Er is simpelweg geen blauwdruk om NIS2-compatibel te zijn. Het hangt allemaal af van de mate van beveiliging van jullie organisatie en welke belangen echt de moeite waard zijn om te beschermen. Een goede manier om te beginnen is om gebruik te maken van het uitstekende stapsgewijze richtlijnen van het Nederlandse Nationaal Cyber Security Centrum.

Ik denk dat veel organisaties er baat bij kunnen hebben om hun 'NIS2-huiswerk' goed te doen. Niet alleen door hun beveiligingsniveau te verbeteren, maar ook door beter te begrijpen hoe ze in kaart kunnen brengen wat echt de moeite waard is om te beschermen, en hoe digitaal kwetsbaar hun activiteiten eigenlijk zijn.

Cyberbeveiliging is geen IT-probleem

Als beveiligingsexperts erin slagen om het topmanagement aan boord te krijgen en eerst de juiste vragen te stellen, hoop ik dat NIS2 een echte gamechanger kan worden in de manier waarop organisaties hun cyberveiligheid zien: niet als een 'IT-probleem', maar als een investering om de hele bedrijfsvoering veilig te stellen.

De juiste manier om de NIS2-richtlijn aan te pakken, is door eerst de strategische doelstellingen van de hele organisatie vast te stellen en vervolgens in kaart te brengen welke processen nodig zijn om deze doelstellingen te bereiken. Hopelijk heeft het topmanagement in de meeste organisaties daar al een duidelijk beeld van, maar mijn ervaring is dat als het gaat om het begrijpen van de afhankelijkheid tussen het tweede en het derde niveau, de meeste organisaties nog heel wat werk voor de boeg hebben.

Maar alleen al door deze eenvoudige grafiek (ontleend aan de richtlijnen van het Nationaal Cyber Security Centrum) als uitgangspunt te nemen, denk ik dat de meeste organisaties beter af zullen zijn in hun zoektocht naar NIS2-compliance.

Wederzijds begrip is cruciaal

Uiteindelijk vereist dit een gemeenschappelijke basis tussen beveiligingsexperts en het topmanagement. Een wederzijds begrip van wat cyberveiligheid is en de cruciale rol die het speelt voor de hele operatie. Cyberbeveiligingsexperts moeten echt stoppen met het voeden van hun besturen en management met te veel cijfers en 'beveiligingsjargong'. Dit zal de kloof alleen maar groter maken en topmanagers onzeker maken.

De overgang van 'IT-risico's' naar 'zakelijke kansen' (of risico's trouwens) is de juiste manier om het bestuur ervan te overtuigen dat de cyberbeveiligingsprocedures en -operaties die bij de NIS2-richtlijn horen, echt iets zijn dat de hele bedrijfsvoering en strategische doelstellingen van de organisatie ten goede komt.

Laten we NIS2 dus niet langer beschouwen als „een nieuwe en hardere richtlijn inzake cyberbeveiliging”, en erover beginnen te praten als een investering in de kernactiviteiten van de organisaties.

‍