NIS2-wet: cybersecurity- awareness als plicht
“Er zit iets paradoxaals aan investeren in cybersecurity-bewustzijn. Als het werkt, merk je er niets van.”
We weten allemaal hoe grootschalig de recente datalek bij Odido was (lees: gegevens van ruim 6 miljoen klanten en oud-klanten gehackt). De oorzaak? Niet meer dan een ‘onschuldige’ phishingaanval op klantenservicemedewerkers. Uit het Verizon Data Breach Report blijkt dat 74% van alle datalekken een menselijke component heeft. Je leest dit en denkt waarschijnlijk: wéér zo’n persoon die uitlegt hoe belangrijk cybersecurity is… Maar met de komst van de NIS2-wetgeving is bewustzijn alleen niet meer genoeg. Het wordt een wettelijke eis.
Wat is NIS2 en geldt het voor mijn organisatie?
De Europese NIS2-richtlijn wordt via de Nederlandse Cyberbeveiligingswet naar verwachting in het tweede kwartaal van 2026 van kracht, nu de Tweede Kamer vorige week het wetsvoorstel heeft aangenomen. De Eerste Kamer moet nog akkoord geven; daarna treedt de wet officieel in werking. De wet verplicht organisaties onder meer om aantoonbaar maatregelen te nemen op het gebied van cybersecurity en het bewustzijn rondom het thema. Of je eronder valt, hangt af van twee factoren: je sector en je omvang. Denk aan sectoren als energie, zorg, transport, financiële dienstverlening, digitale infrastructuur of overheid, met meer dan 50 medewerkers of een omzet boven de 10 miljoen.
Maar ook als je zelf buiten die criteria valt, kun je indirect geraakt worden. Lever je producten of diensten aan organisaties die wel onder NIS2 vallen? Dan zullen zij van jou willen weten of jouw beveiliging op orde is. Cybersecurity wordt op die manier een ketenverantwoordelijkheid.
Investeren in iets onzichtbaars
Artikel 21 van de Cyberbeveiligingswet verplicht organisaties om aantoonbaar maatregelen te nemen op het gebied van cyberhygiëne en training, met een expliciete trainingsplicht voor bestuurders. Veel organisaties zijn zich al bewust van het belang van veiligheid van hun data en online omgeving; we hebben niet voor niets al met veel organisaties samengewerkt aan online leeroplossingen over dit thema.
Maar de Cyberbeveiligingswet voegt daar een dimensie aan toe. Het ontbreken van cyberincidenten is niet langer voldoende om te laten zien dat je het digitale veiligheid belangrijk vindt. Je moet nu ook expliciet kunnen aantonen dat je eraan werkt om het te voorkomen in de toekomst. Aan toezichthouders, aan klanten, aan de keten waar je deel van uitmaakt.
Intrinsiek blijven werken, ook als het moet
Het is makkelijk om nu te denken: het is wettelijk verplicht, dus nu gaan we nog actiever aan ons cyberbewustzijn werken. En dat is ook begrijpelijk. Maar wij blijven het thema graag vanuit de oorspronkelijke, intrinsieke motivatie bekijken. Omdat je met leermiddelen een directe positieve invloed kan uitoefenen op de medewerkers die het meest kwetsbaar zijn voor een cyberaanval. De Odido-hack begon niet bij een geavanceerde aanval op servers, maar gewoon bij een medewerker die een phishingmail opende.
Er zit iets paradoxaals aan investeren in cybersecuritybewustzijn. Als het werkt, merk je er niets van. Er wordt niet op de phishingmail geklikt, het bestand gaat naar de juiste ontvanger en de nep-helpdesk krijgt geen toegang. Een goede e-learning een onzichtbaar succes. Maar juist op het gebied van cybersecurity is geen nieuws goed nieuws. Dat klinkt niet heel glamoureus, maar is het wel de waarheid. Mocht je toch meer urgentie willen voelen: de Cyberbeveiligingswet geeft je nu een concrete en aantoonbare reden om te starten.
Wil je sparren over hoe je dit aanpakt voor jouw organisatie? We denken graag met je mee.Of eerst wat inspiratie opdoen? Bekijk onze themapagina over dit onderwerp.
