellen: “Zijn we weerbaar genoeg om aan de nieuwe NIS2-eisen te voldoen?”. Deze verschuiving in focus – van bewijsvoering en verantwoording naar denken in weerbaarheid verandert de strategie:

Het is niet alleen een kwestie van louter preventie; er moet ook geïnvesteerd worden in herstelcapaciteit. Je zorgt voor een volledig voorbereid en helder crisiscommunicatieplan tussen juridische zaken, IT, compliance en bestuursleden voor wanneer er sprake is van een incident.

De CISO als de belangrijkste adviseur

Je CISO speelt een kernrol in het NIS2-klaarmaken van je organisatie. 

Deze versturen we 3-4x per jaar.