Wat verandert er nu echt?
Hoewel veel artikelen vooral focussen op de wet zelf, vinden wij een andere vraag interessanter: wat verandert er morgen in de praktijk voor bedrijven?
Het korte antwoord: cybersecurity verschuift van een IT-onderwerp naar een bestuursonderwerp én een commerciële randvoorwaarde.
1. Bestuurders worden persoonlijk verantwoordelijk
Een van de grootste veranderingen is dat cyberveiligheid niet meer uitsluitend bij IT of een externe leverancier kan worden neergelegd.
Bestuurders krijgen expliciet verantwoordelijkheid voor cyberrisicobeheersing. Zij moeten inzicht hebben in risico's, maatregelen en de effectiviteit daarvan. Cybersecurity wordt daarmee onderdeel van governance en risicomanagement.
Voor veel organisaties betekent dit dat cyberveiligheid een vaste plek krijgt op directie- en managementagenda's.
2. "Wij vallen niet onder NIS2" wordt minder relevant
Een veelgehoorde reactie is: "Leuk, maar wij vallen niet onder de wet."
Dat kan waar zijn. Toch is dat steeds minder de juiste vraag.
De wet geldt rechtstreeks voor zo'n 8.000 organisaties in Nederland. Maar de invloed reikt veel verder doordat deze organisaties hun leveranciers en partners moeten meenemen in hun risicobeheersing.
Met andere woorden:
- Klanten gaan vragen stellen over jouw beveiliging.
- Leveranciers moeten aantonen welke maatregelen zij nemen.
- Securityvragenlijsten worden normaler.
- Certificeringen en audits krijgen meer gewicht.
De kans is groot dat je niet door de overheid wordt benaderd, maar door je klant.
3. Aantoonbaarheid wordt belangrijker dan beleid
Veel organisaties hebben inmiddels wel een securitybeleid, een back-upregeling of een incidentprocedure.
De echte verandering zit in de vraag: kun je bewijzen dat het werkt?
Toezichthouders kijken niet alleen naar documenten, maar ook naar uitvoering en effectiviteit. Ook klanten zullen steeds vaker bewijs vragen in plaats van beloften.
Denk aan:
- risicobeoordelingen
- leveranciersbeoordelingen
- awareness-trainingen
- logging en monitoring
- hersteltests van back-ups
- certificeringen zoals ISO 27001
4. Leveranciersketens worden onderdeel van cybersecurity
Misschien wel de meest onderschatte verandering.
NIS2 kijkt nadrukkelijk naar ketenrisico's. Een organisatie is niet alleen verantwoordelijk voor haar eigen beveiliging, maar moet ook weten welke risico's leveranciers veroorzaken.
Dat betekent dat steeds meer organisaties gaan vragen:
- Waar staan onze gegevens?
- Welke cloudprovider wordt gebruikt?
- Hoe is toegangsbeheer geregeld?
- Welke certificeringen zijn aanwezig?
- Wat gebeurt er bij een incident?
Voor veel mkb-bedrijven zal dit de meest zichtbare impact van NIS2 worden.
Wat moet je nu doen?
Voor organisaties die rechtstreeks onder de Cyberbeveiligingswet vallen, geldt dat er vanaf 15 augustus verplichtingen zijn rondom registratie, zorgplicht, meldplicht en bestuurlijke verantwoordelijkheid.
Voor alle andere organisaties is het verstandig om zich af te vragen:
- Kunnen wij onze beveiligingsmaatregelen aantonen?
- Hebben we inzicht in onze leveranciersrisico's?
- Zou een belangrijke klant tevreden zijn met ons huidige securityniveau?
- Zijn directie en management voldoende betrokken?
Onze conclusie
De invoering van de Cyberbeveiligingswet is niet het begin van NIS2, maar eerder het einde van de discussie óf het gaat gebeuren.
De echte verandering is dat cybersecurity steeds meer een voorwaarde wordt om zaken te doen. Niet alleen voor vitale organisaties, maar voor vrijwel iedere onderneming die onderdeel is van een digitale keten.
De vraag is daarom niet langer "val ik onder NIS2?", maar:
"Kan ik aantonen dat mijn organisatie digitaal weerbaar genoeg is voor klanten, leveranciers en toezichthouders?"
Dat is uiteindelijk de verandering die de meeste bedrijven gaan merken.