Voor veel mkb-bedrijven klinkt NIS2 nog abstract. Europese richtlijn, nieuwe wetgeving, audits. Het voelt als iets dat later wel komt.
Marc van der Zandt is auditeur: “Zodra je iets doet wat een beetje spannend is en je onderdeel bent van een kritieke keten, dan krijg je met NIS2 te maken.”
Luister de podcast en ontdek hoe je sterk door een NIS2 audit komt.
NIS2 is geen doel op zich. De wet is ontstaan vanuit één simpele gedachte: als bepaalde bedrijven uitvallen, raakt dat ons allemaal. Water, energie, zorg. Daar wil je geen risico’s lopen.
Marc van der Zandt (co-owner van SafeSecur Group) vergelijkt het met iets alledaags. “Als je ’s ochtends je huis verlaat, doe je de deur op slot. Dat zijn hygiënemaatregelen. Van organisaties wordt eigenlijk hetzelfde verwacht.”
Niet omdat iedereen per definitie onbetrouwbaar is, maar omdat de impact simpelweg te groot kan zijn. Een ziekenhuis dat zijn systemen niet meer kan gebruiken. Een leverancier die geen data meer kan aanleveren. Dan gaat het niet meer over IT, maar over continuïteit en soms zelfs levens.
Veel mkb-bedrijven denken: wij vallen hier niet onder. We leveren geen zorg, geen stroom, geen water. Maar Marc is daar duidelijk over. “Op het moment dat jij leverancier bent van een ziekenhuis, word je onderdeel van die vitale keten.
Of je nu medische software levert, voeding aanlevert of wegwerpkleding. Als jij uitvalt, valt er iets belangrijks stil. En dan mag een ziekenhuis, of een andere kritieke partij, van jou verwachten dat je je zaken op orde hebt.”
Niet per se maximaal, maar passend bij het risico.
“Een van de grootste misverstanden rond NIS2 is dat compliant zijn een zwart-wit begrip is. Alsof je óf voldoet, óf niet. In de praktijk werkt het anders.”
“Een van de grootste misverstanden rond NIS2 is dat compliant zijn een zwart-wit begrip is. Alsof je óf voldoet, óf niet. In de praktijk werkt het anders. Er zijn gradaties”, legt Marc uit. “NIS QM10, QM20, QM30. Hoe hoger het risico, hoe zwaarder de maatregelen.”
Een afvalverwerker die een hele regio bedient, zit in een andere categorie dan een bedrijf dat glas vervoert voor een feestje. De vraag is steeds dezelfde: wat gebeurt er als jij uitvalt?
Compliant ben je volgens Marc wanneer je eerlijk kunt zeggen dat je alles hebt gedaan wat redelijkerwijs nodig is om je rol in de keten te blijven vervullen.
Als Marc binnenkomt voor een audit, ziet hij het meteen. “Aan de andere kant van de tafel zit vaak een licht gespannen organisatie. Niet omdat ze iets fout doen, maar omdat audits onbekend terrein zijn. Er is documentatie, bewijs, beleid, back-ups, afspraken, procedures.”
Toch probeert hij het luchtig te houden. “Ik begin altijd met: dank voor de koffie, we gaan vandaag iets leuks doen.”
Een audit is geen zoektocht naar perfectie. Het is een steekproef. De vraag is niet: kan er nooit iets misgaan? De vraag is: heb je een systeem ingericht dat werkt als het misgaat?
Wat veel organisaties verrast, is dat NIS2 en ISO 27001 maar voor ongeveer de helft technisch zijn. Back-ups, rechten, encryptie. Dat kun je vaak afdwingen met instellingen. De andere helft is organisatorisch. “Dat zijn afspraken die je niet met een knopje kunt regelen”, zegt Marc.
Wie mag wat? Hoe ga je om met laptops? Wat spreek je af met leveranciers? Vraag je een VOG? Heb je vastgelegd wat je doet bij een incident?
Het zijn menselijke keuzes. En juist daar zit vaak de grootste kwetsbaarheid.
Dat is misschien wel de moeilijkste vraag. Wanneer kun je zeggen: we hebben voldoende gedaan? Volgens Marc begint dat altijd bij risico’s. “Je moet eerst goed met elkaar praten over waar je risico’s liggen.”
Hij haalt een voorbeeld aan uit zijn tijd bij waardetransport. Daar was het risico simpelweg hoger. Dus werden zwaardere maatregelen genomen. Niet omdat het moest, maar omdat het logisch was. Dat geldt voor elk bedrijf. Wat voor de één overdreven is, is voor de ander noodzakelijk.
Een audit zegt niet dat je veilig bent. Dat belooft niemand.
“Wij toetsen of er een managementsysteem staat”, legt Marc uit. “En of het ook daadwerkelijk werkt. Dat wordt zichtbaar via steekproeven. Niet alles, maar genoeg om te zien of afspraken worden nageleefd. En als er iets niet klopt, dan is dat geen ramp. Dan wordt gekeken hoe ernstig het is. Minor tekortkomingen vragen om een plan. Major tekortkomingen om directe actie.”
Het doel is niet afrekenen, maar verbeteren.
Wat misschien wel het meest verrassend is: een incident tijdens een audit hoeft geen probleem te zijn. Sterker nog, het kan laten zien dat je voorbereid bent.
Marc vertelt hoe hij audits meemaakte bij organisaties waar nét iets misging. “Dan laten ze zien hoe ze hun plannen volgen en hoe ze reageren. Dat is waar het om draait. Cyberweerbaarheid. Niet het voorkomen van elk incident, maar het vermogen om ermee om te gaan.”
Voor organisaties die nog nauwelijks bezig zijn met NIS2, is het advies helder: “Bepaal eerst of je onder de wet valt”, zegt Marc. “Daar zijn beslisbomen voor. Dat is stap één. Stap twee is eenvoudiger dan veel mensen denken: basishygiëne. Niet klikken op vreemde linkjes. Sterke wachtwoorden. Antivirus. Bewustwording. Met die hygiënemaatregelen ben je al een heel eind onderweg.”
Wat dit hele gesprek duidelijk maakt: NIS2 is geen vinklijst. Het is een manier van denken. Het gaat niet om regels volgen, maar om verantwoordelijkheid nemen. Voor je klanten. Voor je keten. Voor je eigen continuïteit.
Of, zoals Marc het aan het einde samenvat: “Je bent niet per se veilig. Maar je bent wél klaar om het op te vangen.”
En dat is precies waar NIS2 over gaat.
Met onze Security Scan krijg je direct inzicht in de kwetsbaarheden van jouw organisatie.
Vul het formulier in en Maurice neemt binnen 24 uur contact met je op. Geen verplichtingen, wel een eerlijk advies.
