Het is inmiddels duidelijk: met de komst van de Europese NIS2-richtlijn worden organisaties verplicht om hun digitale weerbaarheid aantoonbaar te versterken en passende risicobeheersmaatregelen te nemen. In Nederland wordt deze richtlijn geïmplementeerd via de Cyberbeveiligingswet (Cbw), die duizenden organisaties gaat raken.
De Cbw is inmiddels aangenomen door de Tweede Kamer en ligt momenteel bij de Eerste Kamer. De Eerste Kamer neemt het wetsvoorstel hoogstwaarschijnlijk volgende week in behandeling. Hoewel de definitieve inwerkingtreding nog moet volgen, blijft ons advies: reken op de inwerkingtreding en start met de voorbereidingen als je dat nog niet gedaan hebt.
Wat is NIS2 ook alweer?
NIS2 is de opvolger van de oorspronkelijke Europese NIS-richtlijn en heeft als doel de digitale weerbaarheid van Europa te vergroten. De richtlijn heeft een bredere impact op verschillende sectoren dan voorheen en legt meer nadruk op risicomanagement, governance en bestuurlijke verantwoordelijkheid. Hierdoor wordt cybersecurity een onderwerp voor de bestuurskamer. Bestuurders worden verantwoordelijk voor het toezicht op cyberrisico’s en moeten kunnen aantonen dat passende maatregelen zijn genomen.
Wat zijn de belangrijkste verplichtingen?
De Cbw kent drie kernverplichtingen:
- Registratieplicht
Organisaties die onder de wet vallen moeten zich registreren bij de toezichthouder. - Zorgplicht
Organisaties moeten passende technische, operationele en organisatorische maatregelen nemen om cyberrisico’s te beheersen. Daarnaast speelt ketenbeveiliging een belangrijke rol: ook risico’s bij leveranciers en dienstverleners moeten worden meegenomen en beheerst. - Meldplicht
Significante cyberincidenten moeten binnen de wettelijke termijnen worden gemeld bij de bevoegde instanties.
Hoe kun je direct beginnen?
Veel organisaties denken dat naleving van de Cbw begint met technologie. In de praktijk begint het echter met inzicht:
- Begin met je kroonjuwelen
Veel organisaties weten niet precies welke systemen, processen en data het meest kritisch zijn voor de bedrijfsvoering. Zonder dit inzicht is het onmogelijk om prioriteiten te stellen. Het NCSC benadrukt daarom het belang van een risicoanalyse als basis voor cyberweerbaarheid en compliance. - Zorg dat incidentrespons geen papieren werkelijkheid is
Een incidentresponsplan hebben is één ding, weten hoe je moet handelen tijdens een crisis is iets anders. Oefen daarom regelmatig scenario’s zoals ransomware, datalekken of uitval van een kritische leverancier, bijvoorbeeld via een ‘tabletop exercise’. Organisaties die oefenen reageren sneller en beperken de impact van incidenten aanzienlijk. - Test je back-ups
Vrijwel iedere organisatie maakt back-ups, maar testen opvallend weinig of herstel daadwerkelijk werkt. Het NCSC benadrukt dat herstelvermogen minstens zo belangrijk is als preventie. Een back-up die niet teruggezet kan worden, is waardeloos tijdens een crisis. - Kijk verder dan je eigen organisatie
De Cbw legt veel nadruk op ketenbeveiliging. Dat betekent dat leveranciers, IT-partners en cloudproviders onderdeel worden van je risicobeheer. Breng daarom in kaart welke partijen toegang hebben tot kritische systemen of gevoelige data en maak duidelijke afspraken over beveiliging. - MFA is een basismaatregel
Het NCSC noemt multi-factor authentication expliciet als basismaatregel, vooral voor beheerdersaccounts, externe toegang en kritische systemen. Voor veel organisaties is dit een relatief eenvoudige maatregel waarmee het risico op misbruik aanzienlijk wordt verkleind. - Maak cybersecurity een bestuursonderwerp
Misschien wel de belangrijkste verandering onder de Cbw: cybersecurity verschuift van de IT-afdeling naar de bestuurskamer. Bestuurders moeten kunnen aantonen dat zij toezicht houden op risico’s, besluiten nemen en voldoende inzicht hebben in de digitale weerbaarheid van de organisatie.
Cbw aanpak Legian
Wat wij in de praktijk zien, is dat organisaties vaak niet primair vastlopen op techniek: MFA implementeren, back-ups maken of patches installeren is doorgaans goed te organiseren. De grootste uitdaging zit in governance, risicobeheer, leveranciersmanagement en het aantoonbaar maken van gemaakte keuzes. De kernvragen zijn dan: welke maatregelen zijn nodig, hoe borg je cybersecurity in de bedrijfsvoering en hoe toon je compliance aan?
Juist daar helpt Legian organisaties. Onze aanpak combineert strategisch advies, risicomanagement en praktische implementatie om de Cbw pragmatisch en beheersbaar te implementeren. Daarmee helpen we organisaties niet alleen om te voldoen aan de eisen, maar vooral aantoonbaar in control te zijn.
Nog niet klaar voor de Cbw?
Wil je weten waar jouw organisatie staat of heb je behoefte aan ondersteuning bij de implementatie van maatregelen? Plan een vrijblijvend adviesgesprek via legian.nl/cybersecurity-en-informatiebeveiliging/nis2/ of neem contact op via sales@legian.nl. Dan zorgen we er samen voor dat jouw organisatie aantoonbaar in control is.
Lees hier alles over NIS2/Cbw.
Auteur: Nandenie Moenielal (Strategisch Adviseur & Business Development Cybersecurity)
Legian. Mastering IT Complexity.
