NIS2: van IT naar all hazards – dit verandert er écht

De nieuwe Europese NIS2-richtlijn brengt een fundamentele verandering teweeg in de manier waarop organisaties hun cyberbeveiliging moeten organiseren. Geen abstracte wetgeving, maar een concrete en dringende oproep tot actie. Waar voorheen vooral IT-afdelingen zich bekommerden om digitale risico’s, vereist NIS2 een veel bredere blik: het gaat om álle risico’s die de continuïteit van je organisatie en die van je ketenpartners in gevaar kunnen brengen: digitaal, operationeel én fysiek.

Van ransomware tot toegangsbadges: een “all hazards”-aanpak

De NIS2-richtlijn introduceert een zogenaamde all hazards approach. Dat betekent dat organisaties niet alleen IT-risico’s (zoals datalekken of verouderde software) moeten beheersen, maar óók risico’s in operationele technologie (OT), Internet of Things (IoT), en zelfs fysieke toegang tot systemen.

Voorbeelden van risico’s die je moet meenemen:

• IT: onveilige API’s, niet-gepatchte software, ransomware.
• OT: gehackte productielijnen, sabotage van water- of energievoorziening.
• IoT: onbeveiligde sensoren of slimme apparaten die toegang geven tot je netwerk.
• Fysiek: onbevoegde leveranciers, onbeveiligde USB-poorten, onvoldoende toegangscontrole.

Leveranciers: jouw zwakste schakel

We kunnen het niet vaak genoeg zeggen, maar de richtlijn benadrukt het belang van ketenverantwoordelijkheid. Veel organisaties investeren fors in hun eigen cyberhygiëne, maar vergeten hun leveranciers mee te nemen. En dat terwijl diezelfde leveranciers vaak systeemtoegang hebben, fysieke toegang krijgen of digitale koppelingen hebben via EDI/API.

Denk aan:

• IT-dienstverleners, cloudproviders en hostingbedrijven.
• OT-partijen zoals machinebouwers en onderhoudsbedrijven.
• Fysiek aanwezige partijen zoals koeltransporteurs of monteurs.
• EDI-gebruikers zoals grondstoffen- of chemieleveranciers.

De NIS2 vraagt om een cultuurverandering

Zelfs organisaties met ISO27001-certificering zullen hun aanpak moeten verbreden. NIS2 maakt duidelijk: beleid alleen is niet genoeg. Systemen hangen aan elkaar, fysieke en digitale werelden zijn verweven, en leveranciers kunnen de achilleshiel blijken.

Zoals het Nationaal Cyber Security Centrum (NCSC) stelt:

“Breng risico’s in de keten in kaart en neem maatregelen die bij jouw keten passen.”

Wat kun je nu al doen?

• Breng je kwetsbaarheden in kaart – IT, OT, IoT én fysieke toegang.
• Weet wie toegang heeft – intern én extern.
• Informeer je leveranciers – zij maken óók deel uit van jouw cyberveiligheid.
• Stel eisen aan ketenpartners – documenteer, toets en monitor.
• Werk samen met je CISO, juristen én operations – NIS2 is een gezamenlijke verantwoordelijkheid.

Conclusie: NIS2 is geen dreiging, maar een kans

Het implementeren van NIS2 vraagt om inspanning, maar biedt vooral een kans: om je keten veiliger te maken, je reputatie te beschermen en je veerkracht te vergroten. Een cyberincident begint zelden bij de hoofdingang; het komt binnen via een vergeten USB-stick, een onveilige sensor of een onderaannemer met oude software. Bij Lancom geloven we dat NIS2 je de kans biedt om je digitale keten structureel veiliger te maken. Voor jezelf. Voor je klanten. En voor je sector.

Pak je verantwoordelijkheid. Maak je keten veilig. NIS2 komt eraan, en wacht niet.