Minder opportunisme, meer betrokkenheid

Digital Decade: meer dan regels

Afgelopen jaren zagen wij een stroom aan nieuwe cybersecurity wetgeving uit Brussel komen. Denk aan NIS2, DORA, de AI-verordening, de Data Act en de Cyber Resilience Act. De meeste Europese regels zijn onderdeel van de zogenaamde Digital Decade. Een Europees programma om Europa digitaal sterker te maken. Honing: “De Digital Decade is meer dan een verzameling wetten. Het is een digitaal kompas dat richting geeft aan waar we als EU naartoe willen: weerbaarheid, handelspositie en digitale vaardigheden. De bijbehorende wetgeving is omvangrijk. Naast NIS2 en DORA heb je de AI-verordening, de Data Act en de Cyber Resilience Act. Vooral de Data Act zal veel impact hebben: die gaat over toegang tot en portabiliteit van data en zal bijdragen aan het doorbreken van wurgcontracten bij Big Tech.”

Lawine van wetgeving

Er komt dus heel veel cybersecurity regelgeving uit Europa. Maar zijn Nederlandse ondernemers hier wel op voorbereid? Broekhof constateert dat Nederlandse ondernemers hier wat opportunistisch mee omgaan: “In Nederland doen ondernemers vaak het juridisch minimale om te voldoen en kijkt daarna wie er toezicht houdt. Ondernemers worstelen met de hoeveelheid regels. Ze vragen zich af: waar haal ik de tijd vandaan om hieraan te voldoen? En hoe helpt dit mij als mkb’er?”

Johnny Honing herkent dit beeld deels: “Voor organisaties die al compliant zijn met bestaande cybersecurity standaarden, is de impact beperkt. Maar voor anderen voelt het als een lawine. Daardoor schieten die regels hun doel soms voorbij. Toch is het goed dat we als EU gezamenlijk nadenken over digitale weerbaarheid.”

Nederland loopt achter

Beide experts constateren dat Nederland achterloopt in betrokkenheid. Honing: “In andere landen merk ik dat het senior managementveel actiever betrokken is bij cybersecurity dan in Nederland.” Broekhof herkent dit: “We onderscheiden ons, maar niet positief.”

“Jammer is dat wij steeds onze eigen invulling geven aan regels. Een voorbeeld is NIS2. In België is NIS2 al vertaald naar nationale wetgeving en is het framework 'Cyber Fundamentals'ontwikkeld om bedrijven te helpen eraan te voldoen. Compleet met een toolkit die bedrijven helpt om hun compliance op orde te krijgen,” aldus Honing. Broekhof: “Waarom zouden wij dat niet gewoon overnemen?”

Wat kan een ondernemer doen?

Voor ondernemers die willen starten met compliance, hebben Honing en Broekhof praktische adviezen:

• Begin met een nulmeting op je huidige omgeving: Hoe sta je er nu voor met je veiligheid en compliance? Dit geeft inzicht in waar je staat en wat je moet doen.

• Gebruik bestaande tools: Websites van NCSC, DTC en KVK bieden whitepapers en evaluatietools.

• Kijk naar ISO-certificering: ISO 27001 biedt een goede basis.

• Betrek je accountant of jurist: Zij kunnen helpen bij het opstellen van een roadmap.

• Wees realistisch: Toon aan dat je op directieniveau stappen zet en verantwoordelijkheid neemt.

Een belangrijk aandachtspunt is bestuurlijke aansprakelijkheid. Honing: “Binnen NIS2 wordt vereist dat het bestuur verplicht training volgt over risicomanagement en cybersecurity. Eigenaarschap moet dus echt bij het management liggen, je kunt dit niet uitbesteden aan een leverancier.”

Conclusie

De boodschap is helder: cybersecurity is geen eenmalige actie, maar een doorlopend proces dat betrokkenheid vergt. Nederlandse ondernemers moeten de stap maken van minimale naleving naar actieve betrokkenheid. De Digital Decade biedt kaders, maar het is aan de ondernemer om de vertaalslag te maken naar de eigen praktijk. Zoals Broekhof het verwoordt: “Een ondernemer wil gewoon ondernemen. Maar zonder digitale weerbaarheid is dat straks niet meer mogelijk.”