Zakenman in pak staat alleen aan lege directietafel, handen op compliance-documenten, dramatische belichting benadrukt verantwoordelijkheid

NIS 2 is geen IT-feestje – dit moet je als organisatie zelf regelen

in

NIS2 is geen IT-feestje, maar een organisatiebrede verantwoordelijkheid die verder reikt dan firewalls en antivirussoftware. De voorbereiding op de NIS2-richtlijn vraagt om betrokkenheid van bestuur, juridische afdeling, HR en compliance. Met de NIS2-deadline in 2026 in zicht moeten organisaties nu starten met het inrichten van governance, risicomanagement en leveranciersketenbeheer. In dit artikel beantwoorden we de belangrijkste vragen over de organisatorische verantwoordelijkheid rond NIS2.

Waarom is NIS2 meer dan alleen een IT-aangelegenheid?

NIS2 raakt de hele organisatie omdat de richtlijn eisen stelt aan governance, risicomanagement, bedrijfscontinuïteit en leveranciersketens. De technische maatregelen vormen slechts één onderdeel van de NIS2-compliancetaken. Bestuurders moeten cyberbeveiligingsrisico’s begrijpen, beleid vaststellen en dit periodiek herzien. Dat gaat veel verder dan het installeren van beveiligingssoftware.

De EU heeft de NIS2-richtlijn ontwikkeld om de digitale en economische weerbaarheid van Europese lidstaten te verbeteren. Organisaties die essentiële of belangrijke diensten leveren, moeten hun netwerk- en informatiesystemen goed beveiligen én incidenten melden. Dit vraagt om een volwassen niveau van cyberbeveiligingsprocessen en rapportageverplichtingen.

NIS2-cybersecuritygovernance omvat tien kernmaatregelen die de zorgplicht vormen. Deze maatregelen raken incidentbehandeling, bedrijfscontinuïteit, beveiliging van de toeleveringsketen, cyberhygiëne en training voor personeel. Een IT-afdeling kan deze aspecten niet in isolatie organiseren. Het vraagt om strategische bedrijfsbeslissingen die alle afdelingen raken.

Welke NIS2-taken kan de IT-afdeling niet alleen oppakken?

De IT-afdeling kan technische maatregelen implementeren, maar NIS2 vereist governance-structuren, bestuurlijke besluitvorming en budgetallocatie die buiten haar mandaat vallen. HR moet securityawarenesstrainingen organiseren, Juridische Zaken moet contracten met leveranciers aanpassen en Communicatie moet incidentprotocollen opstellen.

Specifieke taken die buiten de traditionele IT-verantwoordelijkheid vallen:

  • Het vaststellen en periodiek herzien van het beveiligingsbeleid door het bestuur
  • Budgettoewijzing voor cybersecuritymaatregelen op directieniveau
  • Juridische contractaanpassingen met leveranciers voor supply chain security
  • HR-beleid voor toegangsbeheer en onboarding en offboarding van personeel
  • Communicatieprotocollen bij incidenten richting autoriteiten en stakeholders
  • Training en scholing voor bestuurders over cyberbeveiligingsrisico’s

Organisaties hebben een security officer nodig vanuit de eigen organisatie. Een externe IT-beheerder kan helpen bij technische aspecten, maar niet bij het totaalplaatje. De NIS2-implementatie binnen de organisatie vraagt om een partij die het geheel opzet en ondersteunt met de juiste expertise.

Wie is binnen de organisatie verantwoordelijk voor NIS2-compliance?

De bestuurlijke aansprakelijkheid onder NIS2 ligt expliciet bij het bestuur van de organisatie. Bestuurders en directie zijn persoonlijk verantwoordelijk voor het naleven van de maatregelen voor cybersecurityrisicomanagement. Dit betekent dat zij de gevolgen van informatiebeveiligingsrisico’s moeten kunnen beoordelen voor de diensten en producten die de organisatie levert.

Bestuur en werknemers moeten regelmatig scholing volgen om cyberbeveiligingsrisico’s te herkennen en te voorkomen. Het bestuur stelt het beveiligingsbeleid vast, herziet dit periodiek en borgt dat personeel op de hoogte is en handelt in overeenstemming met het beleid.

Crossfunctionele samenwerking is essentieel voor NIS2-compliance. De verantwoordelijkheden verdelen zich over:

  • Bestuur en directie: eindverantwoordelijkheid, beleidsbepaling en budgetgoedkeuring
  • IT-afdeling: technische implementatie en operationeel beheer
  • Compliance en risk: monitoring van naleving en risicobeoordelingen
  • Juridische Zaken: contracten, meldplichten en aansprakelijkheidsvraagstukken
  • HR: toegangsbeheer, training en personeelsbeleid

Wat zijn de eerste stappen om je organisatie NIS2-klaar te maken?

Start met een NIS2-nulmeting om te beoordelen hoe goed jouw organisatie voorbereid is op de nieuwe eisen. Een gapanalyse geeft inzicht in de huidige status van cybersecuritymaatregelen en identificeert potentiële kwetsbaarheden. Dit vormt de basis voor een realistische NIS2-compliancechecklist.

Een praktische roadmap voor de voorbereiding op de NIS2-richtlijn:

  • Voer een nulmeting uit op techniek, mensen en processen
  • Breng de kroonjuwelen van de organisatie in kaart en documenteer risico’s in een risicoregister
  • Stel een governanceframework op met duidelijke verantwoordelijkheden
  • Identificeer alle stakeholders en betrek hen bij het project
  • Creëer een projectstructuur die verder gaat dan alleen IT
  • Ontwikkel een helder informatiebeveiligingsbeleid als kapstok voor maatregelen

De resultaten van een nulmeting geven antwoord op drie kernvragen: welke technische kwetsbaarheden bestaan er, welke gedragsrisico’s zijn er bij medewerkers en welke processen moeten verbeteren voor structurele IT-security.

Welke risico’s loop je als NIS2 alleen bij IT wordt belegd?

Wanneer NIS2 uitsluitend als IT-project wordt behandeld, ontstaan blinde vlekken in compliance. De governancevereisten worden gemist, bestuurlijke betrokkenheid blijft onvoldoende en de persoonlijke aansprakelijkheid van bestuurders wordt onderschat. Dit kan leiden tot sancties bij non-compliance.

Concrete risico’s bij een te smalle IT-focus:

  • Onvolledige beveiliging van de toeleveringsketen door ontbrekende juridische contractaanpassingen
  • Geen aantoonbare scholing van bestuurders over cyberbeveiligingsrisico’s
  • Ontbrekend beleid voor incidentbehandeling en communicatieprotocollen
  • Onvoldoende NIS2-risicomanagement op organisatieniveau
  • Bestuurders die niet kunnen aantonen dat zij de materie begrijpen

Het is niet langer een kwestie van óf een aanval zal plaatsvinden, maar eerder wanneer. Organisaties die NIS2 niet uitsluitend als IT-thema benaderen, versterken hun veerkracht tegen cyberdreigingen en beschermen zich tegen financiële verliezen en reputatieschade.

Hoe helpt Hoek en Blok IT bij NIS2-implementatie als organisatiebrede uitdaging?

Hoek en Blok IT begeleidt organisaties bij de volledige NIS2-implementatie, van nulmeting tot aantoonbare compliance. De aanpak combineert technische expertise met auditervaring, waardoor zowel de praktische veiligheidsverbetering als de formele compliance worden geborgd.

Concrete ondersteuning bij NIS2-compliance:

  • NIS2-nulmeting met inzicht in techniek, mensen en processen
  • Gapanalyses en risicoregisters met een overzicht van de kroonjuwelen
  • IT-audits en securityassessments door NOREA-gecertificeerde auditors
  • Opstellen van informatiebeveiligingsbeleid en governanceframework
  • IT Security Officer as a Service voor doorlopende ondersteuning
  • Adviesrapport met concrete maatregelen en verantwoordelijkheidsverdeling

De pragmatische en betaalbare aanpak van Hoek en Blok IT sluit aan bij de behoeften van middelgrote organisaties die toewerken naar de NIS2-deadline in 2026. Neem contact op voor een vrijblijvend adviesgesprek over jouw NIS2-voorbereiding.