Lid worden

Dit is een artikel van onze kennispartner

WoodWing Scienta
Zoek het uit. Met Scienta.
Partnerbijdrage
Cyberbeveiligingswet in aantocht: waarom de NIS2 implementatie meer is dan een IT-update
Cyberbeveiligingswet in aantocht: waarom de NIS2 implementatie meer is dan een IT-update

Veel organisaties kijken al met een schuin oog naar de Cyberbeveiligingswet. De algemene aanname? ‘Dat is iets voor de IT-afdeling.’ Maar wie dieper in deze nieuwe wet – ook wel bekend als de NIS2-richtlijn – duikt, ziet toch echt een ander beeld: de wet vraagt niet alleen om firewalls, maar om een complete herziening van je procesbeheer en informatiegovernance. Wat betekent dat in de praktijk? En wat moet jouw organisatie met deze nieuwe wet?

De kogel is door de kerk: de Tweede Kamer heeft ingestemd met de wetsvoorstellen voor de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten (Wwke). Voor duizenden Nederlandse organisaties betekent dit dat de vrijblijvendheid rondom digitale veiligheid officieel verleden tijd is. Een goede zaak, want die vrijblijvendheid is gevaarlijk en kan nodeloos tot grote problemen voor veel organisaties leiden.

Hoewel de focus in de media vaak wordt gelegd op de verdediging tegen hackers en complexe dataencryptie, ligt de werkelijke uitdaging van de NIS2 implementatie ergens anders: in de organisatie van jouw eigen informatie.

Wat moet jouw organisatie met de Cyberbeveiligingswet?

De kern van de nieuwe wetgeving is de verschuiving van ‘beveiligen’ naar ‘weerbaarheid’. Het is niet langer genoeg om de deur op slot te doen; je moet kunnen aantonen dat je weet wie de sleutel heeft, wat de procedure is als er wordt ingebroken, en hoe je die informatie actueel houdt.

De Cyberbeveiligingswet introduceert drie harde eisen:

  1. Zorgplicht: het nemen van passende technische én organisatorische maatregelen om risico’s te beheersen.
  2. Meldplicht: incidenten met aanzienlijke impact moeten binnen 24 uur gemeld worden.
  3. Toezicht: bestuurders worden persoonlijk aansprakelijk voor het niet naleven van de zorgplicht.

Wie krijgt ermee te maken?

Vooral de zorgsector, energiebedrijven, transport en de financiële sector worden aangemerkt als essentieel, of op zijn minst belangrijk. In de zorg is de impact het grootst: ziekenhuizen krijgen met de Cyberbeveiligingswet te maken, maar hetzelfde geldt net zo goed voor laboratoria en fabrikanten van medische hulpmiddelen. Zelfs als je niet direct in deze sectoren werkt, kun je via de keten (als leverancier) gedwongen worden om aan de nieuwe standaarden te voldoen en de NIS2-implementatie te volbrengen.

Van IT-feestje naar organisatiebrede verantwoordelijkheid

De grootste valkuil van de Cyberbeveiligingswet is het isoleren van het project binnen de IT-afdeling. Risicomanagement is namelijk pas effectief als het verweven is met je dagelijkse operatie– dat gaat een stuk verder dan je IT-beleid alleen. Denk maar aan alle protocollen, werkinstructies en noodplannen die er in je organisatie bestaan. Als deze verspreid staan over verschillende schijven, mailboxen en papieren handboeken, kun je nooit voldoen aan de zorgplicht…

Verder lezen? Lees het volledige artikel bij onze kennispartner

(Advertentie)