NIS2: Cybersecurity versterken door risicogebaseerd denken
NIS2: Cybersecurity versterken door risicogebaseerd denken
De Europese NIS2-richtlijn, die wordt opgenomen in de Nederlandse Cybersecuritywet, introduceert nieuwe, strengere eisen voor cybersecurity en informatiebeveiliging. Organisaties in essentiële en belangrijke sectoren worden niet alleen verantwoordelijk voor hun eigen digitale veiligheid, maar ook voor de cyberrisico’s binnen hun gehele toeleveringsketen.
Vanaf het najaar van 2025 zijn de nieuwe regels van kracht, maar hoe deze er precies uitzien, is nog niet volledig uitgekristalliseerd. In België wordt bijvoorbeeld gewerkt met het CyberFundamentals (CyFun) raamwerk, terwijl Nederlandse bedrijven gebruik moeten maken van internationaal erkende standaarden om te voldoen.
IMCD, een internationale groothandel in chemicaliën en voeding, is een goed voorbeeld. Het bedrijf streeft naar ISO 27001-certificering en heeft zijn veiligheidskaders gestandaardiseerd met het concept “test once, comply many”. Dit helpt hen de complexiteit van regelgeving te beheersen en hun processen efficiënter te maken.
Bekijk webinar
Vanaf het najaar van 2025 zijn de nieuwe regels van kracht, maar hoe deze er precies uitzien, is nog niet volledig uitgekristalliseerd. In België wordt bijvoorbeeld gewerkt met het CyberFundamentals (CyFun) raamwerk, terwijl Nederlandse bedrijven gebruik moeten maken van internationaal erkende standaarden om te voldoen.
Praktijk en perspectief
Robert van Vianen, partner bij BDO Digital, sprak hierover met Jasper Nagtegaal, directeur Digitale Weerbaarheid bij toezichthouder RDI, en Mark Butterhoff, CISO bij IMCD, tijdens een recent webinar. Het drietal besprak hoe organisaties kunnen opereren in een veilige én compliant omgeving.Regels in kaart brengen
“De brede formulering van NIS2 zorgt ervoor dat veel organisaties worstelen met vragen zoals: Hoe breng je de regels in kaart? Hoe manage je implementatie en naleving? En hoe maak je dit aantoonbaar?” aldus Van Vianen. Een voorbeeld uit de zorgsector laat zien hoe BDO de wet- en regelgeving systematisch in kaart brengt en overeenkomsten identificeert. “Hieruit destilleren we basisregels die als rode draad door de regelgeving lopen. Dit vormt de basis voor assurance-verklaringen, zoals een ISO 27001-certificering.”Certificering als fundament
Internationale certificaten zoals ISO 27001 tonen aan dat een organisatie gestructureerd en systematisch met cybersecurity omgaat. Dit vergemakkelijkt niet alleen compliance, maar biedt ook vertrouwen aan toezichthouders.IMCD, een internationale groothandel in chemicaliën en voeding, is een goed voorbeeld. Het bedrijf streeft naar ISO 27001-certificering en heeft zijn veiligheidskaders gestandaardiseerd met het concept “test once, comply many”. Dit helpt hen de complexiteit van regelgeving te beheersen en hun processen efficiënter te maken.
Van compliance naar weerbaarheid
Volgens toezichthouder Nagtegaal is certificering echter slechts de eerste stap. Het is belangrijk dat organisaties verder kijken dan compliance en cybersecurity benaderen vanuit risicomanagement. Bestuurders moeten niet alleen begrijpen welke bedreigingen er zijn, maar ook inzicht hebben in de strategische rol van digitale middelen binnen hun organisatie. Bij IMCD heeft cybersecurity inmiddels een vaste plek op de agenda van de board, die toezicht houdt op naleving en risico’s.Een continu veranderprogramma
Cybersecurity is niet alleen een technisch vraagstuk, maar ook een organisatiebrede transitie. Bestuurders dragen de verantwoordelijkheid om naleving te waarborgen en ervoor te zorgen dat medewerkers de regels begrijpen en naleven. “Het is een continu veranderprogramma,” benadrukt Van Vianen. Met de invoering van NIS2 staat cybersecurity hoger op de agenda dan ooit. Het vormt niet alleen een wettelijke verplichting, maar ook een kans voor organisaties om veerkrachtiger en toekomstbestendiger te worden.Meer weten?
Wilt u meer weten over cybersecurity, nieuwewet- en regelgeving en hoe uw organisatie compliant kan blijven? Bekijk dan ons webinar ‘Cybersecurity & Managed Compliance’.Bekijk webinar