Vanaf 2024 scherpt de Europese Unie met de NIS2-richtlijn de regels voor digitale weerbaarheid aan. Nederlandse organisaties, ook bij de overheid, moeten hun mensen trainen en een sterke cybersecuritycultuur opbouwen. HR en bestuur zijn aan zet, omdat gedrag en vaardigheden het verschil maken bij phishing en deepfakes. De eisen sluiten aan op de AVG en de Europese AI-verordening (AI Act) en vragen nu om actie.
NIS2 verplicht mens én bestuur
NIS2 breidt de zorgplicht voor cybersecurity uit naar meer sectoren en middelgrote tot grote organisaties. In Nederland wordt deze EU-richtlijn omgezet in nationale wetgeving, op het moment van schrijven in voorbereiding. De kern: structurele risicobeheersing, duidelijke processen en aantoonbare kennis bij alle medewerkers. Daarmee verschuift beveiliging van alleen techniek naar ook gedrag en organisatie.
De verplichtingen omvatten beleid, trainingen, incidentrespons en snelle melding bij een nationaal meldpunt of toezichthouder. Het Nationaal Cyber Security Centrum (NCSC) en Europese waakhond ENISA bieden hiervoor richtlijnen. Ook de toeleveringsketen valt in scope: organisaties moeten leveranciers en dienstverleners toetsen op beveiliging. Dat vraagt om nieuwe eisen in inkoop en contracten.
Het bestuur krijgt expliciete verantwoordelijkheid voor cyberweerbaarheid. Dat betekent toezicht, budget en eigen scholing voor directie en raad van bestuur. Bij ernstige nalatigheid kunnen boetes en andere sancties volgen. Organisaties doen er daarom goed aan nu al te toetsen of ze onder NIS2 vallen en welke maatregelen ontbreken.
De tijdslijn is krap: de EU-deadline is 17 oktober 2024, terwijl Nederlandse handhaving naar verwachting in 2025 vaart krijgt, op het moment van schrijven nog afhankelijk van nationale wetgeving. Wachten is risicovol, want veel maatregelen kosten tijd om in te voeren. Denk aan ketenafspraken, training van teams en het oefenen van crisisscenario’s. Vroege actie beperkt schade bij een aanval en laat compliance zien aan toezichthouders.
HR leidt gedragsverandering
HR heeft een sleutelrol bij het vertalen van beleid naar dagelijkse praktijk. Integreer security in onboarding, functieprofielen en leiderschapsprogramma’s. Werk samen met de CISO en IT om taken, processen en meetpunten vast te leggen. Zo wordt veilig werken onderdeel van cultuur en routine.
Hybride werken vraagt om heldere regels die mensen snappen en kunnen toepassen. Leg uit hoe je veilig inlogt met multi-factor-authenticatie (MFA), wat een wachtwoordmanager is en wanneer je een incident meldt. Geef ook afspraken voor thuiswerken, privéapparaten en het delen van bestanden. Korte, concrete voorbeelden helpen beter dan lange handleidingen.
Maak bewustwording tastbaar met realistische oefeningen, zoals phishing-simulaties en rollenspellen rond CEO-fraude. Meet het effect met eenvoudige indicatoren, zoals meldingsgraad en doorlooptijd tot melding. Rapporteer maandelijks aan bestuur en OR om draagvlak te houden. Beloon gewenst gedrag en leer van fouten zonder schuldcultuur.
Besteed extra aandacht aan teams met hoge risico’s, zoals financieel beheer, inkoop en klantenservice. Zij zijn vaak doelwit van gerichte aanvallen. Bied hen scenario-trainingen met duidelijke beslisbomen. Koppel dit aan heldere escalatielijnen naar security en legal.
Continu trainen werkt beter
Een eenmalige cursus is niet genoeg. Kies voor doorlopende microlearnings van enkele minuten per week. Herhaal kernboodschappen en wissel theorie af met korte opdrachten. Zo blijft kennis fris en stijgt de meldingsbereidheid.
Aanvallers gebruiken steeds vaker generatieve kunstmatige intelligentie, zoals ChatGPT en Gemini, om overtuigende phishing en deepfakes te maken. Een deepfake is een nepvideo of nagebootste stem die echt lijkt. Train medewerkers daarom om altijd te verifiëren via een tweede kanaal, bijvoorbeeld telefonisch. Leer ze ook verdachte signalen te herkennen, zoals ongebruikelijke spoed of afwijkende betaalgegevens.
Slimme leerplatforms passen de inhoud aan op basis van gedrag; dat heet adaptief leren met algoritmen. Dit kan helpen om risico’s te verlagen, mits privacy en transparantie zijn geborgd. Houd het simpel: laat medewerkers zien welke data de tool gebruikt en waarom. Documenteer keuzes en geef altijd een contactpunt voor vragen.
Plan elk kwartaal een thema, zoals wachtwoorden, datadeling of incidentmelding. Combineer dit met een oefening en een korte evaluatie in het team. Gebruik resultaten om het programma stap voor stap te verbeteren. Zo groeit de organisatie van bewustwording naar aantoonbare weerbaarheid.
Veel cyberincidenten beginnen met een simpele fout van een medewerker. Goede gewoonten en snelle meldingen beperken de schade.
AVG en AI Act leidend
Trainingen en simulaties verwerken vaak persoonsgegevens, zoals namen, klikgedrag en meldingen. De AVG eist dan dataminimalisatie, een duidelijke grondslag en versleuteling. Voer waar passend een Data Protection Impact Assessment (DPIA) uit. Informeer medewerkers vooraf en geef een laagdrempelig inzage- en bezwaarproces.
Let op inzet van AI in personeelsprocessen. De Europese AI-verordening (AI Act) plaatst AI-systemen die werknemers beoordelen in een hoogrisicoklasse. Dat vraagt om extra eisen, zoals transparantie, menselijk toezicht en gedetailleerde documentatie. Vermijd automatische beslissingen zonder menselijke controle.
Bewaar trainingsdata niet langer dan nodig en pseudonimiseer waar mogelijk. Beperk toegang tot gegevens en leg toegekende rechten vast. Houd een register bij van verwerkingen en bewaartermijnen. Dit helpt bij audits door toezichthouders en bij interne verantwoording.
De overheid en publieke diensten hebben extra publieke belangen te beschermen. Voor hen wegen de “Europese AI-verordening gevolgen overheid” en NIS2-normen dubbel zwaar. Stem beleid af met CISO, privacy officer en juridische dienst. Sluit aan bij richtlijnen van NCSC en brancheorganisaties.
Stappenplan voor organisaties
Begin met een snelle toets: val je onder NIS2 en welke onderdelen? Raadpleeg NCSC-publicaties en je branchevereniging. Stel één verantwoordelijke aan op directieniveau. Maak een routekaart met mijlpalen en budget.
Leg beleid, rollen en procedures vast voor risicobeheer, training en incidentrespons. Oefen twee keer per jaar met een crisissimulatie, inclusief communicatie en besluitvorming. Zorg voor een 24/7 meldpunt en duidelijke escalatie. Evalueer na elke oefening wat beter kan.
Start een continu leerprogramma met korte modules en periodieke phishing-simulaties. Plaats een meldknop in e-mail en chat, en reageer snel op meldingen. Deel leerpunten breed, zonder schuldigen aan te wijzen. Zo groeit vertrouwen en snelheid.
Neem leveranciers en software in de keten mee in je eisen. Leg beveiligingsafspraken vast in contracten en servicelevels. Vraag om onafhankelijke audits of certificaten, zoals ISO 27001. Herzie deze afspraken jaarlijks op basis van nieuwe risico’s en wetgeving.
