NIS2 moet organisaties veiliger maken, maar lukt dat ook?

De Nederlandse regering “streeft ernaar” dat NIS2 in 2026 wordt omgezet naar nationale wetgeving. Wat wordt de aard van deze Cyberbeveiligingswet? Waar moeten organisaties rekening mee houden? We bespreken het in een uitgebreid rondetafelgesprek met experts van Conscia, Dell, HPE, KPN, ManageEngine, Thales, TSTC en Veeam.

Aan tafel zitten Maarten Werff, Security Consultant bij Conscia, Dick Vonk, Account Manager Overheid Cyber Recovery & Data Protection Solutions bij Dell Technologies, Emmon Lang’at, Principal Cyber Security Solution Architect – North & West Europe bij HPE, Nadeem de Vree, Vice President Networking & Security bij KPN, Sabarishwaran Jay, Country Director Benelux bij ManageEngine, Steven Maas, Sales Director Data & Application Security BeNeLux bij Thales, Michiel Benda namens TSTC en Sander Schreven, Presales Director Benelux & Nordics bij Veeam.

De NIS2-richtlijn is ontworpen om organisaties binnen Europa cyberweerbaarder maken. Elke lidstaat moet deze richtlijn omzetten tot nationale wetgeving. De meeste landen, inclusief Nederland, is dat niet gelukt. Het demissionaire kabinet komt ook niet met al te hoopgevende berichtgeving: het “streeft ernaar dat de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten in het tweede kwartaal van 2026 in werking treden.”

Een man met een bril en een baard, gekleed in een zwarte blazer en wit overhemd, zit in een stoel en gebaart met zijn handen in een kamer met ingelijste foto's aan de muur.

Hoe dan ook loopt Nederland achter op de officiële tijdlijn. Dick Vonk van Dell weet waarom het ene land de streep wel gehaald heeft en de andere niet. In Nederland zijn meerdere ministeries betrokken bij het maken van het wetsvoorstel. Gevolg is dat veel organisaties zich blijven verschuilen achter het ontbreken van de wet en nog geen noodzaak zien om proactief maatregelen te treffen om een cyberaanval op te kunnen vangen, anders dan de bekende (technische) preventieve maatregelen. De Cyberbeveiligingswet (Cbw) en Wet weerbaarheid kritieke entiteiten (Wwke) zijn dus wel degelijk een broodnodige stok achter de deur.

NIS2 is er (nog niet)

Sander Schreven van Veeam geeft aan dat de meerderheid van de EU-lidstaten eveneens de NIS2-deadline (17 oktober 2024) niet hebben gehaald. Slechts zes landen, inclusief België, hebben al wel nationale wetgeving die de NIS2-richtlijn overneemt. Uit eigen ervaring merkt Steven Maas van Thales dat deze Belgische implementatie allesbehalve rigoureus is. “De wet is een richtlijn om je Cyber Security posture te verbeteren. Deze wet moet omgezet worden in concrete maatregelen, maar vandaag zien we in de praktijk dat veel organisaties nog maar slechts een plan hebben. Deze plannen moeten wel voldoende onderbouwd zijn. In principe moeten ze leiden tot de invoering van processen en de inplementatie van technische oplossingen om je security naar een hoger niveau te brengen.”

Een man in pak maakt gebaren terwijl hij aan een tafel zit bij een raam waar buiten bomen te zien zijn en een gordijn dat gedeeltelijk opzij is getrokken.

Kortom, organisaties die onder de NIS2-richtlijn vallen, hebben soms een duw in de goede richting nodig. Welke kant dat duwtje precies op moet gaan, moet in Nederland en elders nog blijken. Voor vendoren is Europese wetgeving altijd al een puzzel, weet Sabarishwaran Jay van ManageEngine. Hij legt uit dat de DACH-regio van groot belang is voor het bedrijf, maar dat daar strengere privacywetten gelden dan elders in Europa. Daar moet men dus ook aan voldoen, ook al voldoet ManageEngine elders binnen de EU aan de Nederlandse implementatie.

Nadeem de Vree van KPN belicht het voorbeeld van Microsoft, dat kiest voor de strengste versie van elke Europese wet en daaraan voldoet. Zo voorkomt het boetes en micromanagement: het is efficiënter om één keer de software EU-gereed te maken dan zevenentwintig keer. De vraag is hoe werkbaar een strategie als deze is als je aanzienlijk kleiner bent dan Microsoft en minder middelen hebt.

Iemand zit aan een tafel met koffiekopjes, glazen en papieren, laat zijn kin op zijn hand rusten en kijkt opzij in een contemplatieve houding.

Michiel Benda, namens opleidingscentrum TSTC aanwezig, haalt aan dat de eerdere ISO 27001-norm grofweg voldoende is om je geen zorgen te hoeven maken om Belgische NIS2-boetes. Hoewel hij vindt dat België wellicht wat elementen mist in de uiteindelijke wetgeving (zoals over de maatschappelijke impact van een cyberaanval per organisatie), stelt Benda dat het land koos voor een “goede en haalbare” implementatie. Hongarije moest intussen na een veto vanuit de Europese Commissie even terug naar de tekentafel doordat maatregelen ter beheersing van cyberrisico’s ontbraken. Nu heeft het wel een definitieve wet.

Leren van sectoren

“Organisaties kunnen moeilijk NIS2 onderscheiden van andere securitycontroles”, merkt Emmon Lang’at van HPE op. “Gereguleerde industrieën zijn echter meestal een stuk verder. Zij draaien al securityprogramma’s met information security-leiders. Het mkb doet dat nog niet.” Maarten Werff van Conscia ziet daarin een les voor andere sectoren. “Binnen de gezondheidszorg is er een actieve rol weggelegd voor Z-CERT [het Nederlandse expertisecentrum voor cybersecurity in de zorg, red.].” Hij vindt dat meer industrieën een dergelijke aanpak moeten overwegen, ook al is dat lastig. Waarom precies?

“Er zijn vier officieel aangewezen CERT’s in Nederland, die representeren alle sectoren”, aldus Benda. “Na de NIS2-implementatie moeten deze vier centra meer dan 10.000 organisaties dekken, terwijl de taak nu al zwaar is.”

Een man in een zwart pak en blauw overhemd zit aan een tafel met kopjes, een glas en een naamkaartje voor zich, tegen een marmeren muur.

Dit kan goed tot een opstopping leiden. Immers hameren de experts aan tafel erop dat de stap naar compliance en bewustwording groot is. Hulp vanuit een CERT zal dus niet vanzelfsprekend zijn door de beperkte bandbreedte. De stap naar een betere cyberweerbaarheid wordt hierdoor bemoeilijkt.

Emmon Lang’at benadrukt dat organisaties zich niet moeten blindstaren op alle details. Denk daarbij aan artikel 21 van het NIS2-directief, waarbinnen de noodzakelijke stappen ter bevordering van het risicomanagement aan bod komen. Hij noemt DORA (Digital Operational Resilience Act), een EU-wet die de digitale weerbaarheid van financiële organisaties op heeft moeten hogen. Lang’at stelt dat het bankenwezen sowieso al bezorgder is over zaken die nu al boetes opleveren dan enige problemen door toedoen van een NIS2-omzetting tot wet. Met andere woorden: men heeft al de financiële en mentale investering moeten doen om aan wetgeving te voldoen. Lang’at hoopt dat de landelijke wetten op basis van NIS2 meer entiteiten naar deze bezorgde mindset duwt.

Schreven merkt op dat het gereedmaken voor de Cbw en Wwke een dure aangelegenheid wordt. Dit komt door een combinatie van tooling, het inhuren van juristen, maar ook het vergaren van kennis. Lees: je moet personeel hebben dat verstand van zaken heeft. Ook dat kost geld om aan te nemen en om te behouden. De Vree erkent dit. “KPN moest al voldoen aan NIS1, waardoor het voor ons een minder grote stap is naar NIS2. Maar voor partijen voor wie de NIS nieuw is, betekent het veel werk, waar natuurlijk ook extra kosten aan verbonden zijn. Het behouden van personeel is duur, maar het trainen van werknemers om naar het gewenste niveau te gaan, dat is duurder.”

Twee mannen in zakelijke kleding zitten aan een vergadertafel met papieren, glazen water en bekers voor zich. Zonlicht valt door een nabijgelegen raam met gouden gordijnen.

Geld, geld, geld

Je kunt deze kostenpost voorkomen door NIS2 aan je laars te lappen. Want wie zegt dat er boetes komen? Maarten Werff: “Wanneer je geraakt wordt zonder te kunnen bewijzen dat je de juiste maatregelen hebt genomen, zal er een boete zijn.” Hij doelt hiermee niet op welke toekomstige Cbw- of Wwbe-overtreding dan ook; NIS2 is volgens de gespreksdeelnemers niet draconisch bedoeld. De Vree maakt de vergelijking met een verkeersovertreding: als je simpelweg door een foutje een weg inrijdt waar je niet in mocht, zal de politie je niet altijd bekeuren. “Niet-compliance levert niet gelijk een boete op als je geraakt wordt door een cyberaanval.” De boodschap is duidelijk. Je riskeert een boete als je onzorgvuldig en onvoorbereid bent, maar mag enige coulance verwachten als je niet finaal in de mist ging bij het weerbaar maken van je organisatie.

Sabarishwaran Jay denkt dat het vooral om het naleven van de geest van de wet zal draaien. “Het bedrijf moet om cybersecurity geven. Maar wat men niet doorheeft is dat risk assessment om meer draait dan alleen security, het gaat om bedrijfscontinuïteit.” Oftewel: het voortzetten van je organisatie, zelfs als je met een flinke tegenslag te maken hebt.

“Er is geen reden om als bedrijf, klein of groot, níét te kijken naar risicomanagement”, stelt Benda. “Welke risico’s hebben we? Wat is relevant? Als je over deze zaken praat, wordt het logisch om maatregelen in te voeren. Je hoeft geen tooling te kopen, maar schrijf beleid. De absolute baseline is het bepalen van de risico’s.”

Een kale man in een gestreepte trui zit aan een tafel met een lamp, twee naamplaatjes en glaswerk en gebaart met beide handen omhoog.

De denkstap die vaak nog ontbreekt, zit volgens Dick Vonk bij de inkoop van nieuwe producten. Daar denken organisaties nog niet aan NIS2. Het wordt, zo zegt hij, als een probleem of uitdaging gezien, “terwijl het goed is dat er een NIS2-wet komt.” Hij acht het als een goede zaak dat het niet meer vrijblijvend is om als organisatie niks te doen om zichzelf weerbaar te maken. Wie de juiste vragen stelt, krijgt ook al gauw de gewenste antwoorden. “Secure supply chain komt ook onze kant op”, legt Vonk namens Dell Technologies uit. “Als je producten inkoopt, moet je zeker kunnen weten dat ze veilig zijn.” Zo controleert een Dell backup appliance zelfs of het nog dezelfde hardware en code bevat in de rack van een klant als wanneer het uit de fabriek vertrok.

Automation voor iedereen

Maas van Thales ziet wel degelijk een toename in de vraag naar oplossingen en technologieën ter bevordering van de security posture. Zo nemen overheden en organisaties als de NAVO concreet actie op het gebied van encryptiestandaarden. Het contrast met de mkb’er die net onder de Cbw of Wwke valt, is groot. “Het is al knap als die een CISO hebben”, aldus Maas. “Je mag hooguit verwachten dat ze hun security iets hebben verbeterd de afgelopen jaren. Ze hebben externe consultants nodig en hebben geen middelen voorbij dat punt.”

Een man met een bril en een marineblauw pak zit aan een tafel met zijn handen in elkaar geklemd en kijkt opzij. Op de achtergrond is een raam met uitzicht op groen.

“Externe middelen zijn duur, maar je kunt er niet omheen”, weet Schreven. “NIS2 is ook niet een doel op zich, maar een middel.” Organisaties moeten van de juiste kennis worden voorzien en die dus meermaals buiten de deur zoeken. Werff legt uit dat consultants van Conscia bijvoorbeeld klanten helpen met assessments en CIS Controls. Hierdoor erkennen bedrijven al gauw dat er werk te verrichten is als het om monitoring of incident response gaat. “Zo worden MDR-diensten zinnig, al is NIS2 niet het hoofdonderwerp hierbij”, aldus Werff.

“Democratisering van tools en processen is belangrijk”, voegt Sabarishwaran Jay toe. “Automation moet voor iedereen mogelijk zijn.” Voor vendoren is het zaak om vooral niet zelf voor problemen te zorgen als onderdeel van de keten. Zo kunnen organisaties met automation problemen verhelpen zonder nieuwe risico’s te introduceren doordat ze data delen met derden.

Conclusie: een flinke klus

We hebben in dit gesprek met deze experts vooral gekeken naar de NIS2-omzetting naar nationale wetgeving. Echter zullen we in een later artikel dieper in de materie duiken en kijken wat je organisatie concreet kunt doen om jezelf klaar te stomen voor de Cbw, Wwke en, net zo belangrijk, hoe je daadwerkelijk cyberweerbaarder wordt onafhankelijk van de precieze juridische vereisten. Zoals Michiel Benda het samenvat: “Deze kwestie draait niet over compliance, maar security. Het is niet alleen de letter van de wet maar de geest van de wet waar mensen zich bewust van moeten worden.”

Lees ook: De staat van cloud security

NIS2 moet organisaties veiliger maken, maar lukt dat ook?

NIS2 is er (nog niet)

Leren van sectoren

Geld, geld, geld

Automation voor iedereen

Conclusie: een flinke klus

Blijf op de hoogte, abonneer!

Intel-CEO komt goed weg, nu zijn bedrijf nog

Cohere nu 6,8 miljard waard: wat maakt de AI-startup uniek?

Is GPT-5 geschikt voor zakelijk gebruik?

"AI puts process modeling on steroids", SAP's Dee Houchen on business process management

Is ServiceNow competing with Salesforce? We talk to Amit Zavery

HPE Aruba Networking's new agentic AI approach to networking (and security)

Managing the AI chaos with ServiceNow's AI Control Tower

Datasoevereiniteit: van vaag begrip naar strategische noodzaak

Robotisering in 2025: tussen hype en realiteit

De digitale werkplek in 2027: hoe je vandaag al bouwt aan een toekomstbestendige werkomgeving

NULLCON Berlin 2025

bit summit

GITEX DIGI_HEALTH 5.0 - Thailand

VeeamON Tour 2025

IT Arena

Innovation Week 2025

Welk workstation past bij jouw AI-ambities?

Is jouw endpointbeveiliging op orde?

Hoe maak je duurzaamheid echt praktisch?

Verbeter je digitale ervaringen met de Cisco AI Assistant