Met NIS2 worden bestuurders vanaf volgend jaar persoonlijk aansprakelijk voor cyberincidenten. Hoogleraar Bibi van den Berg waarschuwt dat ze vaak de kennis missen om de risico’s rond cybersecurity goed te beoordelen.
De invoering van de Europese NIS2-richtlijn, die bestuurders persoonlijk aansprakelijk maakt voor cyberincidenten, komt in Nederland pas in 2026 aan de orde. Dat geeft bedrijven tijd om zich voor te bereiden. En dat is hard nodig, want volgens Bibi van den Berg, hoogleraar cybersecurity-governance aan de Universiteit Leiden, is er sprake van een fundamenteel probleem: bestuurders krijgen verantwoordelijkheden die ze niet kunnen overzien.
‘Boardrooms zien cybersecurity nu als cruciaal, maar ze hebben niet de kennis om te beoordelen of het goed geregeld is,’ zegt Van den Berg in een interview met het Britse ict-vakblad Computer Weekly. Waar bestuurders tien jaar geleden cybersecurity nog als iets puur technisch beschouwden, is het inmiddels een strategisch thema. Toch ontbreekt de inhoudelijke basis om risico’s goed te duiden.
Misplaatste dreigingsbeelden
Uit haar gesprekken met bestuurders blijkt dat staatgesponsorde aanvallen vrijwel altijd als grootste dreiging worden genoemd. ‘Wanneer ik vraag waarom hun organisatie een specifiek doelwit zou zijn, kunnen ze dat niet uitleggen,’ aldus Van den Berg. ‘Als je een peperkoekfabriek runt, ben je echt geen doelwit voor Russische of Chinese hackers. Maar toch is dat waar iedereen bang voor is.’ Het gevolg: dure investeringen in geavanceerde verdediging, terwijl basismaatregelen vaak achterblijven.
Een tweede probleem is het ontbreken van betrouwbare data. Bij waterveiligheid kan Nederland rekenen op decennia aan meetgegevens en modellen. Bij cybersecurity ligt dat heel anders. ‘Zaken die vijf jaar geleden een groot probleem waren, zijn nu geen probleem meer,’ zegt ze tegen Computer Weekly. ‘Aanvalsoppervlakken veranderen, aanvallers veranderen, aanvalstactieken veranderen, en er ontstaan compleet nieuwe soorten aanvallen.’
Volgens Van den Berg legt NIS2 de last op de verkeerde plek. ‘We maken een heleboel mensen verantwoordelijk die niet in de business van digitale veiligheid zitten. Dat is alleen gerechtvaardigd als we hen ook de tools geven om het werk te doen.’ Ze pleit daarom voor meer verantwoordelijkheid bij leveranciers, om systemen veiliger te maken ‘aan de bron’.
Stootkussens
Als alternatief introduceert Van den Berg ‘cushion thinking’: beschermlagen die meerdere risico’s tegelijk afdekken. ‘Je hoeft niet steeds te bedenken wat je grootste dreiging is. Je zorgt voor zoveel mogelijk kussens rond de organisatie die impact opvangen, in welke vorm dan ook.’
Met de vertraagde invoering van NIS2 heeft Nederland een kans om bestuurders beter toe te rusten. Zonder structurele kennisopbouw dreigt de richtlijn echter te verworden tot een compliance-vinkje in plaats van een echte verbetering van digitale weerbaarheid. Hoe is uw organisatie voorbereid op NIS2?
