In het NCSC-webinar van afgelopen donderdag 29 januari over de Cyberbeveiligingswet (CBW/NIS2) werd één ding snel duidelijk: dit gaat niet over compliance als doel op zich, maar over bestuurlijke keuzes op basis van risico’s. Hieronder de belangrijkste inzichten voor jou inzichtelijk in zes concrete takeaways.
1. De zorgplicht is verplicht, de invulling is contextafhankelijk
De CBW introduceert een zorgplicht die bestaat uit tien maatregelen waar organisaties aan móéten voldoen. Dat is het vaste deel. De manier waarop je die maatregelen invult, staat niet vast en hangt volledig af van je eigen risicoanalyse.
Er is dus geen normenkader waar je simpelweg “aan kunt voldoen”. ISO 27001, NEN7510 of BIO kunnen helpen als hulpmiddel, maar zijn niet verplicht en geven geen automatische vrijstelling. De toezichthouder beoordeelt uiteindelijk of jouw maatregelen passend zijn bij jouw risico’s. De vraag is dus niet: “voldoe ik aan een norm?”, maar: “kan ik uitleggen waarom dit, voor mijn organisatie, redelijke maatregelen zijn?”
2. Risicomanagement is de basis (en hoeft niet ingewikkeld te zijn)
Alles begint bij risicomanagement. Het NCSC schetste dit vrij nuchter in drie stappen:
- Breng in kaart wat er mis kan gaan in je organisatie. Begin daarbij op informatie- of procesniveau, niet meteen technisch. En neem ook menselijke fouten mee.
- Schat per scenario de kans en de impact in.
- Houd een lijst met scenario’s over waarop je besluiten kunt nemen.
Dat hoeft niet perfect. Je werkt altijd met aannames. Meer kennis en ervaring maken die aannames beter, maar dat is geen reden om te wachten. Begin, leg vast wat je denkt, en verbeter het gaandeweg.
3. NIS2 gaat niet alleen over voorkomen, maar ook over reageren en herstellen
Een veelgemaakte valkuil is dat organisaties vooral denken in termen van preventie: hoe voorkom ik dat dit gebeurt? NIS2 vraagt expliciet ook aandacht voor de vraag wat je doet áls het gebeurt.
Incidentrespons en herstel zijn dus geen nice-to-have meer. Hoe detecteer je incidenten? Wie doet wat als het misgaat? En hoe kom je weer terug naar een werkbare situatie? Die vragen horen net zo goed thuis in je risicoafweging als firewalls en patchbeleid.
4. Ketenrisico’s zijn jouw verantwoordelijkheid
Een belangrijk punt in het webinar was de ketenverantwoordelijkheid. Leveranciersafhankelijkheden zijn ook jouw risico. Dat geldt voor IT-leveranciers, cloudpartijen en andere kritieke toeleveranciers.
Het NCSC vatte dat scherp samen: jouw probleem, jouw risico. Je kunt risico’s niet wegcontracteren. Je zult moeten begrijpen waar je afhankelijkheden zitten, welke risico’s dat oplevert en wat je daarvan acceptabel vindt. Dat betekent ook dat ketenrisico’s een vast onderdeel moeten zijn van je risicoanalyse.
5. Bestuurlijke verantwoordelijkheid is niet te delegeren
De CBW is hier glashelder over. De verantwoordelijkheid ligt bij alle bestuurders. Dat kan één persoon zijn of meerdere, maar in ieder geval niet bij de raad van commissarissen. Bij overheden ligt die verantwoordelijkheid bijvoorbeeld bij het college van B&W.
Bestuurders zijn verantwoordelijk voor:
- het goedkeuren van risico’s en maatregelen,
- het vaststellen van beleid,
- en de opvolging daarvan.
Die verantwoordelijkheid kan niet worden gedelegeerd aan een CISO. Sterker nog: de wet haalt de verantwoordelijkheid juist weg bij ondersteunende functies zoals ICT. De CISO bijvoorbeeld, als je die hebt, heeft een ondersteunende rol en moet zorgen dat het bestuur in staat is om een weloverwogen beslissing te nemen. De eindverantwoordelijkheid blijft altijd bij het bestuur.
6. Opleidingsplicht voor bestuurders: basiskennis, geen IT-opleiding
Tot slot de opleidingsplicht. Bestuurders moeten aantoonbare basiskennis hebben op strategisch niveau: inzicht in cyberrisico’s en de bijbehorende maatregelen. Het gaat nadrukkelijk niet om een technische opleiding.
De training moet worden afgesloten met een certificaat. Bestuurders hebben twee jaar de tijd om die training te volgen, en nieuwe bestuurders moeten dat binnen twee jaar na aantreden doen. Het certificaat is persoonsgebonden en blijft geldig bij een andere organisatie. Er is geen accreditatieplicht voor trainers; ook je eigen CISO mag de training verzorgen. Wel geldt dat kennis actueel moet blijven, dus periodieke opfrissing hoort erbij.
ConclusieDe boodschap van het NCSC-webinar is helder: de Cyberbeveiligingswet vraagt geen perfectie, maar volwassenheid. Weten waar je risico’s zitten, daar bewuste keuzes in maken, en kunnen uitleggen waarom je iets doet zoals je het doet. Dus geen harde voorgeschreven beveiligingsmaatregelen die niet op elke organisatie van toepassing is. Maar wel passende beveiligingsmaatregelen En dat is misschien wel de grootste winst van NIS2.