‘NIS2 is een enabler, geen proces van afvinken’
NIS2 verplicht bedrijven om de teugels aan te halen en hun digitale infrastructuur beter te beveiligen. De richtlijn treedt gelijk met de Cyberbeveiligingswet in werking. Nieuwe sectoren worden toegevoegd aan de invloedssfeer van de toezichthouder, onderverdeeld in ‘essentiële’ en ‘belangrijke’ sectoren. Ook geldt er een meldplicht en een zorgplicht. Bij niet-naleving worden boetes opgelegd en kunnen bestuurders persoonlijk aansprakelijk worden gesteld. Nadeem de Vree, vp networking en security van KPN, vraagt zich af welke impact NIS2 zal hebben in de markt. Hij gaat daarover in gesprek met Jeroen van Rooden, cio van het Leids Universitair Medisch Centrum (LUMC), Matthijs Zwart, cio/ciso van drinkwaterbedrijf Vitens en Michel van Eeten, hoogleraar cybersecurity aan de TU Delft. Het winterweer van januari maakt de wegen onbegaanbaar, waardoor het gesprek via een call plaatsvindt – wat eigenlijk ook wel heel toepasselijk is. De digitale snelweg is onmisbaar geworden voor het bbp en de staat van onze economie. Dat maakt het uitbannen van risico’s des te urgenter. Het regime van NIS2 zal streng aanvoelen, verwacht Van Rooden: ‘Heb je je niet goed voorbereid, dan ga je de consequenties voelen.’ Hij weet uit eigen ervaring dat een storing of hack nooit helemaal uit te sluiten is, ook als je denkt dat je je zaakjes op orde hebt. Dan kun je maar beter zorgen dat je een noodscenario hebt om de continuïteit te waarborgen. Of, in de woorden van Zwart: ‘Bij twijfel niet inhalen’. Het grootste drinkwaterbedrijf van Nederland blijft ook functioneren als geautomatiseerde processen uitvallen. ‘Als het niet anders kan, gaan we analoog pompen, zuiveren en distribueren.’ Voor Van Eeten is de tijd van de afvinklijstjes voorbij. ‘Je kunt je niet meer verschuilen achter regeltjes. Het is tijd om verantwoordelijkheid te nemen.’
Bij KPN zien we dat NIS2 veel van bestuurders vergt, maar we zien het bovenal als kans om digitale infrastructuren beter te beveiligen. Hoe kijken jullie naar NIS2: als een verplichting of als kans om te professionaliseren?
Van Rooden: ‘NIS2 is een kans die we niet mogen laten liggen; die luxe kunnen we ons niet meer permitteren. We zijn door omstandigheden die buiten onze macht liggen in onrustig vaarwater terechtgekomen. Geopolitieke bedreigingen creëren extra druk, naast de druk die we voelen van wet- en regelgeving. Helaas ontbreekt het merkwaardig genoeg zelfs nu aan voldoende besef van urgentie en doen we in het algemeen te weinig aan risicobeheersing. We kijken wel naar het journaal en delen onze zorgen, maar we zitten nog onvoldoende in de actiestand. Dan heb ik het niet alleen over onze defensie, maar ook over readiness en resilience in de maatschappij. De veiligheid van je netwerk- en informatiesystemen behoort integraal onderdeel te zijn van je rugzak.’
Van Eeten: ‘De urgentie van NIS2 is duidelijk, al was het maar omdat de bestuurder eindverantwoordelijk wordt gehouden bij incidenten. Het gevaar is wel dat bedrijven risico’s gaan mijden. Dat zou de verkeerde kramp zijn. Je moet ook niet bang zijn dat de Autoriteit Persoonsgegevens vragen gaat stellen. Daar moet je als bedrijf volwassen mee omgaan. De functionaris gegevensbescherming is evenmin “lastig”. Toezicht op gegevensbescherming is een belangrijk onderdeel van de bedrijfsvoering. Bedrijven die verantwoordelijkheid voelen en pakken, hoeven niets te vrezen. Die zijn oplossingsgericht en hebben een duidelijke visie op veiligheid. Je gaat het niet redden als je je alleen focust op risico’s mijden.’
Zwart: ‘NIS2 is absoluut een kans. Laat iedereen ook weten waaróm het een kans is. Goed voorbereide bestuurders dragen uit wat het beleid is en wat er moet gebeuren als het misgaat. Dan is er draagvlak. Ook medewerkers die zich niet direct bezighouden met IT moeten kennis hebben van hun impact op cyberveiligheid en begrijpen wat ze moeten doen en laten! Zo blijf je aan het roer op het moment dat zich een probleem voordoet. Cybercrime is een dreiging die we niet mogen onderschatten. En er is geen vangnet. In dit onzekere tijdsgewricht kun je er niet op vertrouwen dat alle zegen van boven komt. Je moet bij grootschalige landelijke cyberaanvallen echt je eigen broek kunnen ophouden, dat hebben we uit oefeningen met de vitale sector wel geleerd.’
Hoe kunnen bestuurders koers bepalen in een snel veranderend landschap, waarin compliance en innovatie elkaar versterken, maar ook spanning geven?
Zwart: ‘Hanteer eenvoud als principe. Bij Vitens hebben we de IT-architectuur vereenvoudigd tot de meest cruciale toepassingen. Die hebben we robuust gemaakt met goede, betrouwbare leveranciers. Het versterken van onze secure by design-architectuur in combinatie met het versterken van de operationele security capability is de belangrijkste investering geweest in de afgelopen jaren. Daardoor zijn we echt veel minder kwetsbaar voor externe dreiging. Het meest onverstandige dat je kunt doen is dat je een bataljon consultants inhuurt om maar aan de regeltjes te voldoen, zonder dat je de intrinsieke motivatie hebt om een veilige en betrouwbare dienstverlener te zijn. Wij hebben ons sinds NIS1 (Wbni) al serieus op cybersecurity georganiseerd, omdat wij toen al waren geclassificeerd als essentiële sector. Niemand kan zonder drinkwater. Een cyberincident heeft dan de grootste impact. Hetzelfde geldt voor energie, zorg, transport en de financiële sector. Tegelijkertijd zijn we ook een bedrijf dat moet innoveren. Ook wij moeten onze assets vernieuwen, nieuwe machines bouwen in de publieke ruimte en concurreren met sectoren die dezelfde resources nodig hebben als wij. Ik zie het als mijn taak om veiligheid en innovatie met elkaar te verenigen.’
Van Eeten: ‘Innovatie en welvaart zijn uiteindelijk de belangrijkste bronnen van veiligheid. De Amerikanen zijn militair het sterkst omdat ze economisch het sterkst zijn, niet andersom. De rapporten van Draghi en recent van Wennink tonen een route die nodig is voor onze veiligheid die eerder op deregulering is gebaseerd. We moeten onszelf niet klem reguleren in de hoop dat dat ons veiliger maakt.’
Van Rooden: ‘In de praktijk is er altijd spanning tussen de operatie en compliance en legal, tussen wat mag en wat moet. Juristen willen aansprakelijkheid minimaliseren, terwijl compliance ook ethische kwesties weegt. De uitdaging zit erin om de balans te vinden. Ik vind zelf dat je elkaar ook moet kunnen vertrouwen. Voldoen aan regels is geen garantie voor 100 procent veiligheid. Je kunt nog zo veel maatregelen treffen, je kunt ook iets over het hoofd zien. Daar moet je open over zijn. Je mag je best kwetsbaar opstellen. Daar hebben je medewerkers en stakeholders meer aan dan aan een glad verhaal dat je niet kunt waarmaken. Enkele maanden geleden was er een storing bij AWS. Wij dachten aanvankelijk: daar hebben wij gelukkig geen relatie mee. Wel dus. Het bleek een kleine externe dienst te zijn waarop ons netwerkprotocol – DNS – draaide. Vervolgens waren kernsystemen van het ziekenhuis een uur niet benaderbaar. Nu was het een technische oorzaak die zeer snel te herstellen was, maar de volgende keer is het een veel ingrijpender hack van al dan niet statelijke actoren.’
Zwart: ‘Het voorbeeld van Jeroen laat opnieuw zien hoe gevaarlijk het is om aannames te doen. Je fopt jezelf als je denkt dat je alles onder controle hebt. Je bent pas in control als je je flaws erkent en rekening houdt met alles wat je niet weet. Zolang je maar in staat bent om met onvoorziene omstandigheden om te gaan. Daarom hebben we bij Vitens altijd een plan B in het geval geautomatiseerde processen het laten afweten. Feitelijk zijn we als drinkwaterbedrijf een analoge dienstverlener. Dat betekent dat we onze processen ook handmatig moeten kunnen bedienen. Dat oefenen we met simulaties.’
KPN helpt organisaties om hun cyberweerbaarheid structureel te versterken en zich voor te bereiden op nieuwe verplichtingen zoals NIS2, met aandacht voor techniek, processen en samenwerking. Hoe kijken jullie naar die verantwoordelijkheid, en wat moeten organisaties volgens jullie nú doen om tijdig en realistisch aan NIS2 te voldoen?
Van Eeten: ‘Ik heb de indruk dat er veel tijd verloren gaat aan randzaken. Bedrijven proberen de administratie op orde te brengen, wat in de praktijk een enorme papierberg is. Ook meten ze hun supply chains door met diensten als Bitsight, die weinig signaal bevatten en wel veel ruis – maar het levert een rapport op en daar is het ze om te doen. Je moet je niet aan NIS2 willen conformeren omdat het van je verwacht wordt. Dat is contraproductief. Net als het draaien van phishing simulaties. Die blijken in de praktijk juist het risico op phishing te vergroten.’
Zwart: ‘Mijn advies is: ‘Gedenk je analoge alternatieven. In ons geval is de beschikbaarheid van drinkwater de eerste prioriteit. Om dat te garanderen, werken we uitsluitend met leveranciers en andere ketenpartners die zich bewezen hebben, zoals KPN en SAP en ABB. We doen in de vitale gedeelten van het bedrijf bewust heel veel lokaal en on-premise. Het beeld wordt inmiddels in de markt breder gedeeld in deze tijd niet meer uitsluitend te vertrouwen op de cloud.’
Van Rooden: ‘Ook in het LUMC werken wij veel on-premise. Waar we tegenwoordig extra alert op zijn, zijn onderzoeksdata die geanonimiseerd via de cloud worden gedeeld. Daar kan van alles in zitten. Om die reden zijn we terughoudend met cloudgebruik. Ik dring er bij ons echt op aan om waakzaam te zijn voor achterdeurtjes. Je kunt je core-systemen nog zoveel lokaal aansturen, er zullen altijd verbindingen naar buiten toe zijn. Wij hebben ons met die storing bij AWS laten verrassen, maar we hebben ervan geleerd. Een crisis is de beste oefening. Je moet niets wegmoffelen, maar ervan leren, dan sta je de volgende keer sterker. Dat gebeurt weinig. Neem nou de covid-pandemie: toen die voorbij was, haalden we opgelucht adem en gingen we over tot de orde van de dag. Toen ik bij de Belastingdienst werkte, heb ik hetzelfde meegemaakt met de DigiNotar-crisis. DigiNotar was een bedrijf dat verantwoordelijk was voor de uitgifte en het beheer van certificaten voor bedrijven en overheidsorganisaties. In 2011 zijn zij gehackt, waarmee de betrouwbaarheid van het dataverkeer van deze organisaties was aangetast. Nog een voorbeeld: een paar jaar geleden werden we getroffen door een landelijke telefoonstoring. De provider kon lang heel beperkt informatie geven. Ik vraag me af welke consequenties daaruit getrokken zijn. Ik ben er niet van overtuigd dat we genoeg leren van praktijksituaties. We hebben de neiging snel weer over te gaan tot de orde van de dag.’
Ai kan een versneller zijn van cyberweerbaarheid. Ai biedt enorme kansen, zeker in detectie, monitoring en rapportages, maar het brengt ook nieuwe afhankelijkheden met zich mee. Hoe gaan jullie daarmee om?
Van Eeten: ‘Als we goed met ai willen omgaan, moeten we eerst stoppen met het te definiëren als een zelfstandig verschijnsel dat we moeten zien te beheersen. Ai zit overal in verwerkt, van je e-mailfilter tot automatische klimaatbeheersing in gebouwen tot, ja, ook het gebruik van ChatGPT en aanverwanten. De vraag is niet: moeten we ai-modellen opsporen en aanwijzen als mogelijk probleem? De vraag is: hoe krijgen we de IT-infrastructuur als geheel van in elkaar grijpende processen in beeld? Onderzoek van de TU Delft onder gemeentes toonde aan, dat er risico’s kunnen ontstaan aan de digitale voordeur: op het punt waar het ene domein eindigt en het andere begint. Als daar iets misgaat krijg je verwijten over en weer, want er is dan geen duidelijke probleemeigenaar. Security is een enabler, geen proces van afvinken. Vanuit dat perspectief kunnen we gevoelige processen op hun relevantie beoordelen. Nog te vaak ligt de focus op compliant zijn: “Als ik dit niet aankaart is het straks mijn schuld.” Veiligheid van netwerk- en informatiesystemen is een thema waar iedereen aan kan bijdragen, door elkaar te helpen en te wijzen op potentiële risico’s.’
Zwart: ‘Ai kan heel nuttig zijn om risico’s juist te voorkomen. Bij Vitens kun je je meterstanden doorgeven door een foto te maken. Door de foto door algoritmen te laten uitlezen hebben wij een grote sprong voorwaarts gemaakt. Bij het handmatig invullen van de meterstanden worden namelijk fouten gemaakt. Met de groei van ai is echter ook de dreiging van de vijand toegenomen. Dat is toenemend gevaarlijk voor onze kritische sectoren. Om die reden is het goed dat we security resilience zijn gaan noemen. Dat maakt de focus breder, want veerkracht staat voor meer dan alleen incidenten voorkomen. Het houdt in dat je voorbereidingen treft, je incasseringsvermogen vergroot en veerkrachtiger oplossingen bedenkt.’
Hoe groot is het risico van shadow ai? Door toedoen van ai-tools, zoals ChatGPT en tracking apps, kunnen gevoelige data in onbeveiligde systemen terechtkomen.
Zwart: ‘Dat risico is reëel. Je kunt het niet voorkomen door krampachtig te proberen al deze tools te weren bij gebruikers. Het enige wat je moet blijven doen, is vragen stellen. Wie gebruikt wat, waarvoor en waarom is dat nodig? Verwerk die inzichten in nieuwe plannen en procedures. De plan-do-checkact- cyclus moet levend zijn in elke organisatie en transparant in een besluitvormend overleg bestuurd worden. Dat betekent dat iedereen aan zijn verantwoordelijkheid wordt gehouden. Verantwoordelijkheid nemen is de basis voor een saamhorig team, dat zich geroepen voelt om alert te zijn op risico’s.’
Van Eeten: ‘Geforceerd proberen risico’s uit te bannen is niet de oplossing. Ik sprak iemand van de luchtmacht, die vertelde dat er bij het optuigen van een IT-netwerk in oorlogsgebied zoveel zekerheden worden ingebouwd dat het maanden kan duren voordat die netwerken online zijn. Sommige van de risico’s die met die strenge normen uitgebannen worden, zijn heel klein. Terwijl je ook juist risico’s loopt omdat je troepen geen volledig functionerende IT kunnen gebruiken en ze dus minder effectief zijn. Dat zouden proportionele risicoafwegingen moeten zijn.’
Van Rooden: ‘In ons ecosysteem hebben we naast een grote leverancier als Microsoft ook projecten lopen met startups die bij ons experimenteren met ai. Met ai zullen we onderdelen van de zorg flink kunnen verbeteren. Denk aan spraakherkenning. We hanteren het principe van security by design, wat betekent dat we veiligheid en compliance al bij de ontwikkeling integreren en niet pas achteraf.’
Reageren? Mail ons op redactie@scopebusinessmedia.nl
Interview door Nadeem de Vree, vp networking & security bij KPN. Gepubliceerd in Management Scope 02 2026.
Dit artikel is voor het laatst aangepast op 03-02-2026