Leestijd: 3 minuten
Het event was boeiend. Niet alleen vanwege de inhoud, maar vooral door de verhalen van ervaren threathunters die dreigingen tot leven brachten. Scenario’s worden dan tastbaar. Het blijft bijna onvoorstelbaar hoe eenvoudig vertrouwelijke informatie soms te vinden is: via het darkweb, of via opvallend open Confluence- en SharePoint-omgevingen. Voeg daar een vleugje Rusland of China aan toe, en het volgende filmscript ligt klaar.
Laat ik duidelijk zijn: naïviteit is hier misplaatst. Veel bestuurders en ondernemers hebben nog onvoldoende besef – laat staan inzicht – in hoe kwetsbaar hun organisatie daadwerkelijk is. Bewustwording begint zelden bij beleidsstukken of frameworks, maar bij echte verhalen. Klimaatverandering krijgt pas betekenis wanneer je eigen kelder onderloopt.
Is wet- en regelgeving echt een ‘dreiging’?
Wat mij tijdens het event vooral aan het denken zette, was dat in het overzicht van dreigingen ook ‘toenemende wet- en regelgeving’ werd genoemd. Is dat werkelijk een dreiging? Een richtlijn als NIS2 en een verordening als DORA zeggen in de kern maar één ding: zorg dat je weerbaar bent en dat je je informatiebeveiligingsrisico’s beheerst. Dat is precies wat klanten, investeerders en medewerkers ook van je verwachten. Dat een dreiging noemen, voelt ongemakkelijk.
Tegelijkertijd begrijp ik de weerstand. Wanneer de overheid de norm stelt, raakt dat direct aan autonomie. Hoeveel ruimte heb ik als ondernemer of bestuurder om zelf te bepalen welk niveau van digitale weerbaarheid voor mij voldoende is? Als ik bereid ben natte voeten te krijgen, waarom zou ik dan niet in buitendijks gebied mogen wonen?
Urgentie voelt niet voor iedereen hetzelfde
Daar komt bij dat niet elke dreiging waarvoor de overheid mij wil beschermen, voor mij even urgent voelt. Moet ik wakker liggen van een oorlog met Rusland? En als een noodvoorzieningenpakket wettelijk verplicht zou worden: zou ik dat dan aanschaffen uit overtuiging – of alleen uit angst voor een boete bij controle? Zie daar de dreiging.
Mijn zorg is deze: zodra het doel van wetgeving niet wordt begrepen, worden wetten en regels inderdaad een dreiging. Dan verschuift de aandacht van weerbaarheid naar het voorkomen van boetes.
De vraag wordt: “Zijn we NIS2-compliant?” terwijl de juiste vragen zouden moeten zijn:
- “Is onze beveiliging op het noodzakelijke niveau?”
- “Kennen we onze grootste risico’s?”
- “En zijn we voorbereid op het moment dat het misgaat?”
De echte dreiging zit niet in NIS2 of DORA, maar in het reduceren van weerbaarheid tot compliance. Zie wet- en regelgeving als startpunt, niet als einddoel. Verleg het gesprek met investeerders en klanten van vinklijstjes naar risico, impact en paraatheid. Want organisaties die sturen op compliance voorkomen boetes, maar organisaties die sturen op verantwoordelijkheid tonen leiderschap en bouwen vertrouwen.
Meer weten?
Sta eens stil bij deze vraag: sturen wij op naleving, of op weerbaarheid? En wat betekent dat vandaag voor de keuzes die we maken? Als je hier eens over door wil praten, weet ons te vinden! Wij denken graag met je mee.
