Hindernissen bij NIS2-Implementatie? Zo Maak je het Werkbaar

Het is al een uitdaging om goede informatiebeveiliging binnen organisaties te realiseren, en met de nieuwe wet NIS2 wordt dit nog complexer. Een van de belangrijkste kenmerken van NIS2 is dat deze wet bestuurders hoofdelijke aansprakelijkheid oplegt op het gebied van informatiebeveiliging.

Het succes van een NIS2-implementatie hangt sterk af van bestuurlijke betrokkenheid. Effectief leiderschap vereist actieve sturing en tijdsinvestering. Ontbreekt deze betrokkenheid, dan vertraagt dit niet alleen het proces, maar vergroot het ook de risico’s. Zonder duidelijke richting vanuit het management missen teams middelen, focus en prioriteit om de implementatie goed uit te voeren. Bovendien tast een gebrek aan leiderschapsbetrokkenheid de motivatie van medewerkers aan, omdat zij steun en urgentie vanuit de top niet ervaren.

De NIS2-richtlijn benadrukt het belang van leiderschap door bestuurlijke aansprakelijkheid wettelijk vast te leggen, wat bestuurlijke betrokkenheid stimuleert. Toch krijgt dit in de praktijk vaak onvoldoende prioriteit. De vraag naar bestuurlijke trainingen over NIS2 neemt toe, maar bestuurders zouden zich actiever moeten verdiepen in de richtlijn en hun rol.

Om NIS2 succesvol te implementeren, moet het belang ervan worden erkend in alle lagen van de organisatie. Dit vereist een gezamenlijk doel, waarbij leiders niet alleen richting geven, maar ook actief betrokken zijn en de implementatie prioriteit geven. Dit vormt de basis voor de volgende uitdaging die veel organisaties ondervinden: het gebrek aan samenhang tussen afdelingen.

Wanneer verschillende afdelingen binnen een organisatie werken aan de NIS2-implementatie zonder overkoepelende regie, ontstaan uiteenlopende visies op de aanpak. Elke afdeling heeft immers haar eigen werkwijzen en prioriteiten. Zo komen in NIS2 IT- en OT-security dichter bij elkaar, maar in praktijk ligt IT vaak bij de CISO en OT bij de business. Dit resulteert in een versnipperde benadering van de NIS2-eisen. Het gebrek aan afstemming maakt het moeilijk een samenhangende aanpak te vormen.

Een gezamenlijke visie en samenwerking tussen afdelingen zijn van belang om NIS2-compliance te realiseren. Door vanaf het begin open communicatiekanalen te creëren en gezamenlijke doelstellingen vast te stellen, ontstaat een solide basis. Het aanwijzen van een programmamanager, coördinator of aanspreekpunt (met goed geregeld mandaat) helpt hierbij, net als het organiseren van regelmatige check-ins of het gebruik van een ISMS-proces om de voortgang te evalueren. Zo bouwt de organisatie aan een strategische koers waarin afdelingen samenwerken zonder dat individuele visies de overhand nemen en zonder dat de afdelingen het grotere geheel uit het oog verliezen. Dit leidt ons tot de volgende fundamentele voorwaarde voor succes: heldere documentatie en rapportage.

Binnen veel organisaties mist het aan documentatie en rapportages op het gebied van informatiebeveiliging. Dit uit zich in gebrekkige taak- en verantwoordelijkheidsverdelingen en ontbrekende beleidsrichtlijnen en processen. Zonder deze documentatie is het een uitdaging om de naleving van NIS2-richtlijnen te waarborgen en inzicht te krijgen in welke beveiligingsmaatregelen al zijn doorgevoerd of nog geïmplementeerd moeten worden.

Er ontstaat een toenemende druk op verantwoording van juiste inrichting en werking van ingevoerde maatregelen. Een ISMS-proces met adequate inrichting van een duidelijke, niet-meer-dan-nodig documentatiestructuur helpt om de discipline van documentatie en rapportage te bevorderen. Daarnaast hebben wij de ervaring dat het stimulerend werkt om de verantwoordingsprocessen maximaal te integreren in het normale werk. Rapportage ontstaat dan ‘als vanzelf’ en de gepercipieerde administratieve last is veel lager. Wat ons bij het volgende en laatste punt brengt.

In veel organisaties mist het eigenaarschap bij de implementatie van NIS2. Verantwoordelijkheden zijn niet scherp afgebakend, waardoor taken worden doorgeschoven en de voortgang vertraagt. Dit gebrek aan structuur leidt ertoe dat medewerkers zich niet verantwoordelijk voelen. Wanneer taken wel worden toegewezen, ervaren zij dit vaak als extra werk boven op hun reguliere verantwoordelijkheden. Dit ondermijnt het draagvlak binnen de organisatie.

De oplossing: vanaf het begin vastleggen van duidelijke verantwoordelijkheden en eigenaarschap. Door taken expliciet toe te wijzen, voelen medewerkers zich betrokken en is het draagvlak vergroot. Een programma-aanpak kan bijdragen door de nadruk te leggen op samenwerking, structuur en aansluiting bij de bestaande werkcultuur, bijvoorbeeld via agile werkwijzen. Dit stelt de organisatie in staat om sneller en effectiever aan de slag te gaan met NIS2.

NIS2 gaat om meer dan alleen techniek; het draait om een totaalaanpak met een duidelijke sturing waarin leiderschap, samenwerking tussen teams, duidelijke documentatie en eigenaarschap samenkomen. Door hier werk van te maken, kunnen organisaties niet alleen voldoen aan de NIS2-richtlijnen, maar ook een basis leggen voor een veiligere digitale toekomst!

Wilt u meer weten naar aanleiding van deze blog? Of wilt u met ons sparren over de implementatie van NIS2? Neem dan contact op met Tim Kunst of Mitch Knoop.