De invoering van de NIS2-richtlijn markeert volgens Strijbos een fundamentele verschuiving in hoe organisaties omgaan met cybersecurity en business continuity. “NIS2 legt de verantwoordelijkheid nadrukkelijk bij de hele organisatie en de eindverantwoordelijkheid bij de top. Van de raad van bestuur tot medewerkers op de werkvloer.”

Dit maakt het essentieel dat het bewustzijn over cybersecurity toeneemt in de hele organisatie en daar richt de dienstverlening van Security Academy – a DNV company zich op. “NIS2 introduceert via de zorgplicht een overkoepelend kader. Onder deze paraplu komen ook alle cybersecuritycursussen samen”, zegt Strijbos. “De richtlijn verplicht bestuurders te borgen dat organisaties hun risico’s kennen en daar bewuste besluiten over nemen. Dit omhelst meer dan het nemen van technische maatregelen. Ook het aantoonbaar maken van het passend omgaan met risico’s vraagt bewustzijn en kennis van alle medewerkers. Opleiden is dan ook een verplichting van NIS2.”

Dit vraagt om een gerichte aanpak per doelgroep, weet Strijbos. “Leidinggevenden zonder diepgaande technische kennis moeten leren hoe zij sturing geven aan een veilige en weerbare organisatie. CISO’s en securityspecialisten hebben behoefte aan verdieping in de concrete implementatie van NIS2. En ook voor alle andere medewerkers is bewustwording essentieel: begrijpen wat hun rol is en hoe hun gedrag impact heeft op de continuïteit van de organisatie. Zo wordt security een gedeelde verantwoordelijkheid.”

Integrale benadering

Wat NIS2 onderscheidt, is de integrale benadering. Het draait vooral om de samenhang tussen mens, proces en techniek. Strijbos: “Organisaties moeten voorbereid zijn op verstoringen, in IT en in toeleveringsketens, energievoorziening of personele bezetting. De vraag is niet óf er iets misgaat, maar hoe snel je herstelt. Business continuity staat centraal.”