De NIS2-richtlijn wordt realiteit
De Europese NIS2-richtlijn (Network and Information Security Directive) wordt in Nederland omgezet naar de Cyberbeveiligingswet (CBW). De verwachting is dat deze wet in Q2 2026 formeel van kracht wordt. Voor veel organisaties betekent dit dat de tijd om voorbereidingen te treffen snel opraakt.
Maar wat houdt NIS2 precies in? En belangrijker: wat moet ú concreet doen?
Wie valt onder NIS2?
De richtlijn breidt het toepassingsgebied drastisch uit ten opzichte van de oorspronkelijke NIS-richtlijn. Niet alleen vitale sectoren zoals energie en transport, maar ook:
- Gezondheidszorg — ziekenhuizen, laboratoria, farmaceutische bedrijven
- Financiële dienstverlening — banken, verzekeraars, betaaldiensten
- Digitale infrastructuur — clouddiensten, datacenters, DNS-providers
- Voedselproductie en -distributie
- Afvalbeheer en waterbedrijven
- Post- en koeriersdiensten
- Overheidsinstellingen
De drempel is verlaagd: middelgrote bedrijven (50+ medewerkers of €10M+ omzet) in deze sectoren vallen er automatisch onder.
Bestuurdersaansprakelijkheid: geen vrijblijvende zaak
Een van de meest ingrijpende veranderingen is de expliciete bestuurdersaansprakelijkheid. Artikel 20 van de richtlijn stelt dat het management:
- Cyberbeveiligingsmaatregelen moet goedkeuren en toezicht houden op de uitvoering
- Verplicht cybersecuritytrainingen moet volgen
- Persoonlijk aansprakelijk kan worden gesteld bij nalatigheid
Dit is geen papieren exercitie. Bestuurders die cybersecurity delegeren zonder actief toezicht te houden, lopen een reëel juridisch risico.
De menselijke factor: waar NIS2 en gedragsanalyse samenkomen
NIS2 vereist "passende en evenredige technische, operationele en organisatorische maatregelen" (Artikel 21). Onder organisatorische maatregelen valt expliciet:
- Security awareness training voor alle medewerkers
- Beoordeling van de effectiviteit van deze maatregelen
- Incidentrapportage binnen 24 uur (early warning) en 72 uur (volledig rapport)
Hier wordt het interessant. De meeste organisaties investeren in firewalls en endpoint protection, maar vergeten de grootste kwetsbaarheid: menselijk gedrag. Uit onderzoek blijkt dat meer dan 80% van beveiligingsincidenten een menselijke component heeft.
De vraag is niet óf uw medewerkers een risico vormen, maar welke medewerkers het meest kwetsbaar zijn — en waarom.
Van compliance-checkbox naar echte weerbaarheid
Een jaarlijkse phishing-simulatie afvinken voldoet niet meer. NIS2 vraagt om:
- Meetbare gedragsanalyse — Weet u welke gedragspatronen uw organisatie kwetsbaar maken?
- Gerichte interventies — Niet iedereen heeft dezelfde training nodig
- Continue monitoring — Eenmalige assessments zijn onvoldoende
- Aantoonbare verbetering — Kunt u bij een audit laten zien dat uw aanpak werkt?
Wetenschappelijk onderbouwde methoden zoals de Q-Methode bieden hier uitkomst. Door individuele gedragsprofielen op te stellen, kunt u precies identificeren waar de risico's zitten en gerichte maatregelen nemen.
Wat kunt u nu al doen?
Stap 1: Inventariseer — Valt uw organisatie onder NIS2? Check de sectorlijst en de omvang-drempels.
Stap 2: Nulmeting — Breng het huidige beveiligingsgedrag van uw medewerkers in kaart. Niet met een enquête, maar met een wetenschappelijk gevalideerde gedragsanalyse.
Stap 3: Gap-analyse — Vergelijk uw huidige situatie met de NIS2-vereisten. Waar zitten de hiaten?
Stap 4: Actieplan — Stel een plan op met concrete maatregelen, deadlines en verantwoordelijken.
Stap 5: Implementeer en meet — Voer de maatregelen uit en meet continu de effectiviteit.
Conclusie
NIS2 is geen ver-van-mijn-bed-show meer. De Cyberbeveiligingswet komt eraan en de boetes voor non-compliance zijn aanzienlijk: tot €10 miljoen of 2% van de wereldwijde jaaromzet.
Maar NIS2 is meer dan een complianceverplichting. Het is een kans om uw organisatie écht weerbaarder te maken. En dat begint bij het begrijpen van menselijk gedrag.
