Cybersecurity staat bij veel organisaties hoog op de agenda. Met de komst van de Europese NIS2-richtlijn wordt digitale weerbaarheid bovendien niet langer gezien als ‘iets van IT’, maar als een verantwoordelijkheid van de hele organisatie — en nadrukkelijk ook van bestuurders. Volgens INBISCO COO Maureen Meerkerk-de Raad begint NIS2 daarom niet bij techniek, maar bij inzicht in processen, verantwoordelijkheden en risico’s.
Wat is NIS2?
NIS2 is nieuwe Europese wetgeving die organisaties verplicht om hun digitale en operationele weerbaarheid aantoonbaar op orde te hebben. De richtlijn geldt voor een brede groep organisaties in vitale en belangrijke sectoren, waaronder industrie, energie, hightech, logistiek en digitale dienstverlening.
De impact is groot. Organisaties moeten niet alleen passende beveiligingsmaatregelen nemen, maar ook risico’s in hun keten beheersen, incidenten melden en kunnen aantonen dat zij grip hebben op hun processen en systemen. Daarbij wordt ook bestuurdersaansprakelijkheid expliciet benoemd. Bestuurders kunnen verantwoordelijk worden gehouden wanneer onvoldoende maatregelen zijn genomen om cyberrisico’s te beheersen.
“Dat maakt NIS2 nadrukkelijk een bestuurlijk vraagstuk,” zegt Maureen Meerkerk-de Raad. “Het gaat niet alleen over technologie, maar over continuïteit, verantwoordelijkheid en de manier waarop je organisatie functioneert.”
Alles valt en staat met inzicht in processen
Volgens INBISCO begint digitale weerbaarheid met het begrijpen van de eigen organisatie. Wie inzicht heeft in processen, begrijpt waar de grootste risico’s zitten en welke onderdelen cruciaal zijn voor de continuïteit van de organisatie. Daarmee wordt ook duidelijk welke IT-systemen, OT-omgevingen en leveranciers een kritieke rol spelen.
“Niet elke server is even belangrijk en niet elke leverancier vormt hetzelfde risico,” aldus Maureen. “Maar zonder proceskennis weet je niet welke onderdelen écht kritiek zijn.”
Juist die focus is volgens haar essentieel binnen NIS2. De richtlijn vraagt niet om ‘alles tegelijk’ te beveiligen, maar om een bewuste, risicogestuurde aanpak. Waar zitten de kwetsbaarheden? Wat mag absoluut niet uitvallen? En welke afhankelijkheden in de keten kunnen direct impact hebben op de continuïteit?
Veiligheid zit niet alleen in techniek
Een belangrijk misverstand rondom cybersecurity is volgens INBISCO dat techniek alleen voldoende zou zijn. “Als processen niet op orde zijn — niet beschreven, niet gevolgd en niet geëvalueerd — dan biedt geen enkel technisch systeem volledige bescherming,” zegt Maureen.
Een firewall helpt niet als medewerkers niet weten wat ze wel en niet mogen doen. Een back-upbeleid werkt niet als onduidelijk is wie verantwoordelijk is voor uitvoering en controle. Volgens INBISCO ontstaat veiligheid juist in de samenhang tussen processen, gedrag en cultuur.
“Werkwijze leidt tot gedrag, gedrag vormt cultuur en cultuur bepaalt uiteindelijk hoe veilig een organisatie werkelijk is.”
Van kwaliteitsmanagement naar cyberweerbaarheid
Met die visie ondersteunt INBISCO organisaties bij NIS2-trajecten. Het bedrijf ontwikkelde kwaliteitsmanagementsoftware en begeleidt organisaties bij het inzichtelijk maken en borgen van processen, risico’s en verantwoordelijkheden. Daarbij gebruikt INBISCO de internationale norm ISO 27001 als leidraad voor informatiebeveiliging — een standaard die nauw aansluit op de eisen van NIS2.
De aanpak start niet bij technologie, maar bij de organisatie zelf: hoe wordt gewerkt, welke processen zijn kritiek en welke risico’s horen daarbij? Vanuit die analyse worden maatregelen ingericht en aantoonbaar geborgd binnen de organisatie.
NIS2 vraagt om eigenaarschap
Voor veel organisaties betekent NIS2 een nieuwe manier van kijken naar cybersecurity. Niet als los IT-project, maar als integraal onderdeel van bedrijfsvoering, kwaliteit en continuïteit.
“Digitale veiligheid is uiteindelijk een verantwoordelijkheid van de hele organisatie,” besluit Maureen. “En juist daarom begint het bij eigenaarschap, inzicht en duidelijke processen.”
Wil je met Maureen verder praten over dit onderwerp? Neem dan contact op via: maureen.deraad@inbisco.nl
