Cyberveiligheid is een ontzettend belangrijk onderwerp, maar blijft binnen de Nederlandse bedrijfscultuur vaak onder de radar. En dat terwijl de digitale dreiging sneller groeit dan veel bestuurders en ondernemers beseffen. De NIS2-richtlijn biedt de kans om informatiebeveiliging op een duurzame manier te verankeren in de processen én de cultuur.
'NIS2 biedt de kans om digitale weerbaarheid, vertrouwen en goede governance te versterken'
De NIS2-richtlijn gaat veel dieper dan eerdere cyberwetgeving. ‘Het grote verschil is dat je als bedrijf de checks-and-balances moet inbouwen in je processen. En zeker als je zelf software of AI-agents ontwikkelt, moet je in je development proces cyberveiligheid inbouwen. In andere woorden: security-bydesign,’ vertelt Geert-Jan van der Snoek, CEO Lefebvre Sdu. Wat NIS2 bij zonder maakt, is de ketenverantwoordelij kheid. Juist daar zit de werkelijke kracht van de richtlijn, meent hij . ‘Je moet als organisatie niet alleen je eigen digitale veiligheid op orde hebben, maar ook die van je leveranciers en softwarepartners. De achterdeur van cyber zit hem erin dat je eigenlijk al je digitale relaties onder de radar moet leggen. Dat is de echte winst.’
Bestuurders aan zet
Lefebvre Sdu loopt – met de zelfontwikkelde generatieve AI-oplossing GenIA-L – in Nederland voorop op het snij vlak van legal, tax en AI. Het is de eerste partij in Nederland met het NIS2 QM30-certifi caat op het hoogste niveau. ‘NIS2 zou ongeloofl ij k bekend moeten zij n, maar is dat niet. Ik mij n optiek is dat opmerkelijk. Veel ondernemers zien NIS2 op het eerste gezicht als wéér een stapel verplichtingen, boven op alle andere regelgeving: complex, saai en vooral belastend. Maar juist deze richtlijn is anders. De persoonlij ke aansprakelij kheid van bestuurders en de nadruk op continu verbeteren maken NIS2 tot een krachtige kans om digitale weerbaarheid, vertrouwen en goede governance structureel te versterken. Het biedt commerciële kansen als je eraan voldoet én zou daarmee een echte wakeupcall moeten zijn. Wie als ondernemer geen jaarrekening inlevert, weet dat er consequenties volgen. Bij NIS2 geldt hetzelfde principe: zonder compliance geen zaken met ketenpartners, plus een verhoogd risico op cyberaanvallen.’ De vergelij king met een alarmsysteem dringt zich op. ‘Een huis zonder alarm verhoogt het risico op een inbraak. Ik verwacht dat dat hier ook,’ waarschuwt hij .
AI opent deuren, cyber moet ze bewaken
Cyberaanvallen worden steeds geavanceerder. Helaas is een groot deel van het bedrijfsleven nog steeds onvoldoende voorbereid op een aanval. Vooral het MKB staat voor een forse uitdaging. ‘Bij ons kostte het hele proces alleen al twee fulltime medewerkers. Een installatiebedrijf heeft die extra capaciteit helemaal niet beschikbaar,’ aldus Van der Snoek. Juist daarom pleit hij voor een gezamenlijke aanpak. ‘We hebben een gedeelde verantwoordelijkheid om elkaar in de keten mee te nemen naar het niveau dat NIS2 vraagt. Door kennis, tools en ervaringen te delen, kunnen grote en kleinere partij en elkaar helpen om stap voor stap digitaal weerbaarder te worden en hoeft niet ieder bedrijf het wiel zelf uit te vinden. Zo wordt NIS2 een kans om samen een sterkere, veiligere economische keten te bouwen.’ De razendsnelle opmars van AI maakt de urgentie om informatiebeveiliging op een duurzame manier te verankeren in de processen én de cultuur groter. Tegelijk biedt het een enorme kans om de organisatie slimmer en veiliger in te richten. Van der Snoek ziet daarbij vier onlosmakelijk verbonden domeinen: AI, cloud, dataopslag en cyber. ‘AI vraagt om systemen, processen en beveiliging die flexibel kunnen meebewegen.’
