De illusie voorbij: waarom je nu écht interessant bent

Geschreven door Christian Hageraats

“We hebben geen staatsgeheimen, wie zou ons willen hacken?”
Die vraag hoorden we vier jaar geleden vaker dan ons lief was. De reactie was meestal goedbedoeld, soms zelfs zelfverzekerd. Maar tijden veranderen. En regels ook. Enter: NIS2.

De werkelijkheid van vandaag

Vier jaar later blijkt die gedachte gevaarlijk achterhaald. Ziekenhuizen, jeugdzorginstellingen, zorgaanbieders, energiemaatschappijen – stuk voor stuk zijn ze interessant doelwit geworden. Niet vanwege hun geheimen, maar vanwege hun verantwoordelijkheid in de keten. De toegenomen digitalisering en afhankelijkheid van IT maken elk onderdeel van die keten kwetsbaar. En met de komst van de NIS2-richtlijn verdwijnt elke twijfel: je bént een doelwit. En dus ook verantwoordelijk.

 Wat is NIS2, en waarom doet het ertoe?

NIS2 is de aangescherpte Europese richtlijn voor netwerk- en informatiebeveiliging. Het is geen vrijblijvende wetgeving, maar een verplicht kader dat van toepassing is op essentiële én belangrijke organisaties – en alle partijen die daar direct of indirect mee samenwerken. Met andere woorden: als je in de zorg, energie, voeding of IT-dienstverlening actief bent, is de kans groot dat jij of je klant onder deze wet valt.

Belangrijker nog: de richtlijn vraagt niet alleen om reactieve maatregelen zoals incidentmelding, maar vooral om voorzorgsmaatregelen. Denk aan:

  • Risicoanalyses en beveiligingsmaatregelen

  • Inzicht in datastromen en toegang

  • Leveranciersbeoordeling en ketenverantwoordelijkheid

  • Continue monitoring en logging

 Bewustzijn groeit. Actie blijft achter.

We merken het bij DBHeroes dagelijks: organisaties zijn wakker geworden. De angst voor een datalek is tastbaar geworden – niet alleen omdat het operationele schade veroorzaakt, maar ook omdat de bestuurlijke aansprakelijkheid reëel is.

De NIS2-richtlijn is hierin kristalhelder:

Artikel 20 bepaalt dat bestuursorganen verantwoordelijk zijn voor het goedkeuren en toezien op de uitvoering van cybersecuritymaatregelen. Sterker nog, in artikel 20, lid 2 staat vermeld dat het bestuursorgaan een opleiding moeten volgen op het gebied van cyberbeveiliging.
Artikel 32, lid 6 voegt daaraan toe dat zij hiervoor ook persoonlijk aansprakelijk kunnen worden gehouden bij nalatigheid.

Deze bepalingen zijn direct terug te vinden in de officiële publicatie van de richtlijn via EUR-Lex:
EUR-Lex – Richtlijn (EU) 2022/2555, artikelen 20 en 32

Dus ja, als bestuurder kun je straks niet meer zeggen “ik wist het niet”. 

Jullie zijn wél interessant – nu écht

In 2021 schreven we het al: ook kleinere organisaties zijn interessant voor aanvallers. Vier jaar later is dat geen gewaagde stelling meer, maar een feit. NIS2 maakt dat formeel: je hebt een rol in de keten, dus je draagt verantwoordelijkheid. Ook als je denkt dat je niet “belangrijk genoeg” bent.

De oplossing begint bij overzicht en bewustzijn. Maar het eindigt bij actie. Dat is waar wij bij DBHeroes dagelijks op sturen.

We helpen organisaties in de zorg, energie en zakelijke dienstverlening met:

  • Inzicht in data en toegang

  • Compliance-dashboards voor audits

  • Detectie van ongewenste toegang of configuratiewijzigingen

  • Rapportages die je als bewijsstuk kunt gebruiken richting toezichthouder

     

Sluit de achterdeur voordat er wordt aangeklopt

Wil je voorbereid zijn op NIS2? Dan is nu het moment om te handelen. Want straks vragen ze je niet alleen of je wist van de risico’s – maar vooral: wat heb je ermee gedaan?

Jullie zijn nog steeds interessant. Maar dit keer ben je ook verplicht om daar iets mee te doen.

Voor vragen of advies neem contact op met

Christian.Hageraats@dbheroes.eu
Telefoon 088 888 6000

Of neem contact op via het contactformulier

Christian Hageraats https://dbheroes.eu
Vorige

Team Extension: de flexibele oplossing voor databasebeheer in de zorg
Volgende

Hoe zijn jouw patiëntendossiers beveiligd?