NIS2 checklist voor bestuurders
Cyberveiligheid was jarenlang iets voor IT. Vandaag is het een onderwerp voor de bestuurskamer. Met de komst van de Cyberbeveiligingswet, de Nederlandse uitwerking van de Europese NIS2-richtlijn, verandert de rol van bestuurders ingrijpend. Organisaties die onder de wet vallen moeten cyberrisico's beter beheersen. Van bestuurders wordt verwacht dat zij hierover besluiten nemen, toezicht houden en kunnen aantonen dat cyberveiligheid onderdeel is van goed bestuur.
Dat betekent niet dat je technische kennis nodig hebt. Je hoeft geen firewall te configureren. Je hoeft geen cyberexpert te worden. Maar je moet wél begrijpen welke risico's jouw organisatie loopt, welke keuzes worden gemaakt en wat de gevolgen zijn als een cyberincident de continuïteit van je organisatie raakt. Deze checklist helpt je daarbij.
Samenvatting in één minuut
NIS2 in het kort
De NIS2-richtlijn is Europese wetgeving die organisaties verplicht hun digitale weerbaarheid te vergroten. In Nederland wordt deze richtlijn opgenomen in de Cyberbeveiligingswet (Cbw).
Voor bestuurders betekent dit dat cyberveiligheid niet langer uitsluitend een verantwoordelijkheid van IT is, maar onderdeel wordt van goed bestuur en risicomanagement.
De belangrijkste inzichten
- Cyberrisico is een bedrijfsrisico en hoort thuis op de bestuursagenda
- Bestuurders blijven eindverantwoordelijk, ook wanneer IT is uitbesteed
- Leveranciers en ketenpartners vormen een steeds groter cyberrisico
- Cyberveiligheid vraagt om governance, toezicht en periodieke besluitvorming
- Een goede voorbereiding voorkomt kostbare stilstand tijdens een cyberincident
- Deze checklist helpt bestuurders bepalen waar hun organisatie vandaag staat
1. Weet jij waar jouw grootste cyberrisico's zitten?
Veel bestuurders kennen hun financiële risico's tot achter de komma. Omzet? Paraat. Marge? Bekend. Belangrijkste klanten? Natuurlijk. Concurrenten? Die staan op het netvlies. Maar cyberrisico's? Kun je vandaag zonder voorbereiding antwoorden geven op de volgende vragen?
☐ Wat zijn onze drie grootste cyberrisico's?
☐ Welke systemen zijn essentieel voor onze bedrijfsvoering?
☐ Welke gegevens mogen we absoluut niet verliezen?
☐ Welke processen mogen maximaal één uur uitvallen?
☐ Welke leverancier vormt ons grootste digitale risico?
☐ Weten wij hoe snel onze systemen kunnen worden hersteld?
Twijfel je bij meerdere vragen? Dan is dat geen reden voor paniek. Wel een signaal dat de organisatie onvoldoende inzicht heeft in haar digitale risico's. En risico's die je niet kent, zijn lastig te beheersen.
2. Wanneer stond cyberveiligheid voor het laatst op de bestuursagenda?
Vrijwel iedere directievergadering bespreekt:
- Financiën
- Personeel
- Klanttevredenheid
- Groei
- Operationele prestaties
Maar cyberveiligheid? Die schuift nog te vaak door naar ''IT''.
Logisch misschien. Maar niet meer houdbaar.
Cybercriminaliteit is geen technisch randonderwerp meer. Het is een direct bedrijfsrisico.
Cyberweerbaarheid hoort dus gewoon aan dezelfde tafel. Niet omdat de wet dat zegt, maar omdat een cyberincident net zo ontwrichtend kan zijn als een grote financiële operationele crisis.
De vraag is daarom niet: ''Heeft onze IT-partner dit geregeld?''
De echte bestuursvraag is:
''Hebben wij voldoende inzicht om de juiste besluiten te nemen?''
Bestuurs-check
☐ Bespreekt het bestuur cyberveiligheid minimaal ieder kwartaal?
☐ Ontvangt het bestuur periodieke rapportages over cyberrisico's?
☐ Zijn cyberrisico's onderdeel van de algemene risicobeoordeling?
☐ Zijn verantwoordelijkheden duidelijk verdeeld?
☐ Worden besluiten over cyberveiligheid vastgelegd?
Hoe vaker je ''ja'' kunt antwoorden, hoe beter cyberveiligheid is verankerd in de governance van je organisatie.
3. Wat doe je als het morgen misgaat?
Een cyberincident is geen IT-probleem. Het is een bedrijfscrisis. Daarom moet vooraf duidelijk zijn wie besluiten neemt, hoe de organisatie blijft functioneren en wie intern en extern de regie voert.
De eerste uren na een cyberincident bepalen vaak de impact. Niet alleen technisch. Juist bestuurlijk.
Stel je voor. Dinsdagochtend. 08:12. De financiële administratie kan niet meer inloggen. De productieplanning ligt stil. Klanten krijgen foutmeldingen.
Op meerdere schermen verschijnt een losgeldbericht. Iedereen kijkt naar elkaar. En vervolgens naar jou. Niet omdat jij de systemen moet herstellen. Maar omdat jij richting moet geven.
De eerste vragen die een bestuurder moet kunnen beantwoorden
☐ Wie heeft tijdens een cyberincident de leiding?
☐ Wanneer schakelen we onze IT-partner of externe specialisten in?
☐ Wie informeert klanten, leveranciers en medewerkers?
☐ Welke bedrijfsprocessen moeten als eerste worden hersteld?
☐ Wanneer is sprake van een meldingsplicht?
☐ Wie neemt besluiten als informatie nog onvolledig is?
☐ Is ons incidentresponsplan getest?
Wanneer deze antwoorden pas tijdens een incident worden bedacht, verlies je kostbare tijd. En tijd is precies wat je tijdens een cyberaanval niet hebt.
4. Ken jij de digitale kroonjuwelen van jouw organisatie?
Niet alle systemen zijn even belangrijk. Goed cyberrisicomanagement begint met bepalen welke processen, gegevens en systemen essentieel zijn voor de continuïteit van de organisatie.
Daarom is één vraag belangrijker dan alle andere: wat doet morgen het meeste pijn als het uitvalt?
Denk aan:
- Klantgegevens
- Financiële administratie
- ERP-systemen
- Productieomgevingen
- Logistieke software
- Intellectueel eigendom
- E-mail en samenwerkingstools
- Cloudomgevingen
Deze bedrijfsmiddelen verdienen extra aandacht. Niet omdat ze technisch bijzonder zijn. Maar omdat de organisatie zonder deze middelen niet kan functioneren.
Bestuurs-check
☐ Hebben wij vastgesteld welke systemen bedrijfskritisch zijn?
☐ Weten wij welke gegevens absoluut beschermd moeten worden?
☐ Is de maximale uitvaltijd per proces bepaald?
☐ Zijn herstelprioriteiten vooraf vastgesteld?
☐ Zijn back-ups regelmatig getest?
☐ Weet het bestuur welke systemen als eerste worden hersteld?
Hoe meer vragen je met ''ja'' beantwoord, hoe groter de kans dat de organisatie gecontroleerd kan herstellen na een incident.
5. Hoe afhankelijk ben je van leveranciers?
De beveiliging van jouw organisatie is zo sterk als de zwakste schakel in de keten. Daarom vraagt de NIS2-richtlijn niet alleen aandacht voor je eigen beveiliging, maar ook voor de risico's bij leveranciers en dienstverleners.
Veel organisaties investeren stevig in hun eigen beveiliging.
Mooi. Maar kijk ook even naar de digitale achterdeur.
Want aanvallers komen lang niet altijd via je eigen voordeur binnen. Steeds vaker loopt de route via:
- Softwareleveranciers
- IT-partners
- Cloudomgevingen
- Externe dienstverleners
De Cyberbeveiligingswet kijkt daarom nadrukkelijk naar supply chain security en leveranciersbeheer. Of simpeler gezegd: weet wie er digitaal bij je naar binnen kan.
Stel jezelf daarom deze vraag:
''Weten wij welke leveranciers onze bedrijfscontinuiteit kunnen verstoren?''
Bestuurs-check
☐ Hebben we inzicht in leveranciers met toegang tot onze systemen?
☐ Weten we welke leveranciers bedrijfskritisch zijn?
☐ Zijn afspraken over informatiebeveiliging vastgelegd?
☐ Zijn afspraken gemaakt over meldingen van cyberincidenten?
☐ Beoordelen we leveranciers periodiek op cyberrisico's?
☐ Weten we wat de impact is als een kritieke leverancier uitvalt?
6. Welke cyberrisico's accepteert het bestuur?
Geen enkele organisatie kan alle cyberrisico's uitsluiten. Goed bestuur draait daarom niet om nul risico, maar om bewuste keuzes maken en vastleggen waarom bepaalde risico's acceptabel zijn.
Veel organisaties investeren continu in informatiebeveiliging.
Toch blijft er altijd een restrisico bestaan. Dat is normaal.
De vraag is alleen: zijn die risico's bewust geaccepteerd? Of zijn ze nooit besproken?
Daar zit een belangrijk verschil. Bestuurders nemen dagelijks besluiten over financiële risico's, investeringen en strategische keuzes.
Cyberrisico's verdienen dezelfde aandacht. Niet omdat iedere aanval te voorkomen is.
Maar omdat iedere organisatie vooraf moet bepalen welke risico's acceptabel zijn.
Bespreek daarom regelmatig
- Welke cyberrisico's accepteren we bewust?
- Waarom accepteren we deze risico's?
- Welke impact vinden we acceptabel?
- Welke risico's vragen extra investeringen?
- Wanneer wegen de kosten niet meer op tegen de baten?
Bestuurs-check
☐ Zijn onze grootste cyberrisico's formeel besproken?
☐ Is vastgelegd welke risico's bewust zijn geaccepteerd?
☐ Worden cyberrisico's periodiek opnieuw beoordeeld?
☐ Is cyberveiligheid onderdeel van de algemene risicobeoordeling?
☐ Is duidelijk wie verantwoordelijk is voor opvolging?
☐ Is cyberveiligheid onderdeel van onze governance?
Wanneer je meerdere vragen met ''nee'' beantwoordt, is het verstandig om cyberveiligheid structureel onderdeel te maken van de bestuursagenda.
7. Hoe volwassen is jouw organisatie?
Cyberweerbaarheid draait niet om perfectie. Het draait om inzicht. Organisatie die weten waar hun grootste risico's liggen, kunnen gerichter investeren en nemen betere bestuurlijke besluiten.
Deze checklist geeft een eerste indruk. Maar de belangrijkste vraagt blijft:
''Hoe volwassen is onze organisatie op het gebied van cyberrisicomanagement?''
Daar helpt een Cyberboardroom check bij. Niet om een cijfer te halen. Wel om inzicht te krijgen in waar je vandaag staat en welke stappen de meeste impact maken.
Doe de Cyber Boardroom Check
Beantwoord iedere stellig met:
- Ja, dit hebben we goed geregeld
- Deels geregeld
- Nee, dit is niet duidelijk
In enkele minuten weet jij hoe je scoort: