Steeds meer organisaties zijn bezig met NIS2. Beleidsdocumenten worden bijgewerkt, risicoanalyses uitgevoerd en leveranciers krijgen extra vragenlijsten toegestuurd.
Op papier lijkt er vaak al veel geregeld.
Toch zien we in de praktijk dat veel organisaties hun volwassenheid op het gebied van informatiebeveiliging hoger inschatten dan deze daadwerkelijk is.
Dat klinkt misschien confronterend, maar het is begrijpelijk. Wanneer je dagelijks met informatiebeveiliging bezig bent, ontstaat al snel het gevoel dat de basis goed staat. Pas wanneer iemand van buitenaf kritisch meekijkt, wordt zichtbaar waar nog risico’s zitten. En precies daar zit voor veel organisaties de uitdaging.
NIS2 gaat niet alleen over IT
Een veelgemaakte fout is om NIS2 te zien als een IT-project. De realiteit is dat NIS2 juist veel verder gaat dan techniek alleen. De richtlijn kijkt naar de manier waarop een organisatie risico’s beheerst. Dat raakt niet alleen de IT-afdeling, maar ook de directie, leveranciers, HR, inkoop en operationele processen. Een firewall installeren of multifactor-authenticatie invoeren is belangrijk. Maar daarmee ben je er niet. NIS2 vraagt ook om inzicht in risico’s, duidelijke verantwoordelijkheden, leveranciersbeheer, incidentmanagement en bestuurlijke betrokkenheid. Juist dat laatste onderdeel wordt vaak onderschat.
Bestuurders krijgen een grotere verantwoordelijkheid
Waar informatiebeveiliging vroeger vaak werd gezien als een onderwerp voor de IT-manager of CISO, legt NIS2 nadrukkelijk verantwoordelijkheid neer bij bestuurders en directieleden. Dat betekent niet dat bestuurders zelf technische maatregelen moeten uitvoeren. Wel moeten zij kunnen aantonen dat zij begrijpen welke risico’s er spelen, welke keuzes worden gemaakt en hoe de organisatie haar digitale weerbaarheid organiseert. Daarmee wordt informatiebeveiliging steeds meer een bestuurlijk vraagstuk. En dat vraagt om andere gesprekken dan voorheen.
De onderdelen waar organisaties vaak op vastlopen
Tijdens audits en assessments komen een aantal onderwerpen regelmatig terug.
Niet omdat organisaties niets geregeld hebben, maar omdat processen minder volwassen blijken dan vooraf werd gedacht.
Leveranciersrisico’s
Vrijwel iedere organisatie is afhankelijk van leveranciers. Cloudplatformen, softwareleveranciers, hostingpartijen en externe dienstverleners spelen vaak een cruciale rol binnen de dienstverlening. Toch ontbreekt regelmatig een gestructureerde beoordeling van deze risico’s. Er zijn contracten, afspraken en SLA’s. Maar de vraag hoe leveranciers periodiek worden beoordeeld blijft vaak onbeantwoord.
Incidentmanagement
Veel organisaties hebben een procedure voor incidenten. Maar hoe vaak wordt die procedure daadwerkelijk gebruikt? Worden incidenten onderzocht? Worden oorzaken vastgelegd? Worden verbetermaatregelen opgevolgd? Daar zit vaak een groot verschil tussen beleid en praktijk.
Risicomanagement
Bijna iedere organisatie heeft ooit een risicoanalyse uitgevoerd. De vraag is alleen of deze nog actueel is. Nieuwe systemen, nieuwe leveranciers en veranderende dreigingen zorgen ervoor dat risico’s voortdurend veranderen. Een risicoanalyse van twee jaar geleden vertelt weinig over de situatie van vandaag.
Continuïteit
Wat gebeurt er wanneer een cruciale leverancier uitvalt? Of wanneer ransomware een deel van de omgeving raakt? Veel organisaties hebben hierover nagedacht. Minder organisaties hebben hun plannen daadwerkelijk getest. En juist tijdens zo’n test wordt duidelijk of een plan ook echt werkt.
Waarom aantoonbaarheid steeds belangrijker wordt
Binnen NIS2 draait het niet alleen om maatregelen. Het draait vooral om kunnen laten zien dat maatregelen werken. Dat betekent dat organisaties steeds vaker bewijs moeten kunnen leveren van de keuzes die zij maken. Niet alleen richting toezichthouders, maar ook richting klanten, samenwerkingspartners en ketenpartijen. Een organisatie kan uitstekende technische maatregelen hebben getroffen. Maar wanneer niet zichtbaar is hoe risico’s worden beoordeeld of hoe besluiten worden genomen, ontstaat alsnog een probleem. Aantoonbaarheid wordt daarmee minstens zo belangrijk als de maatregel zelf.
Waarom steeds meer organisaties kiezen voor een onafhankelijke beoordeling
Veel organisaties willen weten waar zij staan voordat een toezichthouder of klant die vraag stelt. Dat is ook precies waarom onafhankelijke audits en assessments steeds vaker worden ingezet. Niet om een vinkje te halen. Maar om inzicht te krijgen.
Waar zitten de grootste risico’s? Welke processen zijn al goed ingericht? En waar liggen nog verbeterpunten voordat deze daadwerkelijk problemen veroorzaken?
Juist die onafhankelijke blik levert vaak waardevolle inzichten op.
NIS2 begint niet met technologie
Wanneer organisaties praten over NIS2 gaat het vaak direct over technische maatregelen. Logisch, want techniek is zichtbaar. Maar de organisaties die het verst zijn met NIS2 beginnen meestal ergens anders. Zij starten met governance, verantwoordelijkheden, risico’s en processen. Daarna volgt de techniek. Want uiteindelijk draait digitale weerbaarheid niet om losse maatregelen. Het draait om de vraag of een organisatie structureel in staat is om risico’s te herkennen, beheersen en verbeteren.
Klaar voor een onafhankelijke blik op jouw NIS2-aanpak?
Veel organisaties hebben al meer geregeld dan ze zelf denken. Andere organisaties ontdekken juist dat er nog belangrijke stappen nodig zijn. Een onafhankelijke audit geeft snel inzicht in waar jouw organisatie staat, welke risico’s aandacht verdienen en welke acties de meeste impact hebben.
Benieuwd hoe jouw organisatie ervoor staat? Neem contact op voor een gesprek over een NIS2-audit.