"Wij vallen niet onder NIS2, dus wij hoeven niets te doen."
Een uitspraak die ik als security consultant vaker hoor dan me lief is. En begrijpelijk: veel mkb-ondernemers hebben hun handen vol aan de dagelijkse operatie. Cybersecurity? Dat is iets voor de ‘grote jongens’, of voor bedrijven met een IT-afdeling van twintig man.
Toch is deze houding precies wat Nederland digitaal kwetsbaar maakt. Want ook als jouw organisatie niet rechtstreeks onder de NIS2-richtlijn valt, ben je wel degelijk onderdeel van de digitale keten – en dus een mogelijk doelwit voor cybercriminelen.
Waarom NIS2 ook voor het mkb relevant is
De herziene NIS2-richtlijn is bedoeld voor ‘essentiële’ en ‘belangrijke’ entiteiten. Toch betekent dat niet dat bedrijven buiten deze scope veilig zijn. Sterker nog, de wet- en regelgeving maakt het duidelijk: grotere organisaties worden verplicht om hun ketenrisico’s te beheersen. Dat betekent dat ze ook kijken naar de cyberweerbaarheid van hun leveranciers – oftewel: ook naar jou.
Zwakke schakels worden niet getolereerd.
Een handreiking voor élke bestuurder
De onlangs gepubliceerde Handreiking ‘Handreiking ‘Cybersecurity voor Bestuurders en Bedrijfseigenaren’ van de Cyber Security Raad maakt het nog eens kraakhelder: goede cyberveiligheid begint aan de top. Deze gids biedt concrete richtlijnen waarmee jij als eigenaar, directeur of bestuurder direct aan de slag kunt, ook als je (nog) niet onder NIS2 valt.
Enkele belangrijke takeaways:
- Cyberveiligheid is geen IT-vraagstuk meer, maar een strategisch risico.
- Bestuurders dragen ook bij niet-NIS2-plichtige organisaties een verantwoordelijkheid.
- Governance en toezicht zijn essentieel: wie houdt er toezicht op jouw cyberweerbaarheid?
- Leveranciersmanagement wordt cruciaal: hoe weerbaar zijn jouw partners?
Waarom je nú moet handelen
Cyberdreigingen nemen in razend tempo toe. Ransomware, datalekken en ketenaanvallen komen elke dag dichterbij. In een tijd van geopolitieke instabiliteit en digitalisering van productie, transport en communicatie, is het niet de vraag óf jouw organisatie een doelwit wordt, maar wanneer.
De NIS2 is daarbij geen eindstation, maar een startpunt. Laat je niet verrassen. Door nú werk te maken van jouw cyberweerbaarheid:
- Verlaag je risico’s aanzienlijk
- Verhoog je het vertrouwen van klanten en partners
- Positioneer je jouw bedrijf als betrouwbare schakel in de keten
Tot slot: zet cybersecurity op de directieagenda
Wees proactief. Organiseer een directiesessie over cybersecurity. Laat je informeren over risico’s, governance en ketenverantwoordelijkheid. Gebruik de handreiking van de Cyber Security Raad als gespreksstarter. Investeer in bewustwording, beleid en samenwerking. Want digitale weerbaarheid begint niet bij technologie, maar bij leiderschap.
- Ook zonder wettelijke verplichting rust er een zorgplicht op bestuurders om cyberrisico’s te beheersen.
- Zorg dat je weet hoe je organisatie scoort op essentiële beveiligingsmaatregelen zoals MFA en back-ups.
- Ook in kleinere organisaties is het belangrijk dat iemand expliciet verantwoordelijk is voor cybersecurity – met mandaat en middelen.
- Investeer in training voor bestuur en management – niet om techneut te worden, maar om geïnformeerde keuzes te maken.
- Bedrijven moeten zelf veilige producten leveren (security-by-design/default), zeker als ze digitale componenten verkopen.
Kijk hier voor meer informatie over NIS2 en de gevolgen voor jouw organisatie NIS2: Ben jij klaar voor de nieuwe cybersecuritywetgeving? - Delta-N
Wil je sparren over de impact van NIS2 op jouw organisatie of een concrete cyber quickscan uitvoeren op je keten? Neem contact met me op of plan direct een Teams-call.
Samen zorgen we dat jouw organisatie geen zwakke schakel is, maar een sterke schouder in de digitale keten.
Jean-Paul Bingen, Senior Security Consultant
