Van losse maatregelen naar structurele NIS2-compliance

Waarom losse maatregelen niet genoeg zijn

Het probleem met ad-hocmaatregelen

Losse maatregelen ontstaan meestal reactief. Een klant vraagt om een beveiligingsbeleid, dus wordt er een beleidsdocument geschreven. Een audit signaleert dat er geen back-upprocedure is, dus wordt die opgesteld. Een nieuwsbericht over ransomware leidt tot de aanschaf van een detectietool. Iedere maatregel op zichzelf is zinvol, maar samen vormen ze geen systeem. Ze zijn niet gebaseerd op een risicoanalyse, niet gekoppeld aan verantwoordelijkheden en niet opgenomen in een cyclus van evaluatie en verbetering.

Het gevolg is dat niemand het totaalbeeld heeft. De IT-afdeling weet welke technische maatregelen er zijn, maar niet welke risico's het management heeft geaccepteerd. Het management weet dat er een beveiligingsbeleid is, maar niet of het wordt nageleefd. De juridische afdeling heeft verwerkersovereenkomsten getekend, maar niemand controleert of leveranciers zich eraan houden. Zo ontstaat een organisatie die op papier veel heeft geregeld, maar in de praktijk kwetsbaar is op precies de plekken die niemand bewaakt.

Wat NIS2 anders maakt dan een projectlijst

NIS2 vraagt niet om een afvinklijst van maatregelen. De richtlijn vereist een beheersysteem: een samenhangende aanpak waarin governance, risicobeheer, technische maatregelen, incidentrespons en ketenbeveiliging met elkaar verbonden zijn. Artikel 21 noemt tien maatregelcategorieën, maar het leidende principe is dat die maatregelen passend en evenredig moeten zijn ten opzichte van de risico's. Dat vereist een risicoanalyse als fundament, niet een lijst met populaire beveiligingsmaatregelen.

Een toezichthouder zal niet alleen vragen of je tweefactorauthenticatie hebt geïmplementeerd, maar ook waarom je die maatregel hebt gekozen, op basis van welke risicobeoordeling, wie ervoor verantwoordelijk is en hoe je controleert of die maatregel nog effectief is. Dat niveau van onderbouwing en samenhang bereik je niet met losse acties. Het vereist een structuur die de maatregelen met elkaar verbindt en ze inbedt in een doorlopend proces.

Het risico van schijnveiligheid

Het gevaarlijkste gevolg van een ad-hocaanpak is schijnveiligheid. De organisatie heeft het gevoel dat ze "veel doet aan beveiliging", maar heeft geen inzicht in de restrisico's. Maatregelen die ooit zijn geïmplementeerd worden niet geëvalueerd. Beleidsdocumenten verouderen. Nieuwe systemen worden in gebruik genomen zonder dat iemand beoordeelt of de bestaande maatregelen ook daarop van toepassing zijn.

Bij een toezichthoudercontrole of, erger, bij een beveiligingsincident wordt die schijnveiligheid pijnlijk zichtbaar. De organisatie kan niet aantonen dat ze bewuste keuzes heeft gemaakt, dat haar maatregelen zijn gebaseerd op een actuele risicoanalyse of dat ze structureel werkt aan verbetering. In het ergste geval zijn maatregelen die ooit werkten inmiddels achterhaald, waardoor de organisatie kwetsbaarder is dan ze denkt.

Wat structurele NIS2-compliance inhoudt

Governance als uitgangspunt

Structurele compliance begint bij governance. Dat betekent dat het bestuur niet alleen een beveiligingsbeleid ondertekent, maar actief betrokken is bij het vaststellen van de risicobereidheid, het goedkeuren van beheersmaatregelen en het bewaken van de voortgang. NIS2 legt die verantwoordelijkheid expliciet bij het bestuur en voorziet in persoonlijke aansprakelijkheid bij structurele niet-naleving.

In de praktijk vertaalt governance zich naar drie dingen. Ten eerste: een helder mandaat. Het bestuur geeft opdracht tot het inrichten van een beheersysteem en stelt de middelen beschikbaar die daarvoor nodig zijn. Ten tweede: periodieke rapportage. Het bestuur ontvangt regelmatig een overzicht van de belangrijkste risico's, de status van maatregelen en openstaande afwijkingen. Ten derde: besluitvorming. Het bestuur neemt bewuste besluiten over welke risico's worden geaccepteerd en welke aanvullende maatregelen nodig zijn. Die beslissingen worden vastgelegd, zodat ze aantoonbaar zijn richting de toezichthouder.

Eigenaarschap op ieder niveau

Een van de belangrijkste verschillen tussen losse maatregelen en een structurele aanpak is eigenaarschap. In een ad-hocsituatie zijn maatregelen vaak van "IT" of van "niemand in het bijzonder". In een structurele aanpak heeft iedere beheersmaatregel een eigenaar: iemand die verantwoordelijk is voor de implementatie, het onderhoud en het bewijs dat de maatregel werkt.

Eigenaarschap gaat verder dan een naam in een spreadsheet. Het betekent dat de eigenaar begrijpt wat de maatregel inhoudt, waarom die is gekozen en hoe hij of zij moet handelen als de maatregel niet meer voldoet. Het betekent ook dat er een escalatiepad is: als een eigenaar constateert dat een maatregel niet haalbaar is of niet meer passend, moet die bevinding ergens terechtkomen waar er iets mee wordt gedaan. Zonder eigenaarschap blijven maatregelen hangen in goede intenties.

Samenhang tussen maatregelen

Structurele compliance betekent dat maatregelen niet los van elkaar staan maar onderdeel zijn van een logisch geheel. De risicoanalyse bepaalt welke maatregelen nodig zijn. Die maatregelen worden vastgelegd met eigenaarschap, bewijs en een evaluatiecyclus. Afwijkingen worden geregistreerd en gevolgd tot ze zijn opgelost. Incidenten worden geëvalueerd en de geleerde lessen worden verwerkt in aanpassingen van maatregelen of beleid.

Die samenhang is precies wat een beheersysteem onderscheidt van een verzameling losse acties. Het is de plan-do-check-act-cyclus die ervoor zorgt dat je organisatie niet alleen vandaag compliant is, maar dat ook blijft bij veranderende risico's, nieuwe dreigingen en organisatorische groei. NIS2 verwacht die cyclus: de richtlijn vereist dat organisaties de effectiviteit van hun maatregelen beoordelen en hun aanpak aanpassen als de omstandigheden daarom vragen.

De risico's van een ongestructureerde aanpak

Onduidelijke verantwoordelijkheden

Zonder formeel eigenaarschap weet niemand wie verantwoordelijk is als een maatregel faalt. Is het de IT-beheerder die de configuratie heeft ingesteld? De manager die het beleid heeft goedgekeurd? Of het bestuur dat onvoldoende toezicht heeft gehouden? Bij een toezichthoudercontrole is "we dachten dat IT dat deed" geen acceptabel antwoord. NIS2 vereist dat verantwoordelijkheden expliciet zijn belegd en aantoonbaar zijn.

In de praktijk leidt onduidelijk eigenaarschap tot een ander probleem: taken die blijven liggen. Als niemand zich eigenaar voelt van het bijwerken van een leveranciersbeoordeling of het testen van het incidentresponsplan, gebeurt het simpelweg niet. De maatregel bestaat op papier, maar veroudert in de praktijk. Dat is precies het soort situatie dat een toezichthouder blootlegt.

Versnippering van informatie

Een tweede risico is versnippering. Beleidsdocumenten staan in een gedeelde map. Risicobeoordelingen zitten in een spreadsheet. Bewijs van technische maatregelen staat in de mailbox van de IT-beheerder. Leveranciersbeoordelingen zijn opgeslagen in het CRM. Incidentlogs worden bijgehouden in een apart ticketsysteem.

Op zichzelf is geen van deze opslagplaatsen fout. Maar het totaalbeeld is verspreid over vijf of zes systemen die niet met elkaar verbonden zijn. Niemand kan in één oogopslag zien hoe de organisatie ervoor staat. En als de toezichthouder vraagt om bewijs dat een specifieke maatregel werkt, kost het uren om de juiste informatie bij elkaar te zoeken. Versnippering maakt compliance fragiel: het werkt zolang de ene persoon die het overzicht heeft beschikbaar is, maar valt uit elkaar zodra die persoon er niet is.

Gebrek aan continu inzicht

Losse maatregelen worden vaak eenmalig geïmplementeerd en daarna niet meer gecontroleerd. Een configuratie die bij de installatie correct was, kan maanden later zijn gewijzigd zonder dat iemand het merkt. Een leverancier die bij de eerste beoordeling goed scoorde, kan inmiddels zijn overgenomen door een partij met een heel ander beveiligingsniveau. Een beleidsdocument dat vorig jaar is goedgekeurd, dekt mogelijk niet meer de huidige situatie.

Zonder continue monitoring ontbreekt het inzicht of je maatregelen nog werken. Je compliancestatus is een momentopname van het verleden, niet een actueel beeld van het heden. Dat is problematisch in het licht van NIS2, dat expliciet vraagt om doorlopende evaluatie van de effectiviteit van maatregelen. Een toezichthouder wil niet weten hoe je ervoor stond bij de laatste audit, maar hoe je er nu voor staat.

Hoe je de overgang maakt

Begin met overzicht

De eerste stap naar structurele compliance is niet het toevoegen van nieuwe maatregelen, maar het in kaart brengen van wat er al is. Welke maatregelen heb je geïmplementeerd? Waar zijn ze gedocumenteerd? Wie is verantwoordelijk? Is er bewijs dat ze werken? En hoe verhouden ze zich tot de risico's die je hebt geïdentificeerd?

Die inventarisatie levert vaak een ontnuchterend beeld op. Er blijken maatregelen te zijn die niemand meer onderhoudt. Er zijn risico's waarvoor geen maatregel is getroffen. Er is beleid dat niet meer aansluit bij de werkelijkheid. Dat is geen reden voor paniek, maar wel een eerlijk startpunt. Vanuit dat overzicht kun je gericht prioriteren in plaats van blind nieuwe maatregelen toe te voegen.

Koppel maatregelen aan risico's

De volgende stap is het leggen van de verbinding tussen je maatregelen en je risico's. Iedere beheersmaatregel zou terug te voeren moeten zijn op een risico uit je risicoanalyse. Als je een maatregel niet kunt koppelen aan een concreet risico, is de vraag gerechtvaardigd of die maatregel nodig is. Omgekeerd: als er risico's zijn waarvoor geen maatregel is getroffen, is dat een hiaat dat moet worden gedicht.

Die koppeling brengt ook de proportionaliteit in beeld die NIS2 vereist. Een organisatie met een hoog risicoprofiel in een kritieke sector heeft andere maatregelen nodig dan een organisatie met een lager risicoprofiel. Door maatregelen expliciet te koppelen aan risico's, kun je richting een toezichthouder onderbouwen waarom je bepaalde keuzes hebt gemaakt en waarom je bepaalde maatregelen wel of niet hebt geïmplementeerd.

Stel een vast ritme in

Structurele compliance vraagt om regelmaat. Niet een jaarlijkse sprint richting een audit, maar een vast ritme van activiteiten dat is ingebed in je bedrijfsvoering. Denk aan een maandelijkse controle van de status van beheersmaatregelen, een kwartaallijkse rapportage aan het bestuur, een halfjaarlijkse herbeoordeling van de belangrijkste risico's en een jaarlijkse evaluatie van het volledige beheersysteem.

Dat ritme hoeft niet zwaar te zijn. Het doel is niet om meer vergaderingen te organiseren, maar om ervoor te zorgen dat compliance-activiteiten niet afhankelijk zijn van de urgentie van het moment. Als je alleen naar je maatregelen kijkt wanneer er een incident is of wanneer een klant ernaar vraagt, ben je per definitie reactief. Een vast ritme maakt je proactief en voorkomt dat zaken onopgemerkt verslechteren.

Gebruik een framework als leidraad

Je hoeft de structuur niet zelf te bedenken. Bestaande frameworks bieden een bewezen opzet die je kunt volgen. Het CyberFundamentals-framework biedt drie niveaus (Basic, Important, Essential) met concrete maatregelen per niveau. Het NIS2 Supply Chain-framework richt zich specifiek op ketenbeveiliging. ISO 27001 biedt een compleet managementsysteem voor informatiebeveiliging dat sterk aansluit bij de NIS2-vereisten.

Het voordeel van een framework is dat het je dwingt om systematisch te werken. Je kunt niet selectief de onderdelen kiezen die je makkelijk vindt en de rest overslaan. Het framework laat zien welke gebieden je moet afdekken en hoe ze met elkaar samenhangen. Dat is precies de samenhang die ontbreekt wanneer je werkt met losse maatregelen.

Het verschil in de praktijk

Van document naar werkend systeem

In een ad-hocaanpak is een beleidsdocument het eindresultaat. Het wordt geschreven, goedgekeurd en opgeslagen. In een structurele aanpak is het beleid een startpunt. Het beschrijft de kaders waarbinnen de organisatie werkt. Die kaders worden vertaald naar concrete beheersmaatregelen met eigenaren. De eigenaren implementeren de maatregelen en leveren bewijs dat ze werken. Afwijkingen worden geregistreerd en opgelost. En periodiek wordt het beleid geëvalueerd en waar nodig bijgewerkt.

Dat verschil klinkt subtiel, maar het effect is groot. In het eerste geval heb je een document. In het tweede geval heb je een werkend systeem dat de organisatie daadwerkelijk beschermt en dat je kunt aantonen aan toezichthouders, klanten en partners. Het is het verschil tussen een auto die in de garage staat en een auto die rijdt.

Van incidentgedreven naar risicogestuurd

Een andere fundamentele verschuiving is de overgang van incidentgedreven naar risicogestuurd werken. In een ad-hocaanpak worden maatregelen genomen als reactie op incidenten, audits of klantvragen. Het is een defensieve houding: je lost problemen op wanneer ze zich voordoen. In een structurele aanpak identificeer je risico's vooraf en neem je maatregelen om ze te voorkomen of de impact te beperken.

Die verschuiving heeft directe waarde. Je investeert je tijd en budget daar waar het risico het grootst is, in plaats van te reageren op de klacht die het hardst klinkt. Je kunt aan het bestuur uitleggen welke risico's je hebt afgedekt en welke restrisico's bewust zijn geaccepteerd. En je kunt aan een toezichthouder laten zien dat je keuzes zijn gebaseerd op een onderbouwde analyse, niet op toeval of reactie.

Van periodiek controleren naar continu monitoren

De derde verschuiving is de overgang van periodieke controles naar continue monitoring. In een ad-hocaanpak wordt de status van maatregelen gecontroleerd bij audits of kwartaalreviews. Tussen die momenten in is er geen zicht op of maatregelen nog functioneren. In een structurele aanpak worden maatregelen continu gemonitord, zodat afwijkingen direct worden gesignaleerd.

Continue monitoring betekent niet dat iemand de hele dag naar dashboards staart. Het betekent dat geautomatiseerde tests op vaste intervallen controleren of configuraties nog kloppen, of toegangsrechten nog actueel zijn en of beveiligingsinstellingen niet onbedoeld zijn gewijzigd. Bij een afwijking volgt een melding, zodat de eigenaar actie kan ondernemen. Dat model is schaalbaarder, betrouwbaarder en minder afhankelijk van individuele personen dan handmatige controles.

Waar tooling het verschil maakt

Centraliseren van maatregelen en bewijs

Het borgen van samenhang tussen maatregelen, risico's, eigenaarschap en bewijs is handmatig mogelijk bij een klein aantal maatregelen. Maar naarmate de organisatie groeit en het aantal beheersmaatregelen toeneemt, wordt het bijhouden in spreadsheets en gedeelde mappen onbeheersbaar. Een GRC-platform centraliseert alle onderdelen op één plek: maatregelen zijn gekoppeld aan risico's, eigenaren zijn toegewezen, bewijs is gekoppeld aan de maatregel waarvoor het geldt en afwijkingen worden gevolgd tot ze zijn opgelost.

Tidal Control biedt die centrale structuur. Het platform bevat voorgebouwde beheersmaatregelen en beleidssjablonen voor het CyberFundamentals-framework en het NIS2 Supply Chain-framework. Iedere maatregel kan worden voorzien van een eigenaar, taken en deadlines. Bewijs wordt automatisch verzameld via integraties met je cloudomgevingen en ontwikkeltools. Meer dan 150 geautomatiseerde tests controleren continu of je maatregelen daadwerkelijk functioneren.

Workflows en verantwoordelijkheden borgen

Structurele compliance valt of staat bij het borgen van verantwoordelijkheden in werkbare processen. Tooling maakt het mogelijk om workflows in te richten die ervoor zorgen dat taken niet blijven liggen. Automatische herinneringen wanneer een herbeoordeling gepland staat. Escalatiepaden wanneer een afwijking niet binnen de gestelde termijn wordt opgelost. Notificaties wanneer een geautomatiseerde test een faling detecteert.

Dat is geen kwestie van bureaucratie toevoegen. Het is het wegnemen van afhankelijkheid van individuele personen. In een handmatige aanpak is compliance afhankelijk van de discipline en beschikbaarheid van een paar sleutelpersonen. In een tooling-ondersteunde aanpak zijn de processen geborgd in het platform en draaien ze door, ook als een medewerker met vakantie is of de organisatie van samenstelling verandert.

Meegroeien met de organisatie

Een laatste voordeel van tooling is schaalbaarheid. Organisaties die vandaag beginnen met NIS2-compliance starten vaak met een beperkte scope: de meest kritieke systemen, de belangrijkste leveranciers, de eerste set beheersmaatregelen. Naarmate de organisatie groeit, groeit ook de scope. Nieuwe systemen worden in gebruik genomen, nieuwe leveranciers worden toegevoegd, aanvullende frameworks worden relevant.

Tidal Control is ontworpen om mee te schalen. Organisaties die naast NIS2 ook ISO 27001, SOC 2 of andere normen volgen, beheren alle frameworks in één platform. Maatregelen die voor meerdere normen gelden worden één keer geïmplementeerd en automatisch gemapt naar de relevante frameworks. Dat voorkomt dubbel werk en zorgt ervoor dat de overgang van een eerste set maatregelen naar een volwassen beheersysteem geleidelijk en beheersbaar verloopt.

Veelgestelde vragen

Wat is het verschil tussen losse NIS2-maatregelen en structurele compliance?

Losse maatregelen lossen individuele problemen op, maar missen samenhang, eigenaarschap en een cyclus van evaluatie en verbetering. Structurele compliance betekent dat maatregelen zijn gebaseerd op een risicoanalyse, zijn voorzien van eigenaarschap en bewijs, en worden onderhouden in een doorlopende verbetercyclus. Het verschil is dat van een verzameling documenten versus een werkend beheersysteem.

Wanneer is het moment om over te stappen van ad-hoc naar structureel?

Het moment is wanneer je merkt dat het overzicht verdwijnt: maatregelen zonder eigenaar, bewijs dat verspreid is over meerdere systemen, een bestuur dat niet weet hoe de organisatie ervoor staat, of het onvermogen om snel een actueel beeld te geven van je compliancestatus. Voor organisaties die onder NIS2 vallen, is het antwoord eigenlijk: nu. De Cyberbeveiligingswet treedt naar verwachting in het tweede kwartaal van 2026 in werking, en een structurele aanpak kost maanden om in te richten.

Welke onderdelen worden het vaakst over het hoofd gezien bij de overgang?

Drie onderdelen worden consistent onderschat. Ten eerste: het koppelen van maatregelen aan risico's. Veel organisaties implementeren maatregelen zonder formele risicoanalyse, waardoor ze niet kunnen onderbouwen waarom ze bepaalde keuzes hebben gemaakt. Ten tweede: eigenaarschap. Maatregelen bestaan op papier, maar niemand voelt zich verantwoordelijk voor het onderhoud. Ten derde: de verbetercyclus. Incidenten en audits worden afgehandeld, maar de geleerde lessen worden niet structureel verwerkt in aanpassingen van maatregelen of beleid.

Hoe voorkom je dat structurele compliance te bureaucratisch wordt?

Door proportionaliteit als leidend principe te hanteren. Niet iedere maatregel heeft dezelfde diepgang nodig. Niet iedere risicobeoordeling hoeft een uitputtend document te zijn. Het doel is een werkbaar systeem dat de organisatie beschermt en dat je kunt aantonen, niet een papieren werkelijkheid die niemand gebruikt. Begin klein, richt je op de maatregelen met de hoogste impact en bouw geleidelijk uit. Kies voor beknopt beleid dat medewerkers daadwerkelijk lezen, in plaats van uitgebreide documenten die in een la verdwijnen.

Hoe helpt tooling bij de overgang naar structurele NIS2-compliance?

Tooling centraliseert maatregelen, eigenaarschap, bewijs en afwijkingen op één plek. Het automatiseert repetitieve taken zoals bewijsverzameling en statuscontroles. Het borgt workflows zodat verantwoordelijkheden niet afhankelijk zijn van individuele personen. En het biedt continu inzicht in je compliancestatus, zodat je niet alleen bij audits weet hoe je ervoor staat maar op ieder moment. Dat maakt de overgang van ad-hoc naar structureel niet alleen haalbaar, maar ook houdbaar op de lange termijn.