NIS2: Europese richtlijn maakt cybersecurity topprioriteit, ook voor bestuurders

In dit artikel:

De NIS2-richtlijn zet cybersecurity op Europees niveau definitief op de strategische agenda: organisaties in vitale sectoren krijgen zwaardere verplichtingen op het gebied van risicobeheer, ketenbeveiliging en bestuurdersverantwoordelijkheid. Miriam Wijermars (lead auditor informatiebeveiliging, Kiwa) benadrukt dat “cybersecurity is niet langer iets van de IT‑afdeling, maar een integraal onderdeel van goed bestuur” en waarschuwt dat veel bedrijven nog niet beseffen dat NIS2 straks wettelijke dwang wordt en tijdig handelen vereist.

NIS2 geldt voor zogenoemde essentiële en belangrijke entiteiten — onder meer energie- en drinkwaterbedrijven, zorg- en betaalinstellingen, transport- en logistieke spelers, digitale infrastructuur en ICT-dienstverleners — en wordt in EU-lidstaten omgezet in nationale wetgeving (in Nederland via de Cyberbeveiligingswet). De overheid heeft al een deel van de bedrijven met hoog risico benoemd; desalniettemin is het verstandig dat organisaties zelf nagaan of ze onder de richtlijn vallen.

De verplichtingen omvatten aantoonbaar beheer van cyberrisico’s: een nulmeting of GAP-analyse als eerste stap, integratie van de hele supply chain, verplichte melding van incidenten aan CSIRT en aantoonbare cybertraining voor het management. Certificeringen zoals ISO 27001 of NEN 7510 helpen, maar garanderen geen volledige naleving; bestuurders kunnen zelfs persoonlijk aansprakelijk worden gesteld bij nalatigheid.

Kiwa biedt ondersteuning met gap-analyses, assessments, pre-audits en certificering; advies- en implementatiediensten levert het afgescheiden adviesbureau Hudson Cybertec binnen de Kiwa-groep. De snelste winst ligt volgens Wijermars in bewustwording: breng risico’s in kaart, betrek de board en start vroeg. Daarmee voldoen organisaties niet alleen aan regels, maar versterken ze ook het vertrouwen bij klanten, partners en toezichthouders. Voor meer informatie verwijst Kiwa naar eigen NIS2‑diensten.