NIS2 moet organisaties veiliger maken, maar lukt dat ook?

In dit artikel:

Het demissionaire kabinet wil NIS2 in Nederland via de Cyberbeveiligingswet (Cbw) en de Wet weerbaarheid kritieke entiteiten (Wwke) uiterlijk in het tweede kwartaal van 2026 in werking laten treden. In een rondetafelgesprek wezen experts van Conscia, Dell, HPE, KPN, ManageEngine, Thales, TSTC en Veeam echter op flinke hobbels: Nederland loopt achter op de EU-tijdlijn en veel organisaties gebruiken het ontbreken van nationale regels als reden om niet proactief hun weerbaarheid te versterken.

Wie sprak er mee: Maarten Werff (Conscia), Dick Vonk (Dell), Emmon Lang’at (HPE), Nadeem de Vree (KPN), Sabarishwaran Jay (ManageEngine), Steven Maas (Thales), Michiel Benda (TSTC) en Sander Schreven (Veeam). Zij bespraken wat NIS2 concreet betekent, waar organisaties rekening mee moeten houden en welke praktische obstakels vooral mkb’ers en minder gereguleerde sectoren tegenkomen.

Wat is de stand van zaken en waarom vertraagd?
De NIS2-richtlijn moet EU-breed de cyberweerbaarheid verhogen, maar de meeste lidstaten hebben de omzetting in nationale wetgeving niet op tijd afgerond; slechts zes landen, waaronder België, hadden voor oktober 2024 al een nationale implementatie. In Nederland werkt het proces traag doordat meerdere ministeries bij het wetsvoorstel betrokken zijn. Dat creëert onduidelijkheid en verlammende effecten: veel bedrijven voelen (nog) geen noodzaak om verder te gaan dan basispreventie zolang er geen nationale handhavingskader is.

Sectorverschillen en lessen
Gereguleerde sectoren — banken, grotere telecompartijen en sommige overheidsinstanties — hebben al securityprogramma’s en informatiebeveiligingsleiders in huis en zijn daardoor verder gevorderd. Het mkb heeft vaak geen CISO en heeft beperkte middelen; dat leidt tot afhankelijkheid van externe consultants en managed diensten. Een concreet leerpunt uit de zorgsector is de rol van een branche-CERT (zoals Z-CERT) die coördineert en helpt opschalen; deelnemers vinden dat vergelijkbare sectorbrede hulporganisaties ook in andere industrieën nuttig zouden zijn, maar waarschuwen voor capaciteitstekorten bij dergelijke centra.

Kosten, capaciteit en handhaving
De experts benadrukten dat de invoering van NIS2/Cbw/Wwke extra investeringen vergt: tooling, juridische ondersteuning en vooral gekwalificeerd personeel. Training en behoud van medewerkers zijn kostbaar; voor veel organisaties is het inhuren van externe expertise onvermijdelijk. Over boetes wezen de deelnemers op nuance: niet-naleving leidt niet automatisch tot straf; toezichthouders zullen naar de context en genomen maatregelen kijken. Maar wie na een incident niet kan aantonen dat redelijke stappen zijn gezet, loopt wel degelijk risico op sancties.

Concrete aandachtspunten voor organisaties
- Risicomanagement moet de basis zijn: bepaal relevante risico’s en vertaal die naar beleid en prioriteiten; dit is vaak effectiever dan meteen dure tooling kopen.
- Supply chain security en inkoopbeleid worden belangrijker: leveranciers moeten aantoonbaar veilige producten en processen leveren. Voor grote leveranciers zoals Microsoft is de strategie om één keer aan de strengste Europese eisen te voldoen; kleinere leveranciers moeten daar slim in hun inkoop- en productkeuzes mee omgaan.
- Monitoring, incident response en managed detection & response (MDR) zijn cruciaal; assessments en CIS-controls helpen om concrete lacunes te vinden.
- Automatisering en democratisering van securitytools kunnen mkb’ers helpen: standaardisatie en automatisering moeten breed beschikbaar en veilig inzetbaar zijn.

Rol van vendors en technologie
Vendors zien meer vraag naar encryptie, data protection en veilige architecturen. Tegelijk waarschuwen zij dat technologie zonder proces, beleid en personeel onvoldoende is. Ook pleiten sommige leveranciers ervoor om de geest van de wet centraal te stellen: het gaat niet alleen om rigide compliance, maar om de operationele weerbaarheid van organisaties.

Slotconclusie
Het traject naar nationale NIS2-wetgeving wordt gezien als een nodige stok achter de deur, maar de sleutel tot echte vooruitgang ligt niet alleen in wetten: organisaties moeten risicomanagement en operationele maatregelen versterken, sectorbrede ondersteuning organiseren en zorgen dat security niet alleen een technisch vraagstuk blijft. Zoals Michiel Benda het samenvatte: “Deze kwestie draait niet over compliance, maar security.” In een vervolgartikel zullen de experts dieper ingaan op concrete stappen die organisaties nu al kunnen nemen om klaar te zijn voor Cbw en Wwke.