Nederlandse organisaties zetten cybersecurity hoger op de agenda. Dat komt door meer aanvallen, strengere EU-regels als NIS2, DORA en de Cyber Resilience Act, en zwaardere eisen aan leveranciers. Ook de Europese AI-verordening heeft gevolgen voor overheid en bedrijven, vooral rond databeveiliging en logging. De vraag is hoe bestuur en IT dit nu organiseren in Nederland en Europa.
NIS2 vergroot de verplichtingen
NIS2 is de Europese richtlijn voor digitale weerbaarheid. De regels gelden voor middelgrote en grote organisaties in vitale en digitale sectoren. In Nederland houdt de Rijksinspectie Digitale Infrastructuur toezicht via de Wet beveiliging netwerk- en informatiesystemen. Bestuurders krijgen expliciete zorgplichten en kunnen persoonlijk worden aangesproken.
NIS2 vraagt om structureel risicobeheer, zoals patchbeleid, back-ups en netwerksegmentatie. Organisaties moeten security-incidenten snel melden bij het nationale CSIRT. Oefenen met incidentrespons wordt verplicht. Dit raakt ook gemeenten en zorginstellingen die digitale diensten leveren.
NIS2 eist een vroege waarschuwing binnen 24 uur, een update binnen 72 uur en een eindrapport binnen 1 maand na een ernstig incident.
Bij niet-naleving dreigen boetes tot 10 miljoen euro of 2 procent van de wereldwijde omzet, op het moment van schrijven. De regels vullen de AVG aan, die dataminimalisatie en versleuteling vereist. Samen verhogen ze de lat voor technische én organisatorische maatregelen. Transparante logging en toegangsbeheer worden randvoorwaardelijk.
Ketenrisico wordt centraal thema
Aanvallen verschuiven naar toeleveranciers en IT-dienstverleners. Een lek bij één partij kan tientallen klanten raken. Daarom vereist NIS2 aandacht voor de hele keten. Het gaat om selectie, contracten en doorlopend toezicht.
Organisaties leggen basisnormen vast voor leveranciers, zoals MFA, encryptie en tijdig patchen. Zij vragen bewijzen, zoals certificeringen of testresultaten. Continu monitoren vervangt de jaarlijkse vragenlijst. Contracten bevatten eisen voor melding, herstel en auditrechten.
Ook software-inkoop verandert. Een Software Bill of Materials (SBOM) geeft zicht op gebruikte onderdelen. Daarmee wordt het risico op kwetsbare bibliotheken kleiner. In combinatie met assetmanagement versnelt dit patchen na een bekend lek.
CRA legt eisen op aan software
De Cyber Resilience Act (CRA) maakt basisbeveiliging verplicht voor producten met digitale elementen. Dat zijn apparaten en software die verbonden zijn met internet. Fabrikanten moeten veilige ontwikkeling aantonen en kwetsbaarheden snel verhelpen. Importeurs en distributeurs krijgen eigen plichten.
De CRA brengt CE-markering naar cybersecurity. Leveranciers moeten risicoanalyses, updatebeleid en een meldpunt voor kwetsbaarheden hebben. Afnemers krijgen meer informatie, zoals een SBOM en supporttermijn. Inkoop en aanbesteding kunnen hierop sturen.
De meeste verplichtingen gelden pas na een overgangstermijn, op het moment van schrijven. Toch is vroeg beginnen verstandig. Productlevenscycli zijn lang en processen vragen tijd. Wie nu eist, koopt later minder risico in.
DORA zet druk op financiële sector
DORA is het EU-kader voor digitale weerbaarheid in de financiële sector. Banken, verzekeraars en betaalinstellingen vallen eronder. De wet bundelt eisen voor risicobeheer, testen en uitbesteding. Toezicht loopt via DNB en AFM in Nederland en de Europese autoriteiten.
DORA verplicht streng contractbeheer voor externe ICT-aanbieders. Kritieke leveranciers komen in beeld, inclusief cloud. Rapportages worden gestandaardiseerd om incidenten sneller te delen. Ook dreigingsgestuurde testen worden de norm.
AI-systemen in finance vragen extra aandacht voor logging en uitlegbaarheid. Dat sluit aan op de Europese AI-verordening, die voor hoog-risico-toepassingen risicobeheer en documentatie eist. Zo ontstaat een lijn tussen modelbeheer en securitycontrole. Dit helpt bij audits en forensisch onderzoek.
AI verandert aanvallen en verdediging
Aanvallers gebruiken generatieve AI voor phishing, deepfakes en het schrijven van malware. De schaal en overtuigingskracht nemen toe. Verdedigers zetten ook AI in, bijvoorbeeld voor detectie en triage. Bekende systemen zijn Microsoft Copilot for Security, Google Chronicle met Mandiant en CrowdStrike Charlotte AI.
AI kan fouten maken of bevooroordeeld zijn. Een model kan valse alarmen geven of juist iets missen. Daarom blijft menselijk toezicht nodig. Loggen, valideren en een duidelijk beslisproces zijn verplicht huiswerk.
Gebruik van AI moet passen binnen de AVG. Dat betekent dataminimalisatie, duidelijke doelen en passende beveiliging. Voor foundation-modellen vraagt de AI-verordening om transparantie over herkomst en risico’s. Dit raakt ook security-assistenten die op bedrijfsdata draaien.
Aanpak voor Nederlandse organisaties
Begin met een nuchtere basis: patch snel, pas MFA toe, maak offline back-ups en test herstel. Houd een actueel overzicht van systemen en leveranciers. Oefen incidentrespons met IT en bestuur. Leg verantwoordelijkheden vast op directieniveau.
Maak een gap-analyse voor NIS2, DORA en de CRA. Werk planmatig aan beleid, processen en tooling. Kies meetbare doelen, zoals detectietijd en patch-snelheid. Koppel compliance aan echte risicoreductie, niet alleen aan papier.
Zoek samenwerking in het ecosysteem. Sluit aan bij het NCSC-NL, het Digital Trust Center en sectorale ISAC’s. Deel dreigingsinformatie en leer van testen. Dit verkleint ketenrisico’s en versnelt herstel na een incident.
