Losse beveiligingsmaatregelen zijn nog geen NIS2-compliance

De valkuil heet schijnveiligheid. Je doet veel aan beveiliging, het voelt alsof je goed bezig bent, maar je hebt geen idee welke risico's je nog loopt. Dit artikel gaat niet over welke maatregelen je nodig hebt. Het gaat over het moment waarop je merkt dat losse maatregelen niet optellen tot een systeem, en hoe je daar structuur in aanbrengt.

Waarom losse maatregelen schijnveiligheid geven

Losse maatregelen ontstaan reactief. Een klant vraagt om beveiligingsbeleid, dus dat wordt geschreven. Een nieuwsbericht over ransomware leidt tot de aanschaf van een detectietool. Elke maatregel op zich is zinvol, maar samen vormen ze geen geheel. Ze zijn niet terug te voeren op een risicoanalyse, niet gekoppeld aan een verantwoordelijke, en niet opgenomen in een cyclus van evalueren en bijsturen.

Het gevolg: niemand heeft het totaalbeeld. De IT-afdeling kent de technische maatregelen, maar niet welke risico's het bestuur bewust heeft geaccepteerd. Het bestuur weet dat er beleid is, maar niet of het wordt nageleefd. De jurist heeft verwerkersovereenkomsten getekend, maar niemand controleert of leveranciers zich eraan houden. Zo ontstaat een organisatie die op papier veel heeft geregeld en in de praktijk kwetsbaar is op precies de plekken die niemand bewaakt.

Dit is wat in de praktijk de "checkbox-mentaliteit" heet: beveiliging behandeld als een lijst die je afvinkt voor een audit, niet als doorlopende praktijk. Het probleem komt pas aan het licht bij een toezichthoudercontrole of, erger, bij een echt incident. Dan blijkt dat maatregelen die ooit werkten inmiddels achterhaald zijn, en dat je niet kunt aantonen dat je keuzes op een actuele analyse berusten.

Het herkenningsmoment

Er is een aantal signalen waaraan je merkt dat je over de grens van losse maatregelen heen bent en structuur nodig hebt. Geen ervan is op zichzelf alarmerend, maar samen vormen ze een patroon.

Je kunt niet binnen een dag een actueel beeld geven van je compliancestatus als iemand erom vraagt. Er zijn maatregelen waarvan je niet zeker weet wie de eigenaar is. Bewijs van wat je hebt geregeld zit verspreid over mailboxen, gedeelde mappen, een CRM en een ticketsysteem. Beleidsdocumenten zijn meer dan een jaar oud en niemand weet of ze nog kloppen. Het bestuur stelt vragen die je niet snel kunt beantwoorden.

Herken je drie of meer van deze signalen, dan is het niet de vraag óf je structuur moet aanbrengen, maar wanneer. En het antwoord is eerder dan later, want een structurele aanpak inrichten kost maanden, niet weken.

Drie verschuivingen die het verschil maken

De overgang van losse maatregelen naar een werkend systeem laat zich vangen in drie verschuivingen. Geen ervan vraagt om meer maatregelen. Ze vragen om een andere manier van organiseren.

Van document naar eigenaar

In een ad-hocaanpak is een beleidsdocument het eindpunt: geschreven, goedgekeurd, opgeslagen. In een structurele aanpak is het een startpunt. Het beleid beschrijft de kaders, die kaders worden vertaald naar concrete maatregelen, en elke maatregel krijgt een eigenaar. Die eigenaar is verantwoordelijk voor de uitvoering, het onderhoud en het bewijs dat de maatregel werkt.

Eigenaarschap gaat verder dan een naam in een spreadsheet. Het betekent dat iemand begrijpt waarom de maatregel is gekozen en weet wat te doen als die niet meer voldoet. Het betekent ook dat er een escalatiepad is: constateert een eigenaar dat een maatregel niet haalbaar of niet meer passend is, dan komt die bevinding ergens terecht waar er actie op volgt. Zonder eigenaarschap blijven maatregelen hangen in goede intenties, en precies dat soort verwaarloosde maatregelen legt een toezichthouder bloot.

Van incidentgedreven naar risicogestuurd

In een ad-hocaanpak neem je maatregelen als reactie: op een incident, een audit, een klantvraag. Het is een defensieve houding waarbij je problemen oplost zodra ze opduiken. In een structurele aanpak draai je dat om. Je identificeert risico's vooraf en kiest maatregelen om ze te voorkomen of de impact te beperken. Elke maatregel is terug te voeren op een concreet risico uit je risicoanalyse.

Die koppeling tussen maatregel en risico is wat NIS2 bedoelt met "passend en evenredig". Kun je een maatregel niet koppelen aan een risico, dan is het de vraag of die maatregel nodig is. Bestaat er een risico zonder maatregel, dan is dat een hiaat. De winst zit niet alleen in compliance: je investeert je tijd en budget daar waar het risico het grootst is, in plaats van te reageren op de klacht die het hardst klinkt. En je kunt aan het bestuur en de toezichthouder uitleggen waarom je bepaalde keuzes hebt gemaakt.

Van momentopname naar doorlopend zicht

Een maatregel die bij installatie correct was ingesteld, kan maanden later zijn gewijzigd zonder dat iemand het merkt. Een leverancier die bij de eerste beoordeling goed scoorde, kan inmiddels zijn overgenomen door een partij met een ander beveiligingsniveau. In een ad-hocaanpak controleer je dit hooguit bij de jaarlijkse audit, en daartussen heb je geen zicht.

NIS2 verwacht het tegenovergestelde. De toezichthouder wil niet weten hoe je ervoor stond bij de laatste audit, maar hoe je er nu voor staat. Dat vraagt om doorlopend zicht in plaats van een momentopname. In de praktijk betekent dit dat geautomatiseerde controles op vaste intervallen toetsen of configuraties nog kloppen en of toegangsrechten nog actueel zijn, met een melding zodra er iets afwijkt. Dat model is betrouwbaarder en minder afhankelijk van één persoon die het allemaal in zijn hoofd heeft dan handmatige controles.

Begin met een eerlijke inventarisatie

De eerste stap naar structuur is niet het toevoegen van maatregelen, maar het in kaart brengen van wat je al hebt. Welke maatregelen zijn geïmplementeerd? Waar zijn ze gedocumenteerd? Wie is verantwoordelijk? Is er bewijs dat ze werken? En aan welk risico zijn ze gekoppeld?

Die inventarisatie levert vaak een ontnuchterend beeld op. Er blijken maatregelen te zijn die niemand meer onderhoudt, risico's zonder bijbehorende maatregel, en beleid dat niet meer aansluit op de werkelijkheid. Dat is geen reden voor paniek maar een eerlijk startpunt. Vanuit dat overzicht prioriteer je gericht, in plaats van blind nieuwe maatregelen toe te voegen aan een stapel die je al niet overziet. Een framework als ISO 27001 helpt: het dwingt je systematisch alle gebieden af te dekken in plaats van selectief de makkelijke onderdelen te kiezen.

Hoe Tidal Control hierbij ondersteunt

De samenhang tussen maatregelen, risico's, eigenaarschap en bewijs is handmatig te overzien bij een handvol maatregelen. Naarmate het er meer worden, wordt bijhouden in spreadsheets en losse mappen onhoudbaar. Tidal Control centraliseert die onderdelen op één plek: maatregelen gekoppeld aan risico's, eigenaren toegewezen, bewijs gekoppeld aan de juiste maatregel en afwijkingen gevolgd tot ze zijn opgelost.

Het platform bevat voorgebouwde controls en beleidssjablonen, met taken, deadlines en eigenaarschap per maatregel. Bewijs wordt automatisch verzameld via integraties met je cloudomgevingen en ontwikkeltools, en meer dan 300 geautomatiseerde tests controleren doorlopend of maatregelen werken. Workflows zorgen dat herbeoordelingen niet blijven liggen en dat afwijkingen worden geëscaleerd als ze te lang openstaan. Zo is compliance niet langer afhankelijk van een paar sleutelpersonen, maar geborgd in een proces dat doordraait.

Wil je weten hoe jouw organisatie ervoor staat?

Voordat je structuur aanbrengt, wil je weten waar je nu staat. Welke maatregelen heb je al, welke missen samenhang, en waar zitten de grootste hiaten?

Doe de gratis Quickscan en krijg in vijf minuten een eerste beeld van je positie en de logische vervolgstappen. Geen verkoopgesprek, geen verplichtingen.

Doe de gratis Quickscan →

Veelgestelde vragen

Wat is het verschil tussen losse maatregelen en structurele compliance?

Losse maatregelen lossen losse problemen op, maar missen samenhang, eigenaarschap en een verbetercyclus. Structurele compliance betekent dat maatregelen voortkomen uit een risicoanalyse, een eigenaar en bewijs hebben, en worden onderhouden in een doorlopend proces. Het is het verschil tussen een verzameling documenten en een werkend systeem dat je kunt aantonen.

Hoe weet ik dat het tijd is om over te stappen?

Wanneer het overzicht begint te verdwijnen. Je kunt niet snel een actueel beeld geven van je status, maatregelen hebben geen duidelijke eigenaar, bewijs zit verspreid over meerdere systemen, of het bestuur stelt vragen die je niet direct kunt beantwoorden. Herken je drie of meer van die signalen, dan is dat het moment.

Wat wordt het vaakst over het hoofd gezien bij deze overgang?

Drie dingen. Het koppelen van maatregelen aan concrete risico's, waardoor je kunt onderbouwen waarom je iets doet. Eigenaarschap, want maatregelen zonder eigenaar verouderen ongemerkt. En de verbetercyclus, waarbij lessen uit incidenten en audits structureel worden verwerkt in plaats van eenmalig afgehandeld.

Hoe voorkom ik dat structuur te bureaucratisch wordt?

Door proportionaliteit als leidraad te nemen. Niet elke maatregel heeft dezelfde diepgang nodig, en niet elke risicobeoordeling hoeft een uitputtend document te zijn. Begin klein, richt je op de maatregelen met de hoogste impact, en kies voor beknopt beleid dat mensen daadwerkelijk lezen in plaats van documenten die in een la verdwijnen.

Heb ik hiervoor per se een platform nodig?

Niet per se. Bij een klein aantal maatregelen is het handmatig te overzien. Het kantelpunt ligt waar het aantal maatregelen, leveranciers en betrokkenen groeit en handmatig bijhouden de samenhang niet meer borgt. Vanaf dat punt voorkomt een centraal platform dat informatie versnippert en dat compliance afhankelijk wordt van één persoon.