NIS2 & Managed Cyber Risk: continu grip op je cyberbeveiliging

‘De tijd van een jaarlijkse risicoanalyse op papier is voorbij’, zegt Bram van Tiel, partner Cyber Security bij PwC. ‘NIS2 vraagt om een structurele, datagedreven aanpak van cyberrisicomanagement. Organisaties die dat nu inrichten, lopen straks niet achter de feiten aan.’ 

Meer dan een checklist

De Network and Information Security Directive 2 (NIS2) is de Europese richtlijn die digitale weerbaarheid in essentiële en belangrijke sectoren moet versterken. Nederland loopt achter met de implementatie, maar de verwachting is dat de Cyberbeveiligingswet in de eerste helft van 2026 in werking treedt. Organisaties die onder deze wet vallen, denk aan leveranciers van essentiële diensten zoals energiebedrijven, zorginstellingen en infra-bedrijven, moeten dan tot in detail aantonen dat zij hun cyberrisico’s kennen, beheersen en rapporteren.

Persoonlijk aansprakelijk

‘Veel organisaties onderschatten wat NIS2 van ze vraagt’, ziet Van Tiel in de praktijk. ‘Het gaat niet om een vinkjeslijst, maar om een fundamentele verandering in hoe je met cyberrisico’s omgaat. Bestuurders krijgen een expliciete verantwoordelijkheid en kunnen zelfs persoonlijk aansprakelijk worden gesteld als het misgaat. Dat maakt NIS2 extra urgent.’

Drie pijlers, één grote opgave

De nieuwe NIS2-richtlijn en de daarvan afgeleide Cyberbeveiligingswet rusten op drie pijlers:

1. Governance: de directie is eindverantwoordelijk voor cybersecurity en dient getraind te worden om die verantwoordelijkheid in te kunnen vullen.
2. Maatregelen: organisaties moeten een effectief systeem voor cyberrisicomanagement inrichten (inclusief frequente identificatie, evaluatie, monitoring en bijsturing op risico's en maatregelen).
3. Rapportage: ernstige incidenten moeten binnen 24 uur gemeld worden, met vervolgrapportages binnen 72 uur en één maand.

Volgens Van Tiel ligt de kern van de uitdaging bij de tweede pijler, de maatregelen. ‘NIS2 schrijft niet exact voor welke maatregelen je moet nemen maar vereist volwassen risicomanagement ('passend en proportioneel'). Je moet weten welke risico’s voor jouw organisatie het grootst zijn, welke impact ze kunnen hebben op de buitenwereld en welke maatregelen er nodig zijn om dat risico tot een acceptabel niveau terug te brengen.’

Van papier naar datagedreven grip

Daarmee markeert NIS2 een grote stap vooruit richting alert, digitaal en real time monitoring. Van Tiel: ‘Veel organisaties doen hun cyberrisico-alyses nu nog heel beleidsmatig en op papier, maar nog niet digitaal gekoppeld aan hun feitelijke systemen. Daarmee is zo’n analyse nu nog vaak een momentopname, en daarmee een papieren zekerheid: de volgende dag kan de situatie al anders zijn. NIS2 zet daarin de volgende stap: dat maakt van cyberbeveiliging een continu proces waarin je voortdurend bijstuurt op basis van actuele data en dreigingen.’

Continu alert

Wij helpen organisaties om die stap te maken met ons platform Managed Cyber Risk (MCR). ‘Daarmee brengen we cyberrisico’s en maatregelen samen in één geïntegreerd platform’, aldus Nick Ho-Sam-Sooi, Manager Cyber Security bij PwC. ‘MCR maakt via dashboards helder inzichtelijk hoe effectief maatregelen zijn, waar risico’s aanwezig zijn, hoe die zich ontwikkelen en wat die kunnen betekenen voor de organisatie – operationeel, commercieel én financieel.’

Eén dashboard voor bestuur en operatie

Het Managed Cyber Risk-platform verzamelt data uit bestaande beveiligingssystemen en IT-processen. Daarmee ontstaat een actueel beeld van risico’s, kwetsbaarheden en de effectiviteit van maatregelen. ‘Het platform is zo ontworpen dat het bestuur de grote lijn ziet of de organisatie binnen de afgesproken risicogrenzen blijft terwijl operationele teams kunnen inzoomen op detailniveau’, vertelt Ho-Sam-Sooi. ‘Dat helpt organisaties om onderbouwde beslissingen te nemen, bijvoorbeeld over waar extra investering in beveiliging het meeste effect heeft.’

Een belangrijk voordeel, benadrukt hij, is dat de tool ook automatisch rapporteert in lijn met de vereisten van wet- en regelgeving. ‘Dat maakt het eenvoudiger om intern en extern te laten zien dat je je cyberrisico’s daadwerkelijk in de grip hebt.’

Maatregelen die ertoe doen

Volgens Van Tiel moeten organisaties bij de inrichting van hun cyberbeveiliging niet wachten op exacte richtlijnen. ‘Er zijn maatregelen die voor elke organisatie relevant zijn: helder en concreet beleid, versleuteling van gegevens, toegangscontrole, patchmanagement, periodiek testen van systemen en het trainen op crisisrespons. Maar de echte winst zit in de samenhang: weten wat het meest risicovol is, en dáár de juiste prioriteit aan geven.’

Datagedreven risicomanagement helpt daarbij. ‘Met de data die je al hebt, uit je IT-systemen, vulnerability scans of trainingsplatforms kun je een scherp beeld krijgen van je weerbaarheid’, zegt Van Tiel. ‘Je ziet welke maatregelen echt effect hebben en waar je nog moet bijsturen. Dat is niet alleen efficiënter, het is ook de enige manier om NIS2-proof te worden.’

Van nulmeting naar continu verbeteren

Wij begeleiden organisaties bij de hele route: van nulmeting tot structurele borging. Een eerste stap is vaak een NIS2 gap assessment. Dat brengt in kaart waar de organisatie staat en wat er nog nodig is. Vervolgens helpen we bij het inrichten van een continu proces van monitoring en verbetering. 

Dat kan vlot gaan. ‘Gemiddeld vergt het proces van een gap assessment zo’n zes weken’, zegt Van Tiel. ‘Het opzetten van een datagedreven risicomanagementstructuur met Managed Cyber Risk kan binnen twee tot drie maanden. In vier tot vijf maanden kun je dus een solide basis neerzetten. Daarmee werk je niet alleen aan je NIS2 compliance, maar vergroot je structureel je weerbaarheid.’

Bewustzijn boven angst

Van Tiel benadrukt dat PwC in de communicatie over NIS2 bewust wegblijft van angst. ‘We willen organisaties niet bang maken met dreigingscijfers of horrorverhalen over hackers en ransomware aanvallen. Het gaat om bewustwording en verantwoordelijkheid. Bestuurders moeten weten wat hun rol is en dat er middelen zijn om hier goed invulling aan te geven.’ Dat geeft zekerheid én biedt kansen: ‘Door cybersecurity structureel te verankeren, bouw je vertrouwen op bij klanten, leveranciers en toezichthouders.’

Actueel en betrouwbaar

Volgens Ho-Sam-Sooi is de grootste waarde van Managed Cyber Risk de mogelijkheid om voortdurend te sturen op basis van actuele informatie. ‘Het platform geeft doorlopend een actueel en betrouwbaar beeld van je cyberbeveiliging en -risico’s. Daardoor kun je sneller reageren op nieuwe dreigingen en voorkom je dat je beslissingen neemt op basis van verouderde aannames.’ Bovendien maakt de oplossing zichtbaar wat investeringen opleveren. ‘Je kunt precies zien wat de impact is van een maatregel op je risico’s en wat de verwachte opbrengst is in termen van risicoreductie. Daarmee maak je cybersecurity ook financieel hanteerbaar.’

Uitgelezen kans

De boodschap is duidelijk: organisaties moeten nu handelen. Van Tiel: ‘De wet komt eraan, maar in feite had Nederland NIS2 al in oktober 2024 moeten hebben geïmplementeerd. Eigenlijk moet je er dus al aan voldoen. Wie nu pas begint, loopt straks achter.’

Zijn advies: breng in kaart waar je nu staat. Gebruik alle data die je al hebt. En werk zo stap voor stap naar een continu cyberbeveiligingsproces. ‘NIS2 en cybersecurity is geen project, het is een nieuwe manier van veilig werken. En met de juiste aanpak ook een uitgelezen kans om voorop te lopen.’

Wil je weten hoe jouw organisatie ervoor staat? 

Doe de NIS2 Readiness Assessment 
Of schrijf je in voor de PwC Academy NIS2-training