NIS2. Twee letters, een cijfer, en precies het soort afkorting waarbij iedereen meteen ernstig gaat knikken terwijl eigenlijk niemand helemaal zeker weet of het over cyberveiligheid gaat, een subsidieregeling of een nieuw type warmtepomp. Het klinkt ook niet als iets dat vreugde brengt. Het klinkt als iets dat op vrijdagmiddag om 16:43 in je mailbox landt met het verzoek “graag maandag ingevuld retour.”
Dus laten we proberen deze Europese bestuurlijke sudoku enigszins leesbaar te maken.
Wat is het?
NIS2 is een Europese richtlijn die in feite zegt: als jouw organisatie iets doet waar andere mensen, bedrijven of halve landen van afhankelijk zijn, dan moet je je digitale beveiliging serieus nemen. Niet een beetje. Niet “we hebben antivirus en Henk weet het wifi-wachtwoord”. Echt serieus.
En als je dat niet doet, volgen er boetes. Geen symbolische tik op de vingers, maar het soort boete waarbij de CFO opeens belangstelling krijgt voor firewalls, de algemeen directeur ineens vraagt wat MFA is, en iedereen doet alsof cybersecurity altijd al bovenaan de agenda stond.
Er was al een voorganger, NIS1. Maar die had iets van een ouder die vanuit de keuken roept: “jongens, ruim je kamer even op,” zonder ooit te controleren of er inmiddels een ecosysteem onder het bed is ontstaan. NIS2 is dezelfde ouder, maar nu met een zaklamp, een checklist en sanctiebevoegdheid.
Wie raakt het?
Hier wordt het leuk. Of verschrikkelijk. Meestal allebei.
Veel mensen denken bij dit soort regels aan energiebedrijven, ziekenhuizen, telecomreuzen en andere organisaties met grote bedieningspanelen en nerveuze persvoorlichters. Maar NIS2 heeft een veel bredere blik. Ook IT-dienstverleners, MSP’s, productiebedrijven, voedselverwerkers, post- en koeriersdiensten, afvalbeheerders en nog een hele stoet bedrijven vallen binnen beeld.
De praktische vuistregel is ongeveer deze: heb je meer dan 50 medewerkers of meer dan 10 miljoen euro omzet, én doe je iets dat Brussel “essentieel” of “belangrijk” vindt, dan is het verstandig om niet te blijven hopen dat dit allemaal over iemand anders gaat.
Want dat is het geniepige van regelgeving: iedereen leest eerst op zoek naar de alinea waaruit blijkt dat ze zijn uitgezonderd. En meestal staat daar alleen dat ze nog even moeten doorlezen.
Wat moet je doen?
In gewone mensentaal komt NIS2 neer op een paar tamelijk redelijke eisen, die pas onredelijk gaan voelen zodra je ontdekt hoeveel werk het is om ze daadwerkelijk op orde te krijgen.
Risicobeheer.
Je moet weten waar je kwetsbaar bent. Welke systemen belangrijk zijn, wat er mis kan gaan, en wat je dan gaat doen. Dus niet langer vertrouwen op de klassieke strategie van veel organisaties: hopen dat problemen zich beleefd aankondigen.
Incidentmelding.
Gaat er iets goed mis, dan moet je dat snel melden. Binnen 24 uur. Dat is niet “na intern overleg”, niet “zodra de communicatieafdeling akkoord is”, en ook niet “nadat Kees terug is van vakantie”. Vierentwintig uur. Europa heeft blijkbaar weinig vertrouwen in het tempo waarmee organisaties uit zichzelf slecht nieuws delen, en eerlijk gezegd is dat volkomen terecht.
Continuïteit.
Je moet kunnen doordraaien als het misgaat. Back-ups, herstelplannen, noodprocedures. Dingen waarvan iedereen in vergaderingen zegt dat ze cruciaal zijn, maar die vervolgens jarenlang ergens in SharePoint liggen onder de naam definitief_v7_nieuw_echt_definitief2.docx.
Leveranciers en ketenverantwoordelijkheid.
En hier begint het feest pas echt. Want NIS2 zegt niet alleen dat jij je zaakjes op orde moet hebben. Nee, ook je leveranciers moeten dat. En omdat moderne organisaties inmiddels uit weinig meer bestaan dan software, contracten en wederzijdse aansprakelijkheidsdiscussies, betekent dit dat je vroeg of laat in de keten hangt.
En als je eenmaal in de keten hangt, mag je van een afnemer precies verwachten wat de moderne compliance-industrie altijd voortbrengt: een gare Excel-sheet. Een mismaakt spreadsheetvehikel met 14 tabs, kleurcoderingen uit een psychologische test, verplichte invulvelden zonder context en vragen als:
- “Bevestigt u dat uw organisatie aantoonbaar cyberweerbaar is over de volle breedte van de digitale waardeketen?”
- “Kunt u aangeven in welke mate uw patchbeleid toekomstbestendig is op een schaal van 1 tot 5?”
- “Heeft u een formeel proces voor het beheersen van risico’s voortvloeiend uit derden, vierden, en mogelijk vijfden?”
- “Indien nee, graag toelichten in maximaal 200 tekens.”
Dat laatste is altijd mooi. Jaren aan technische complexiteit, afhankelijkheden en organisatorische rommel teruggebracht tot een vakje naast cel F43. Alsof beschaving uiteindelijk neerkomt op een drop-downmenu met de opties Ja / Nee / Deels / N.v.t.
Je krijgt dus niet alleen wetgeving. Je krijgt ook de rituele vernedering van ketencompliance: vragenlijsten die zijn opgesteld door iemand die ooit het woord “governance” heeft leren spellen en daar sindsdien emotioneel niet meer van is hersteld.
Waarom je directeur dit moet weten
Hier zit de echte angel.
NIS2 zegt namelijk niet: “dit is iets voor IT.”
NIS2 zegt: “beste bestuurders, kom eens even uit die veilige mist van delegatie. Dit is ook jullie probleem.”
En dat is nieuw genoeg om onrust te veroorzaken in directiekamers waar men jarenlang heeft gedacht dat cybersecurity een technisch subonderwerp was, ergens tussen printerstoringen en nieuwe laptops. Maar onder NIS2 ligt de verantwoordelijkheid nadrukkelijk bij het bestuur. Niet alleen moreel, niet alleen organisatorisch, maar ook juridisch.
Bestuurders moeten zich laten informeren. Training volgen. Risico’s beoordelen. Beveiligingsmaatregelen goedkeuren. Besluiten nemen. Met andere woorden: ze moeten betrokken zijn op een manier die verder gaat dan eens per kwartaal vragen of “het een beetje veilig is.”
En als dat niet gebeurt, en het gaat mis, dan is het niet meer genoeg om naar de IT-manager te wijzen alsof die eigenmachtig de digitale ondergang heeft georganiseerd. De bestuurder zit dan zelf aan tafel. Niet figuurlijk. Gewoon echt.
Dat is geen paniekverhaal. Het is alleen het moment waarop cybersecurity officieel verhuist van de serverruimte naar de bestuurskamer. Daar hoort het inmiddels ook thuis, ergens tussen financieel beheer, risicomanagement en de eeuwige PowerPoint over strategische weerbaarheid.
Waar begin je?
Je begint met de minst glamoureuze maar nuttigste vraag van allemaal: vallen wij hier eigenlijk onder?
Daarna doe je een basischeck. Wat hebben we? Wat missen we? Waar zitten de risico’s? Hoe melden we incidenten? Kunnen we herstellen? Welke leveranciers vormen een probleem? Welke leverancier gaat binnenkort een Excel-sheet sturen waarvan zelfs de maker niet meer begrijpt hoe de formules werken? Check de handige tools op deze website :)
En daarna begin je het gesprek. Met IT. Met compliance. Met het bestuur. Met leveranciers. Met iedereen die normaal pas aanhaakt zodra iets in brand staat, letterlijk of digitaal.
Want NIS2 komt niet als een futuristisch concept dat ooit, misschien, later relevant wordt. Het is gewoon de volgende fase van volwassen worden. Digitaal volwassen worden welteverstaan, wat in de praktijk betekent: minder vrijblijvendheid, meer aantoonbaarheid, en vaker het woord “ketenrisico” moeten aanhoren dan een mens gezond kan verdragen.
En bij de toezichthouder gaat “dat wist ik niet” ongeveer net zo goed werken als “die Excel-sheet was onduidelijk.” Misschien waar. Volstrekt kansloos. Maar waar.
