4 valkuilen om te vermijden op weg naar NIS2 implementatie

Datum
19.08.2025

NIS2 staat hoog op de agenda in veel bestuurskamers en is van toepassing op duizenden organisaties, hoewel sommige implementatie-inspanningen gelijker zijn dan andere. In dat kader vonden we het waardevol om een aantal klassieke valkuilen nader te bekijken die we hebben waargenomen op basis van onze ervaring met het werken met CISO’s van uiteenlopende organisaties.

1. Slechte communicatie en misalignment tussen stakeholders (intern en extern)

Spoiler: cybersecurity gebeurt niet in een vacuüm. Het is, net als privacy, een vakgebied dat niet beperkt blijft tot één afdeling. Of het nu IT, juridisch, inkoop of het leiderschap betreft – als deze partijen niet op één lijn zitten, verandert je project al snel in een spelletje “Chinese whispers” (nee, dat is geen verwijzing naar een Chinese APT, ook al klinkt het spannender dan Salt Typhoon of Deep Panda). Kortom: communicatie is cruciaal. Rapportage, voortgangsupdates en afstemming zijn essentieel voor een succesvol NIS2-project.

Vergeet ook niet: NIS2 is geen intern feestje. Iedereen is uitgenodigd – vooral externe leveranciers. En die doen maar al te graag mee, zeker wanneer zij een aanvalsvector worden voor jouw organisatie. Veel organisaties besteden kritieke IT- of clouddiensten uit, maar realiseren zich onvoldoende hoe diep die leveranciers in hun risicoprofiel zijn verweven. Een groot blind spot dus.

Leveranciers dragen vaak een aanzienlijk deel van je cyberrisico, maar zullen zich niet vanzelf schikken naar jouw doelen tenzij je ze vroeg betrekt en duidelijke verwachtingen stelt.

Kortom: houd de communicatielijnen open, betrek de juiste mensen op tijd, en vergeet je externe partners niet.

2. Louter de checklist afwerken

Eén van de grootste fouten die organisaties maken? NIS2 behandelen als een puur technisch probleem voor IT – of aan de andere kant van het spectrum: als een papieren tijger voor juridische en compliance-afdelingen om op jacht te gaan naar risicoanalyses en documentatie.

In werkelijkheid vereist NIS2 een top-down aanpak, gedragen door de hele organisatie. Als je het ziet als “nog een certificaat” of iets dat je even moet afvinken, eindig je met bergen papierwerk en weinig resultaat. Een Cyfancy framework is nog geen governanceprogramma.

Focus liever op het bouwen van een pragmatisch maar functioneel governanceprogramma of ISMS (Information Security Management System). Oftewel: een programma dat niet alleen compliant is, maar ook echt werkt voor jouw organisatie, verankerd is in de dagelijkse werking, besluitvorming en cultuur.

3. Onderschatten van benodigde middelen

Onprettige waarheid: cybersecurity vereist de juiste mensen, de juiste vaardigheden én voldoende tijd. Ondanks de onvermijdelijke papierwinkel is de kern van de NIS2-wetgeving het verhogen van cyberweerbaarheid – en daar zijn geen snelle routes voor.

Te vaak worden projecten gelanceerd met mensen die al overbelast zijn. Cybersecurity is allesbehalve saai, en dat betekent dat de werkdruk al hoog is.

Voor een succesvolle NIS2-implementatie heb je nodig:

  • duidelijke rollen en verantwoordelijkheden
  • realistische tijdlijnen
  • échte capaciteit (niet alleen wensdenken)
  • toegang tot expertise – intern of extern

Bezuinigen op middelen lijkt misschien slim op korte termijn, maar leidt op de lange termijn tot het slechtste van twee werelden: extra werk en weinig tastbare resultaten.

4. Wat is succes eigenlijk?

Als je maanden (of jaren) investeert in NIS2, moet je weten waar je naartoe werkt. NIS2-compliance is, net als GDPR, geen doel op zich.

Veel teams starten grote projecten zonder ooit te definiëren wat succes is. Hoe weet je of je vooruitgang boekt? Wat betekent “succes” concreet?

Kijk naar recente Generatieve AI-projecten: zonder duidelijke doelen en meetpunten voelen we ons misschien goed, maar weten we niet wat werkt en wat niet. Belangrijker nog: het wordt lastig om de investering tegenover het management te verantwoorden. Uiteindelijk draait het vaak om: wat is de ROI?

Definieer dus vooraf meetbare en betekenisvolle doelstellingen. Niet alleen om audits te doorstaan, maar om echt beter te worden in waar het om draait: je organisatie beschermen. Denk aan gemiddelde oplostijd van incidenten, gemiddelde detectietijd, percentage kritieke leveranciers dat dit jaar een securityreview kreeg, percentage applicaties dat aan een toegangscontrole werd onderworpen, enzovoort.

Managementsamenvatting

Hoewel er veel valkuilen zijn, vatten we de belangrijkste hier samen met enkele managementvriendelijke oneliners:

  • Communiceer, stel niet uit
  • Van papieren tijger naar spirit animal: laat je governanceprogramma voor je werken
  • Overschat je benodigde middelen – dat komt waarschijnlijk dichter bij de realiteit
  • Definieer hoe succes eruitziet in je governanceaanpak

 

Meer leren over een succesvolle NIS2-implementatie? Schrijf je in voor onze NIS2 Lead Implementer-training!

Datum
19.08.2025

Laatste nieuws

Docent in de kijker: Bert Verschelde (DPO bij DPG Media)
default-image
Kernprincipes van een DPO
default-image
DPI en ISACA bundelen krachten: versterk uw leerproces als Security Leader
Terugblik op het Privacy Café: gesprekken over samenwerking, certificering en cookies
Terugblik op het Privacy Café: gesprekken over samenwerking, certificering en cookies

Blijf op de hoogte via onze nieuwsbrief

Blijf in contact met ons laatste nieuws, aanbiedingen en beschikbare opleidingen.

Newsletter
x

Blijf op de hoogte via onze nieuwsbrief

Blijf in contact met ons laatste nieuws, aanbiedingen en beschikbare opleidingen.

Newsletter
x

Schrijf je in