{"id":17758,"date":"2025-08-19T08:55:31","date_gmt":"2025-08-19T06:55:31","guid":{"rendered":"https:\/\/www.dp-institute.eu\/?p=17758"},"modified":"2025-08-19T08:59:51","modified_gmt":"2025-08-19T06:59:51","slug":"4-valkuilen-om-te-vermijden-op-weg-naar-nis2-implementatie","status":"publish","type":"post","link":"https:\/\/www.dp-institute.eu\/nl\/4-valkuilen-om-te-vermijden-op-weg-naar-nis2-implementatie\/","title":{"rendered":"4 valkuilen om te vermijden op weg naar NIS2 implementatie"},"content":{"rendered":"

NIS2 staat hoog op de agenda in veel bestuurskamers en is van toepassing op duizenden organisaties, hoewel sommige implementatie-inspanningen gelijker zijn dan andere. In dat kader vonden we het waardevol om een aantal klassieke valkuilen<\/strong> nader te bekijken die we hebben waargenomen op basis van onze ervaring met het werken met CISO\u2019s van uiteenlopende organisaties.<\/p>\n

1. Slechte communicatie en misalignment tussen stakeholders (intern en extern)<\/h2>\n

Spoiler: cybersecurity gebeurt niet in een vacu\u00fcm. Het is, net als privacy, een vakgebied dat niet beperkt blijft tot \u00e9\u00e9n afdeling. Of het nu IT, juridisch, inkoop of het leiderschap betreft \u2013 als deze partijen niet op \u00e9\u00e9n lijn zitten, verandert je project al snel in een spelletje \u201cChinese whispers\u201d (nee, dat is geen verwijzing naar een Chinese APT, ook al klinkt het spannender dan Salt Typhoon of Deep Panda). Kortom: communicatie is cruciaal. Rapportage, voortgangsupdates en afstemming zijn essentieel voor een succesvol NIS2-project.<\/p>\n

Vergeet ook niet: NIS2 is geen intern feestje. Iedereen is uitgenodigd \u2013 vooral externe leveranciers. En die doen maar al te graag mee, zeker wanneer zij een aanvalsvector worden voor jouw organisatie. Veel organisaties besteden kritieke IT- of clouddiensten uit, maar realiseren zich onvoldoende hoe diep die leveranciers in hun risicoprofiel zijn verweven. Een groot blind spot dus.<\/p>\n

Leveranciers dragen vaak een aanzienlijk deel van je cyberrisico, maar zullen zich niet vanzelf schikken naar jouw doelen tenzij je ze vroeg betrekt en duidelijke verwachtingen stelt.<\/p>\n

Kortom:<\/strong> houd de communicatielijnen open, betrek de juiste mensen op tijd, en vergeet je externe partners niet.<\/p>\n

2. Louter de checklist afwerken<\/h2>\n

E\u00e9n van de grootste fouten die organisaties maken? NIS2 behandelen als een puur technisch probleem voor IT \u2013 of aan de andere kant van het spectrum: als een papieren tijger voor juridische en compliance-afdelingen om op jacht te gaan naar risicoanalyses en documentatie.<\/p>\n

In werkelijkheid vereist NIS2 een top-down aanpak, gedragen door de hele organisatie. Als je het ziet als \u201cnog een certificaat\u201d of iets dat je even moet afvinken, eindig je met bergen papierwerk en weinig resultaat. Een Cyfancy framework is nog geen governanceprogramma.<\/p>\n

Focus liever op het bouwen van een pragmatisch maar functioneel governanceprogramma of ISMS (Information Security Management System). Oftewel: een programma dat niet alleen compliant is, maar ook echt werkt voor jouw organisatie, verankerd is in de dagelijkse werking, besluitvorming en cultuur.<\/p>\n

3. Onderschatten van benodigde middelen<\/h2>\n

Onprettige waarheid: cybersecurity vereist de juiste mensen, de juiste vaardigheden \u00e9n voldoende tijd. Ondanks de onvermijdelijke papierwinkel is de kern van de NIS2-wetgeving het verhogen van cyberweerbaarheid \u2013 en daar zijn geen snelle routes voor.<\/p>\n

Te vaak worden projecten gelanceerd met mensen die al overbelast zijn. Cybersecurity is allesbehalve saai, en dat betekent dat de werkdruk al hoog is.<\/p>\n

Voor een succesvolle NIS2-implementatie heb je nodig:<\/p>\n