NIS2 raakt iedereen: van boardroom tot werkvloer

De Europese Network and Information Security (NIS2)-richtlijn streeft naar een verbetering van de cybersecurity en de weerbaarheid van essentiële dienstverlening in de EU-lidstaten. De implementatie daarvan is een organisatiebrede transformatie. Alleen met relevante praktijkgerichte kennis en betrokkenheid op alle niveaus kunnen organisaties hun weerbaarheid en continuïteit waarborgen, zegt Rick Strijbos, Strategic Business Developer van DNV.

Rick Strijbos interview NIS2

De invoering van de NIS2-richtlijn markeert volgens Strijbos een fundamentele verschuiving in hoe organisaties omgaan met cybersecurity en business continuity. “NIS2 legt de verantwoordelijkheid nadrukkelijk bij de hele organisatie en de eindverantwoordelijkheid bij de top. Van de raad van bestuur tot medewerkers op de werkvloer.”

Dit maakt het essentieel dat het bewustzijn over cybersecurity toeneemt in de hele organisatie en daar richt de dienstverlening van Security Academy – a DNV company zich op. “NIS2 introduceert via de zorgplicht een overkoepelend kader. Onder deze paraplu komen ook alle cybersecuritycursussen samen”, zegt Strijbos. “De richtlijn verplicht bestuurders te borgen dat organisaties hun risico’s kennen en daar bewuste besluiten over nemen. Dit omhelst meer dan het nemen van technische maatregelen. Ook het aantoonbaar maken van het passend omgaan met risico’s vraagt bewustzijn en kennis van alle medewerkers. Opleiden is dan ook een verplichting van NIS2.”

Dit vraagt om een gerichte aanpak per doelgroep, weet Strijbos. “Leidinggevenden zonder diepgaande technische kennis moeten leren hoe zij sturing geven aan een veilige en weerbare organisatie. CISO’s en securityspecialisten hebben behoefte aan verdieping in de concrete implementatie van NIS2. En ook voor alle andere medewerkers is bewustwording essentieel: begrijpen wat hun rol is en hoe hun gedrag impact heeft op de continuïteit van de organisatie. Zo wordt security een gedeelde verantwoordelijkheid.”

Integrale benadering

Wat NIS2 onderscheidt, is de integrale benadering. Het draait vooral om de samenhang tussen mens, proces en techniek. Strijbos: “Organisaties moeten voorbereid zijn op verstoringen, in IT en in toeleveringsketens, energievoorziening of personele bezetting. De vraag is niet óf er iets misgaat, maar hoe snel je herstelt. Business continuity staat centraal.”

Daarbij reikt NIS2 verder dan de eigen organisatiegrenzen. Organisaties worden verantwoordelijk gehouden voor de beveiliging binnen hun hele keten, en moeten daarom passende eisen stellen aan hun directe toeleveranciers. “Een storing bij een leverancier kan directe gevolgen hebben voor de omzet, reputatie en het klantvertrouwen”, zegt Strijbos. “Dit betekent dat organisaties eisen moeten stellen aan partners en leveranciers, en inzicht moeten hebben in hun risico’s en maatregelen.”

NIS2 maakt van cybersecurity een continu veranderproces. Het succes van deze transformatie staat of valt met de kwaliteit van de gevolgde opleiding. “Theorie alleen is niet voldoende”, zegt Strijbos. “Organisaties hebben behoefte aan docenten die zelf midden in de praktijk staan, die actuele dreigingen begrijpen en weten hoe implementaties in de echte wereld verlopen. Praktijkgerichte training zorgt ervoor dat medewerkers kennis opdoen en leren anticiperen, risico’s inschatten en intuïtief de juiste beslissingen nemen.”

Organisaties moeten de eisen van NIS2 niet zien als een vinkje dat gezet moet worden vanuit compliance, benadrukt Strijbos. “Zie het als een kans om een toekomstbestendige organisatie te bouwen die bestand is tegen de dreigingen van vandaag én morgen.”

23-04-2026 17:00:00