Vanaf oktober dit jaar treedt de EU-directive NIS2 in werking. Hoewel de nieuwe Nederlandse cyberbeveiligingswet pas in de 2e helft van 2025 ingevoerd wordt, heeft de richtlijn al gevolgen binnen de internationale supply chain van veel organisaties.
“Bestuurders spelen een cruciale rol, omdat zij direct verantwoordelijk zijn voor het integreren van cyberbeveiliging in de strategische besluitvorming van hun organisatie.” Frank Ruijgrok – Principal Consultant Aon Cyber Solutions
Doel van de wet: de cyberbeveiliging binnen Europa versterken en kritieke infrastructuren en vitale sectoren beschermen tegen de steeds complexere en frequentere cyberdreigingen. Een gecoördineerde aanpak en hogere beveiligingsstandaarden dus. Maar wat betekent dit concreet voor u als bestuurder?
Wat verandert er precies?
1. De reikwijdte van de cyberbeveiligingswet is uitgebreid met meer sectoren en entiteiten en middelgrote bedrijven met minimaal 50 werknemers en een omzet van meer dan € 10 miljoen.
2. Maatregelen voor risicobeheer op het gebied van cyberbeveiliging worden aangescherpt
3. Beveiliging van de toeleveringsketen (Supply chain security) valt ook binnen het toepassingsgebied
4. Hogere boetes (maximaal € 10 miljoen of maximaal 2 procent van hun totale wereldwijde bedrijfsjaaromzet; welke van beide het hoogst is).
5. Bestuurders zijn verantwoordelijk en kunnen aansprakelijk gesteld worden. Zij moeten trainingen volgen om cyberrisico’s en – beveiliging echt te kunnen begrijpen.
NIS2 levert risico’s op, maar ook kansen
De nieuwe wetgeving brengt (aansprakelijkheids)risico’s met zich mee. Het belang van cyberbeveiliging moet daarom tot in de haarvaten van de organisatie zijn doorgedrongen. Het is de taak van het bestuur om uit te dragen dat cyberrisico’s de hoogste prioriteit hebben. Om deze boodschap te laten landen bij managers en medewerkers, moet de ‘tone at the top’ goed zijn. Maar als organisaties de cyberbeveiligingswet puur als het afvinken van verplichtingen zien, slaan ze de plank mis. Het biedt namelijk ook de kans om serieus werk te maken van een organisatiecultuur waarin cyberbeveiliging in alle lagen is verankerd. Dit stelt organisaties in staat zich als vertrouwde partner binnen de gehele supply chain te profileren, investeringen aan te trekken en hun concurrentiepositie te vergroten.
Actieve rol van bestuurders is essentieel
De verantwoordelijkheid van het bestuur strekt zich uit van beleidsvorming tot het bevorderen van een organisatiebrede cultuur van veiligheidsbewustzijn. Door actief betrokken te zijn bij risicobeheer en het naleven van regelgeving, zorgen bestuurders ervoor dat de organisatie niet alleen voldoet aan wettelijke vereisten, maar ook beter voorbereid is op dreigingen die de bedrijfscontinuïteit kunnen ondermijnen. Een succesvolle, effectieve implementatie van de cyberbeveiligingswet is afhankelijk van hoe organisaties hun cyberstrategie aanpassen en hierover naar iedereen communiceren. Dit doe je er niet even bij; het vraagt om een cultuurverandering.
Zet een cultuurverandering in gang
Om als bestuur voor een volwassen cyberbeleid te zorgen, zal het een cultuurverandering in gang moeten zetten. Dat betekent luisteren naar de organisatie, kennis opdoen, trainen, het beleid actief in de organisatie communiceren en zelf het goede voorbeeld geven. Door deze veranderingen mee te nemen in de organisatie zal er een constructieve, effectieve en continu lerende houding ten aanzien van cyberbeveiliging ontstaan. Dit kost tijd, dus gebruik de tijd die u heeft en begin vandaag.
Wat zijn de kenmerken van een organisatie die voldoet aan de cyberbeveiligingswet?
● Er wordt door het bestuur duidelijk gecommuniceerd wat de visie en waarden zijn die horen bij de cyberbeveiligingswet. Managers en medewerkers begrijpen deze communicatie en voeren de benodigde veranderingen door in de organisatie.
● Cyberbeveiliging is als onderdeel in de organisatiestrategie opgenomen. Hiermee wordt aangetoond dat de organisatie weerbaarder wil zijn tegen cyberaanvallen.
● Het bestuur vertoont het gewenste gedrag om de veranderingen binnen de cultuur van de organisatie uit te dragen naar iedereen. Medewerkers accepteren de veranderingen als zij zien dat het bestuur en de managers dit ook doen.
● De mindset, vaardigheden en gewoonten van iedereen binnen de organisatie worden op peil gehouden door training en ontwikkeling. Iedereen is ervan doordrongen dat elke organisatie vatbaar is voor een cyberaanval.
● De cultuurverandering wordt geëvalueerd, zodat problemen aan de bestuurstafel besproken worden en veranderingen kunnen worden doorgevoerd. Het bestuur luistert naar de dynamiek van de organisatie, optimaliseert waar nodig en past de effectiviteit naar aanleiding van ontvangen feedback.
● Het bestuur is zich ervan bewust dat cultuurveranderingen tijd kosten en is vasthoudend aan haar visie om cyberbeveiliging binnen de organisatie te verbeteren, ook als het even niet mee zit.
“Een incident response-plan klaar hebben liggen is noodzakelijk, omdat het zorgt voor een snelle en gecoördineerde reactie op een cyberincident.”
Frank Ruijgrok – Principal Consultant Aon Cyber Solutions
Welke stappen moet u zetten om goed voorbereid te zijn op NIS2?
Om goed voorbereid te zijn op de nieuwe cyberbeveiligingswet moeten organisaties meerdere stappen zetten. We hebben deze samengevat in een handig stappenplan voor bestuurders. Een van de stappen is bijvoorbeeld het opstellen van een incident response plan. Dit stelt organisaties in staat om snel en effectief te reageren op cyberincidenten. Dit vermindert niet alleen de financiële schade en hersteltijden, maar helpt ook juridische en reputatieschade te beperken, wat essentieel is voor de bedrijfscontinuïteit en het vertrouwen in de organisatie.
In 10 stappen naar een nieuwe cyberveilige organisatiecultuur
Wilt u weten hoe u de cyberbeveiligingswet verankert in uw organisatie? Download dan nu het stappenplan.
