Cyber security voelt voor veel mkb-bedrijven als iets voor later, nog steeds. Totdat die ene vraag op tafel ligt: val ik eigenlijk onder NIS2? En dan wordt het ineens wél urgent.
Mijn collega Mark Krol, Technology en Innovation Lead bij WSB Solutions, aan het woord:
“Het doel van NIS2 is simpel,” aldus Mark Krol. “Het cyber security niveau in Europa moet omhoog. We moeten als organisaties gewoon weerbaarder worden.”
Klinkt logisch. Maar wat betekent dat concreet voor jouw bedrijf? Je ontdekt het in deze blog.
Veel organisaties duiken direct in oplossingen. Tools, maatregelen, certificeringen. Maar volgens Mark begint het ergens anders: “De eerste stap is niet techniek. Je moet eerst weten of je überhaupt onder NIS2 valt. Dat klinkt simpel, maar wordt vaak overgeslagen. Terwijl juist daar de basis ligt. Pas als je weet dat je onder de richtlijn valt, begint het echte werk.”
De meeste bedrijven denken dat cyber security begint bij software: firewalls, antivirus, monitoring. Maar volgens Mark zit de grootste winst ergens anders.
“Je begint met een risicoanalyse,” zegt hij. “Die laat precies zien waar je kwetsbaar bent en wat je moet doen. En daar komt vaak iets interessants uit. Niet per se dat de techniek faalt, maar dat er iets anders ontbreekt. Wat we veel zien in het mkb, is dat het stuk beleid achterblijft. Technologie is vaak al goed geregeld, maar afspraken, richtlijnen en documentatie ontbreken.”
En precies dát wordt onder NIS2 ineens cruciaal.
Please accept marketing-cookies to watch this video.
Maar als je eenmaal weet wat je risico’s zijn, komt de volgende vraag vanzelf: waar begin je dan?
Mark: “Wij adviseren om te werken met een framework. Wij gebruiken het Supply Chain framework. Dat vertaalt de NIS2 eisen naar concrete stappen en werkt met drie niveaus, SC10, SC20 en SC30. Zie het als een groeipad. Je begint bij de basis en bouwt stap voor stap verder.”
“Je start met SC10, de fundering,” legt hij uit. “Daar zitten de basismaatregelen in, technisch, organisatorisch, mensgericht en fysiek. Daarna ga je door naar SC20 en uiteindelijk SC30, waarin je alles volledig hebt ingericht. Door het op te knippen, blijft het behapbaar. En werk je gestructureerd toe naar volledige NIS2 compliance, zonder dat je in één keer alles hoeft om te gooien.”
Please accept marketing-cookies to watch this video.
Beleid schrijven. Richtlijnen vastleggen. Afspraken maken over gedrag. Niet sexy. Wel noodzakelijk.
“Een personeelshandboek is vaak niet genoeg,” zegt Mark. “Je moet vastleggen hoe je omgaat met apparaten, met AI, met werkplekken. Wat mag wel, wat mag niet? En dat vraagt iets anders dan techniek.”
Veel organisaties kijken naar de deadline en denken: we hebben nog wel even. Maar dat is een risico.
“Als je alles goed wilt implementeren, ben je al snel driekwart jaar tot een jaar bezig,” legt Mark uit.
En dat is geen theoretische schatting. Dat is praktijk. “Bedrijven onderschatten vaak hoeveel werk het is. Zeker als je nog moet beginnen. Dus ja, de deadline lijkt ver weg, maar de voorbereiding had eigenlijk gisteren al moeten starten.”
Het goede nieuws? “Je hoeft niet morgen volledig compliant te zijn.”
Het minder goede nieuws? “Je kunt het ook niet blijven uitstellen.”
“Ik zou er niet bang voor zijn, maar ik zou ook niet achterover leunen. De sleutel zit in beginnen.”
Als je één ding meeneemt uit dit verhaal, laat het dan dit zijn:
“Zorg dat je inzicht hebt, start met die risicoanalyse,” adviseert Mark. “Dan zie je meteen wat er moet gebeuren. Dan acteer je niet op aannames of giswerk, maar heb je duidelijkheid. En bouw je daar vanuit verder.”
Cyber security, en dus ook NIS2, is geen IT-feestje. Mark: “Het is geen puur technologisch vraagstuk, de organisatorische kant is minstens zo belangrijk. En dat betekent dat het iedereen raakt: van directie tot medewerker.”
Wil je weten waar jouw organisatie staat en wat er nodig is om NIS2 proof te worden? Dan is het slim om daar nu al serieus naar te kijken. Niet omdat het moet, maar omdat je straks niet wilt haasten. Of erger nog: achter de feiten aanloopt.
Met onze Security Scan krijg je direct inzicht in de kwetsbaarheden van jouw organisatie.
Vul het formulier in en Maurice neemt binnen 24 uur contact met je op. Geen verplichtingen, wel een eerlijk advies.
