Hacking is allang geen technisch incident meer, maar een directe toets op leiderschap en digitale governance. Met de komst van NIS2 verschuift de aandacht van tools naar aantoonbare verantwoordelijkheid,. Precies op het moment dat organisaties steeds afhankelijker worden van complexe, internationale IT-ketens.

Wat betekent dat voor wie de uiteindelijke regie voert over beveiliging, aansprakelijkheid en herstelvermogen?

1. NIS2 wordt Wbni 2

De voorbereiding op de Wet beveiliging netwerk- en informatiesystemen 2 (Wbni 2) vergt meer dan alleen het vertalen van Europese eisen naar nationale regelgeving. Waar eerdere beveiligingsmaatregelen vaak lokaal werden geïnterpreteerd, legt deze nieuwe wet het fundament voor een geharmoniseerde aanpak binnen alle sectoren die als essentieel of belangrijk worden geclassificeerd. Daarmee verschuift de nadruk van technische afhandeling naar bestuurlijke verantwoordelijkheid. Dit raakt direct de manier waarop organisaties in Nederland hun informatieveiligheid structureren, zowel qua governance als qua operationeel beleid.

De Nederlandse overheid kiest ervoor om de NIS2-richtlijn breed te implementeren. Niet alleen kritieke infrastructuren, maar ook zorginstellingen, IT-dienstverleners en digitale platforms vallen onder het bereik van de Wbni 2. De scope wordt daarmee aanzienlijk vergroot. Het toezicht op naleving wordt bovendien breder verdeeld: naast het Nationaal Cyber Security Centrum (NCSC) komen ook toezichthouders als de Autoriteit Consument & Markt (ACM) en het Digital Trust Center in beeld. Dit leidt tot een complexere handhavingsstructuur die samenwerking tussen meerdere toezichthouders vereist.

Toezicht met gedeelde verantwoordelijkheid

De uitbreiding van het toezicht betekent niet dat er één centraal aanspreekpunt is. Integendeel, afhankelijk van sector en type organisatie geldt een andere toezichthouder. Deze gefragmenteerde aanpak heeft gevolgen voor de manier waarop informatie wordt gedeeld, meldingen worden gedaan en verbetermaatregelen worden afgestemd. Organisaties moeten dus zelf het initiatief nemen om helderheid te scheppen over hun rapportagelijnen. Afstemming tussen compliance, juridische zaken en operationele afdelingen wordt hierdoor belangrijker.

Voor instellingen met een bestaande ISMS-structuur op basis van ISO 27001 of NEN7510 biedt dit enerzijds houvast, maar vraagt het ook om aanpassingen:

• Documentatie moet modulair inzetbaar zijn voor verschillende toezichthouders.
• Incidentenregistratie moet voldoen aan uiteenlopende meldingsvereisten.
• Governance moet aantoonbaar afgestemd zijn op de specifieke sectorale eisen.

Zonder proactieve afstemming ontstaat een risico op dubbel werk, versnipperde maatregelen en uiteenlopende interpretaties van dezelfde verplichtingen.

Van nationaal belang naar sectorbreed risico

Waar eerdere regelgeving voornamelijk gericht was op vitale infrastructuur en overheidsdiensten, dwingt Wbni 2 tot een bredere risicobenadering. Organisaties die zich voorheen buiten schot waanden, worden nu geclassificeerd als belangrijk of essentieel. Dat leidt tot nieuwe verantwoordelijkheden, maar ook tot meer onzekerheid over de verwachte invulling.

Specifieke sectoren zoals de zorg, digitale dienstverlening, en transportsector krijgen daardoor te maken met verhoogde eisen zonder dat de exacte interpretatie van deze eisen altijd duidelijk is. Wat in de ene sector als adequaat wordt gezien, kan in een andere context onvoldoende zijn. Dit vraagt om:

• Sectorale samenwerking in norminterpretatie.
• Duidelijke risicoprofielen per type organisatie.
• Het opnemen van risicogeoriënteerde eisen in leveranciersketens.

Organisaties die hun security governance afstemmen op ISO 27001 of NEN7510 kunnen deze kaders gebruiken als leidraad, maar moeten tegelijk anticiperen op aanvullingen vanuit nationale invulling van de Wbni 2.

Ingrijpende gevolgen voor organisatiestructuur

De impact van Wbni 2 stopt niet bij beleid en rapportages. Het dwingt tot herbezinning op de organisatiestructuur. Niet alleen de IT-afdeling, maar ook directie, juridische zaken, communicatie en inkoop moeten zich positioneren binnen het geheel van maatregelen. Dit vereist afstemming op strategisch niveau, waarbij cybersecurity niet langer een geïsoleerd domein is.

Belangrijke aandachtspunten:

• Herpositionering van informatiebeveiliging binnen de bestuursstructuur.
• Formele besluitvorming over risicobereidheid en investeringsniveau.
• Vastleggen van verantwoordelijkheden in governance-documenten.

Zonder deze structurele aanpassingen dreigt er bij incidenten onvoldoende duidelijkheid over wie waar verantwoordelijk voor is — wat in het kader van bestuurlijke aansprakelijkheid problematisch is.

Hacking en bestuurlijke blootstelling

De meeste organisaties hebben inmiddels procedures rond datalekken en incidentmeldingen. Toch zijn veel van deze processen nog steeds gericht op operationele afhandeling. Wbni 2 voegt daar een strategische laag aan toe: de toetsing vindt plaats op bestuursniveau. Bij een ernstig incident — zoals hacking van systemen met impact op dienstverlening — zal niet alleen worden gekeken naar het incident zelf, maar naar de mate van voorbereiding, besluitvorming en opvolging.

Dieper toezicht betekent onder andere:

• Het bevragen van bestuurders over genomen maatregelen.
• Verantwoording over investeringsbeslissingen rond beveiliging.
• Aantoonbaarheid van interne bewustwording en training.

Hiermee ontstaat een nieuwe categorie risico: bestuurlijke blootstelling bij gebrek aan aantoonbare governance. Dit raakt de kern van vertrouwen in de organisatie, richting zowel toezichthouders als klanten en ketenpartners.

Verlies van interpretatieruimte

Waar eerdere wetgeving ruimte liet voor interpretatie, kent Wbni 2 minder grijze gebieden. De implementatie wordt expliciet getoetst aan de hand van concrete normen, termijnen en verantwoordelijkheden. Dit maakt het speelveld minder flexibel, maar wel voorspelbaarder — mits goed voorbereid.

Organisaties die gewend zijn aan self-assessment en volwassenheidsmodellen moeten zich instellen op een meer juridisch getoetste werkelijkheid. Bestuurlijke beslissingen krijgen daarbij formele consequenties. Wat in het verleden gold als ‘voldoende’ omdat het in lijn lag met sectorstandaard, kan onder het nieuwe regime als ontoereikend worden beoordeeld.

De enige manier om hierop voorbereid te zijn, is door:

• Continu risicobeeld op te stellen en te actualiseren.
• Governance-structuren regelmatig te toetsen op effectiviteit.
• Juridische en operationele interpretatie periodiek te herijken.

Nationale richtlijn, internationale impact

Hoewel de focus ligt op Nederlandse wetgeving, beperkt de impact zich niet tot de landsgrenzen. Nederlandse organisaties die actief zijn in andere EU-landen, of diensten leveren aan buitenlandse partijen, moeten rekening houden met uiteenlopende implementaties van dezelfde EU-richtlijn. Daarbij komt dat nationale wetgevers eigen accenten leggen. Voor multinationals betekent dit dat een uniforme aanpak onpraktisch kan zijn.

Strategische keuzes zijn dan noodzakelijk:

• Eén centrale ISMS-structuur met lokale vertalingen.
• Regionale compliance-teams met centrale coördinatie.
• Juridische toetsing per land op basis van eigen toezichthouders.

Wie dit onvoldoende adresseert, loopt het risico op inconsistentie in maatregelen en verhoogde kwetsbaarheid bij audits of incidenten.

2. Cloudgebruik vraagt om herijkte verantwoordelijkheid

De manier waarop Nederlandse organisaties cloudtechnologie inzetten, sluit steeds minder aan op de wijze waarop wetgeving verantwoordelijkheid toewijst. Wat ooit werd gezien als een flexibele, schaalbare en veilige uitbesteding van infrastructuur, blijkt onder de Wbni 2 een bron van complexiteit in aansprakelijkheid. De toenemende afhankelijkheid van externe platforms vereist een fundamenteel andere benadering van verantwoordelijkheid en toezicht.

De juridische realiteit is duidelijk: het uitbesteden van IT-diensten neemt de eindverantwoordelijkheid voor beveiliging niet weg. Cloudgebruikers blijven volledig aanspreekbaar op het functioneren van die diensten binnen het bredere geheel van informatiebeveiliging. Hierdoor ontstaat een verschuiving van operationeel beheer naar strategische governance, waarbij het afbreukrisico van uitbestede diensten direct samenhangt met bestuurlijke aansprakelijkheid.

Aansprakelijkheid zonder directe controle

Veel organisaties vertrouwen op standaardcontracten en SLA’s waarin verantwoordelijkheden voor beveiliging slechts globaal zijn beschreven. Technische specificaties worden overgelaten aan de leverancier, terwijl controle- en verificatiemogelijkheden beperkt blijven tot incidentele evaluaties of audits. Dat is in de nieuwe context onvoldoende.

Toezichthouders verwachten dat organisaties:

• kunnen aantonen hoe leveranciers beoordeeld en geselecteerd zijn,
• een continu beeld hebben van beveiligingsprestaties in de keten,
• in staat zijn om zelfstandig incidenten te detecteren die via cloudleveranciers impact hebben op hun dienstverlening.

Dit vraagt om een verschuiving van vertrouwen op papier naar meetbare zekerheid in de praktijk. Technische abstractie of geografische afstand van systemen mag geen reden zijn voor het ontbreken van toezicht.

Governance over de keten

In veel organisaties blijft de cloudinfrastructuur formeel onder beheer van IT of externe partners. De governance daarentegen moet organisatiebreed verankerd zijn. Dit vraagt om duidelijke afspraken over wie toezicht houdt, wie verantwoordelijk is voor controlemaatregelen en wie welke meldingen ontvangt. Zonder heldere structuur ontstaat vertraging in besluitvorming en informatieoverdracht — precies waar toezichthouders nu scherp op toetsen.

Effectieve cloudgovernance vereist:

• Gedefinieerde verantwoordelijkheden per ketenpartner, inclusief escalatieprocedures.
• Integratie van cloudprestaties in bestaande risicodashboards.
• Periodieke validatie van beveiligingsmaatregelen door onafhankelijke partijen.

Deze werkwijze sluit aan op een volwassen ISMS volgens ISO 27001. Niet door extra controles toe te voegen, maar door de bestaande structuren aan te vullen met dynamisch leveranciersmanagement.

Risico’s in gelaagde uitbesteding

Een groeiend risico binnen cloudarchitecturen is de onzichtbare keten van subleveranciers. Veel dienstverleners maken op hun beurt gebruik van andere platforms, vaak zonder dat dit expliciet wordt gecommuniceerd. Bij incidenten blijkt dan pas hoe weinig grip er is op de volledige leveringsketen. Dit maakt het lastig om herstelmaatregelen gecoördineerd uit te voeren, laat staan binnen de wettelijke termijnen voor melding.

De praktijk wijst uit dat bij multitenant-cloudplatforms:

• niet alle configuraties inzichtelijk zijn voor de afnemer,
• wijzigingen door leveranciers zonder voorafgaande communicatie plaatsvinden,
• logging en monitoring beperkt zijn tot algemene rapportages.

Organisaties moeten hun due diligence uitbreiden naar de hele keten — ook als dit vraagt om aanvullende contractuele afspraken of technische barrières. De vrijblijvendheid van klassieke uitbesteding sluit niet meer aan op de verplichtingen onder Wbni 2.

Herdefinitie van verantwoordelijkheidsmodellen

Het gangbare shared responsibility-model dat veel cloudproviders hanteren, is te abstract geworden om stand te houden bij juridische toetsing. De kern van het model — dat leverancier en afnemer elk hun deel beveiligen — blijft op papier overeind, maar faalt in de praktijk door onduidelijke verdeling van verantwoordelijkheid bij incidenten. Zeker bij geavanceerde vormen van hacking of kwetsbaarheden in gedeelde infrastructuur is het vaak onduidelijk wie faalde en waar de tekortkoming begon.

Om grip te houden op dit model is het noodzakelijk om:

• verantwoordelijkheden per systeemlaag expliciet vast te leggen,
• toezicht te houden op naleving via technische controles (bijv. CMDB-verificatie),
• governance niet alleen contractueel maar ook operationeel af te dwingen.

Voor organisaties die afhankelijk zijn van meerdere cloudleveranciers betekent dit het opzetten van een centraal compliance-framework waarin verschillen in dienstverlening worden vertaald naar uniforme toezichtstructuren.

Impact op procurement en inkoopproces

Cloudgebruik wordt vaak geïnitieerd vanuit efficiëntie- of kostenoverwegingen. Hierdoor worden beveiligingseisen pas later toegevoegd aan contractvoorwaarden — of volledig overgelaten aan IT. Onder Wbni 2 ontstaat hier een zwakke plek, omdat het inkoopproces zelf deel uitmaakt van het verantwoordingsdomein. Het selectietraject bepaalt immers het risicoprofiel van de hele keten.

Een volwassen aanpak vereist:

• vroegtijdige betrokkenheid van security en compliance bij aanbestedingen,
• toetsing van leveranciers op normenkaders als ISO 27017 en SOC 2,
• standaardclausules in contracten over incidentmelding, auditrechten en beveiligingsupdates.

Het effect is tweeledig: enerzijds wordt de naleving structureel verbeterd, anderzijds ontstaat aantoonbaarheid richting toezichthouders. Procurement wordt daarmee een verlengstuk van governance, niet slechts een logistiek proces.

Veranderende rol van interne audit

De klassieke auditfunctie volstaat niet meer in een cloudgedreven omgeving. Waar voorheen steekproeven of documentbeoordelingen volstonden, is nu real-time inzicht en periodieke validatie nodig. Interne audits moeten zich niet beperken tot eigen processen, maar zich actief richten op externe componenten. Dat betekent minder focus op beleid, meer op effectiviteit en keteninzicht.

Een eigentijdse auditaanpak bevat:

• systematische evaluatie van cloudpartners op basis van afgesproken KPI’s,
• controle op incidentregistratie buiten de eigen systemen,
• toetsing van migratieplannen bij veranderingen in cloudinfrastructuur.

Hierbij is afstemming nodig tussen audit, juridische zaken en IT-beveiliging, om blinde vlekken in het toezicht te voorkomen.

Risicoverschuiving vraagt aanpassing in ISMS

Het toegenomen externe risico dwingt organisaties tot bijstelling van hun risicobeoordelingen. Een ISMS dat zich beperkt tot interne processen, voldoet niet meer. In lijn met ISO 27001 moeten risicoanalyses worden uitgebreid naar externe componenten, met expliciete risicobeheersmaatregelen voor cloudpartners.

Concreet betekent dit:

• opnemen van cloudgerelateerde dreigingen in de risicomatrix,
• evaluatie van beheersmaatregelen per leverancierstype,
• koppeling van risicoprofielen aan escalatieprotocollen.

Zonder deze uitbreiding mist het ISMS aansluiting op de praktijk. Risico’s verschuiven immers mee met de technologie, maar veel governance-instrumenten blijven intern gericht.

3. Weerbaarheid en aantoonbaarheid

De groeiende nadruk op aantoonbaarheid heeft geleid tot een verschuiving in focus: van inhoudelijke beveiliging naar documentatie van maatregelen. Deze ontwikkeling ondermijnt het oorspronkelijke doel van wet- en regelgeving zoals Wbni 2. De eis om aan te tonen dat maatregelen zijn genomen, wordt te vaak geïnterpreteerd als een administratieve opdracht in plaats van een uitnodiging tot structurele verbetering van weerbaarheid. Dat zorgt voor een schijnzekerheid die pas zichtbaar wordt op momenten dat systemen falen — of worden aangevallen.

Toezichthouders beoordelen steeds vaker niet alleen de aanwezigheid van procedures, maar ook de effectiviteit ervan in de dagelijkse praktijk. Dit impliceert dat statische modellen en beleidsdocumenten onvoldoende zijn als ze niet worden ondersteund door actuele inzichten, getoetste werkwijzen en operationele paraatheid. De inzet van normen zoals ISO 27001 biedt hierbij structuur, maar is slechts waardevol als het beheer van risico’s actief wordt doorvertaald naar de praktijk.

Procedurele beheersing als valkuil

In veel organisaties is de neiging groot om risico’s te vertalen naar formele procedures. Incidenten worden opgenomen in draaiboeken, verantwoordelijkheden vastgelegd in organogrammen en risico’s gecategoriseerd in dashboards. Deze aanpak is noodzakelijk, maar wordt problematisch wanneer deze structuren eindigen in papieren processen zonder terugkoppeling naar gedrag en uitvoering.

Voorbeelden van procedurele zwakheden zijn:

• incidentresponseplannen die niet zijn getest of geactualiseerd,
• bewustwordingscampagnes die wel worden uitgerold, maar niet worden geëvalueerd op effect,
• maatregelen waarvan het bestaan wel wordt aangetoond, maar waarvan de werking onbekend is.

Toezichthouders onderkennen deze patronen en stellen daarom steeds vaker de vraag: werkt het ook, of staat het alleen op papier?

Weerbaarheid als organisatiefactor

Werkelijke weerbaarheid is geen optelsom van controles, maar het resultaat van onderlinge afstemming, consistent gedrag en gedeeld bewustzijn. Het zit in het vermogen om afwijkingen te herkennen, risico’s te herwaarderen en incidenten af te handelen zonder afhankelijkheid van formele besluitlijnen. Organisaties die dit snappen, bouwen hun beveiliging niet rond documenten, maar rond gedragspatronen, communicatie en wendbaarheid.

Kenmerken van weerbare organisaties zijn onder andere:

• directe escalatiemogelijkheden bij dreiging, zonder bureaucratische vertraging,
• ruimte voor medewerkers om afwijkingen te signaleren en melden,
• integratie van beveiliging in operationele routines, niet als aparte laag erbovenop.

De toets op weerbaarheid is niet het beleid zelf, maar het gedrag dat volgt uit dat beleid. Alleen dan kunnen organisaties inspelen op scenario’s die vooraf niet zijn beschreven.

Verouderde toetsingskaders

Veel auditmethoden zijn nog gebaseerd op controle van statische maatregelen. De audit vraagt of iets bestaat, niet of het werkt. Hierdoor ontstaan situaties waarin organisaties auditrapporten kunnen overleggen die formeel correct zijn, maar waarin essentiële beveiligingslacunes niet worden opgemerkt. Deze lacunes blijken vaak pas tijdens een crisis — zoals een uitval van dienstverlening of een hackingincident.

De realiteit vraagt om een herziening van toetsingskaders:

• van controle op aanwezigheid naar controle op effectiviteit,
• van steekproeven in documentatie naar directe toetsing in systemen,
• van jaarlijkse toetsing naar continue verbetering.

Vooral in ketens met hoge afhankelijkheden van derden is deze verschuiving essentieel. Een statisch beeld van beveiliging biedt geen bescherming tegen een dynamisch dreigingslandschap.

Verantwoordelijkheid voorbij afdelingen

Beveiliging wordt nog te vaak behandeld als taak van één team of één functie. Compliance wordt toegewezen aan juridische afdelingen, risicoanalyse aan IT-beveiliging, bewustwording aan HR. Deze fragmentatie leidt tot lacunes in coördinatie, overlap in maatregelen en verwarring over escalatie.

Een volwassen benadering vereist overstijgend eigenaarschap, waarbij verantwoordelijkheid gedeeld wordt over meerdere disciplines. In de praktijk betekent dit:

• gezamenlijke risicobeoordelingen met juridische, technische en operationele input,
• rapportagelijnen die niet stoppen bij één afdeling maar integraal worden besproken,
• besluitvorming over maatregelen op strategisch niveau, niet louter operationeel.

Zonder gedeeld eigenaarschap ontstaan silo’s waarin iedereen verantwoordelijk is voor zijn eigen deel, maar niemand voor het geheel. Dat leidt tot kwetsbaarheid — en uiteindelijk tot non-conformiteit, ondanks volledige documentatie.

Kwaliteit van herstelvermogen

Het vermogen om te herstellen na een incident is een sleutelindicator voor werkelijke weerbaarheid. Dit gaat verder dan back-ups of redundantie. Het gaat om de tijd die nodig is om inzicht te krijgen, om besluitvorming te activeren en om maatregelen te nemen die verdere schade beperken. Weerbaarheid is zichtbaar in de snelheid, helderheid en samenwerking waarmee organisaties reageren.

Concreet betekent dit:

• herstelprocedures die getest zijn op realistische scenario’s,
• communicatieprotocollen die niet alleen intern, maar ook extern functioneren,
• paraatheid om besluiten te nemen bij onzekerheid of onvolledige informatie.

Toezichthouders kijken niet alleen naar het incident zelf, maar naar het herstelvermogen als maatstaf voor volwassen risicobeheersing.

Auditeerbare effectiviteit

In de praktijk groeit de behoefte aan meetinstrumenten die effectiviteit zichtbaar maken. Organisaties zoeken naar manieren om niet alleen te voldoen aan eisen, maar ook aan te tonen dat maatregelen daadwerkelijk bijdragen aan risicoreductie. Dit vraagt om een herdefiniëring van auditmethoden, waarbij effectiviteit een expliciet onderdeel wordt van het toetsingskader.

Voorbeelden van auditeerbare effectiviteit:

• logging van afwijkingen in processen, met opvolging en analyse,
• periodieke tests van escalatieprotocollen en meldingsstructuren,
• real-time rapportage over de beschikbaarheid van kernbeveiligingsfuncties.

De uitdaging ligt in het combineren van formele toetsing met operationele werkelijkheid. Alleen zo ontstaat een auditrapport dat meer zegt dan het bestaan van beleid.

Relatie tussen normen en maatwerk

Normen als ISO 27001 en NEN7510 bieden een gestructureerd kader voor risicobeheersing. Tegelijk dwingt Wbni 2 tot sectorspecifiek maatwerk. De combinatie van beide vergt een volwassen interpretatie: de norm als basis, aangevuld met sectorspecifieke inzichten, dynamische risicoanalyses en directe koppeling aan besluitvorming.

Organisaties die hierin slagen, hanteren de norm:

• niet als eindpunt, maar als vertrekpunt voor continue verbetering,
• niet als checklist, maar als structuur voor besluitvorming,
• niet als bewijs, maar als hulpmiddel voor strategische reflectie.

Zij gebruiken de norm om het gesprek te voeren met bestuurders, toezichthouders en ketenpartners — niet om formele dekking te verkrijgen, maar om gezamenlijke risico’s te begrijpen en beheersen.

4. De CISO in de frontlinie van Wbni 2

De uitbreiding van wettelijke verplichtingen op het gebied van digitale weerbaarheid heeft directe implicaties voor de manier waarop cybersecurity wordt aangestuurd binnen Nederlandse organisaties. Deze ontwikkelingen plaatsen één functie onvermijdelijk in het middelpunt: de Chief Information Security Officer. Niet vanwege de operationele verantwoordelijkheden, maar vanwege de noodzakelijke rol in het verbinden van bestuur, compliance en technische uitvoering.

Binnen het kader van Wbni 2 verschuift de positie van informatiebeveiliging van een adviserende rol naar een sturend mechanisme binnen de bestuursstructuur. Daardoor verandert ook de positionering van beveiligingsexpertise: niet als randvoorwaarde, maar als integraal onderdeel van risicobeheersing. De praktische gevolgen voor organisatiestructuur, besluitvorming en rapportagelijnen zijn groot — en worden in veel organisaties nog onvoldoende onderkend.

Afstemming op strategisch niveau

Informatiebeveiliging wordt te vaak gepositioneerd als technisch domein onder IT. Die inrichting biedt onvoldoende ruimte voor de strategische inbreng die wet- en regelgeving nu vereist. In de praktijk leidt dit tot informatieverlies tussen lagen: operationele risico’s bereiken het bestuur te laat of in versimpelde vorm. Tegelijk komt besluitvorming onvoldoende onderbouwd terug in de uitvoering.

Een structurele oplossing vraagt om directe aansluiting van de securityfunctie bij:

• strategisch risicomanagement,
• juridische besluitvorming over aansprakelijkheid en governance,
• beleidsvorming rond bedrijfscontinuïteit.

Daarmee ontstaat een formele positie die niet alleen toeziet op maatregelen, maar ook risicobesluiten kan beïnvloeden en implementaties kan toetsen op doelmatigheid.

Onafhankelijke positie binnen de governance

Een toenemend aantal organisaties werkt toe naar een onafhankelijke positionering van de beveiligingsfunctie buiten IT. Deze scheiding van taken is geen luxe, maar een noodzakelijke voorwaarde om belangenconflicten te vermijden. In omgevingen waar IT onder druk staat om te versnellen of kosten te reduceren, kan beveiliging niet tegelijkertijd bewaken én uitvoeren.

Een onafhankelijke structuur biedt ruimte voor:

• kritische toetsing van interne keuzes zonder conflicterende prioriteiten,
• eigen rapportagelijnen naar directie of raad van bestuur,
• escalatie buiten de operationele keten bij structurele tekortkomingen.

Zonder deze scheiding blijven veel risico’s onbesproken, uitgesteld of onderschat — met als gevolg verminderde effectiviteit van maatregelen en verhoogde bestuurlijke kwetsbaarheid.

Van signaal naar sturingsinformatie

Waar informatiebeveiliging traditioneel werkt met alerts, incidentregistraties en operationele dashboards, vraagt het nieuwe wettelijke kader om sturingsinformatie die aansluit bij bestuurlijke taal. Beveiliging moet vertaald worden naar impact op strategie, reputatie en continuïteit. Daarmee verschuift ook de wijze van rapporteren.

Effectieve informatievoorziening betekent:

• beveiligingsinformatie koppelen aan bedrijfsdoelen en compliance-eisen,
• gebruik van risicoscores, trends en effectiviteitsoverzichten in plaats van incidentenlijsten,
• afstemming met control- en auditfuncties om een eenduidig beeld te creëren.

De meerwaarde zit niet in volume, maar in relevantie. Bestuurders moeten kunnen besluiten op basis van informatie die betekenis heeft binnen hun verantwoordelijkheidsdomein.

Invloed op besluitvorming over leveranciers

Door de ketenverantwoordelijkheid binnen Wbni 2 neemt de complexiteit rond leverancierskeuze sterk toe. Beveiliging is niet langer alleen een contractuele afspraak, maar een toetsbare prestatieverplichting. Organisaties moeten onderbouwen waarom ze bepaalde partners wel of niet selecteren, hoe toezicht wordt ingericht en welke correctiemechanismen beschikbaar zijn.

Dit vraagt om directe betrokkenheid van de beveiligingsverantwoordelijke bij:

• leveranciersselectie en -audits,
• contractvorming met beveiligingsclausules,
• toetsing van prestaties tegen wettelijke normen.

Afwezigheid in dit proces leidt tot risico’s die later moeilijk te corrigeren zijn. Toezichthouders accepteren geen verwijzing naar derde partijen als verklaring voor tekortkomingen.

Impact op strategische IT-besluiten

Organisaties staan voor keuzes over infrastructuur, cloudstrategieën en uitbesteding die directe gevolgen hebben voor compliance onder Wbni 2. Beslissingen over migraties, consolidaties of digitaliseringsprojecten hebben daarom een beveiligingsdimensie die niet optioneel is. De rol van de securityfunctie moet verschuiven van toetsend achteraf naar sturend vooraf.

Dit impliceert structurele aanwezigheid bij:

• besluitvorming over architectuur en infrastructuur,
• investeringsrondes in IT-innovatie,
• prioritering van projecten met impact op dataverwerking of dienstverlening.

Wie hier ontbreekt, verliest invloed op keuzes die later grote gevolgen kunnen hebben voor wettelijke aansprakelijkheid en weerbaarheid.

Beveiliging als boardroom-thema

Onder de nieuwe verplichtingen kunnen bestuurders persoonlijk aansprakelijk worden gehouden voor nalatigheid in beveiligingsmaatregelen. Dat verandert de aard van het gesprek tussen beveiliging en bestuur. Niet alleen het niveau van risico verandert, maar ook de aard van het vertrouwen dat bestuurders moeten kunnen stellen in beveiligingsinformatie.

De rol van de beveiligingsverantwoordelijke verandert daarmee:

• van adviseur naar structurele gesprekspartner,
• van leverancier van data naar onderbouwer van besluiten,
• van risico-rapporteur naar risicoregisseur.

In veel organisaties vereist dit ook een investering in taal en presentatie: de boodschap moet zowel inhoudelijk kloppen als bestuurlijk relevant zijn. Alleen dan ontstaat draagvlak voor structurele investering in weerbaarheid.

Relatie met interne controle en externe toetsing

Met de toename van externe toezichtmechanismen — en de bredere scope van controle — groeit ook het belang van afstemming tussen interne beveiliging en compliancefuncties. De rol van beveiliging verschuift van uitvoerend naar coördinerend binnen audits, assessments en wettelijke verantwoording.

Concreet betekent dit:

• het voorbereiden van audittrajecten op basis van actuele beveiligingsdata,
• het faciliteren van externe toetsing zonder informatieverlies of misinterpretatie,
• het opzetten van audit trails die niet alleen bestaan uit documentatie, maar uit inzicht in effectiviteit.

De effectiviteit van toezicht staat of valt met de kwaliteit van samenwerking binnen de organisatie. De beveiligingsverantwoordelijke functioneert hierbij als spil tussen control, legal, IT en business.

5. Nationale wet, internationale risico’s

De impact van Wbni 2 reikt verder dan de Nederlandse landsgrenzen. Veel organisaties opereren in een digitaal ecosysteem waarin gegevens, processen en infrastructuur niet meer binnen één jurisdictie vallen. De wetgeving mag dan nationaal zijn, de risico’s ontstaan juist in grensoverschrijdende constructies. Leveranciers zijn internationaal, datacenters verspreid over meerdere continenten, en verantwoordelijkheden vaak verdeeld over juridische entiteiten in verschillende landen.

Voor Nederlandse organisaties met activiteiten in of buiten de EU ontstaat een spanningsveld. De verplichting om lokale continuïteit en controle aan te tonen botst met de praktijk van globale cloudarchitecturen, gedeelde netwerken en dataflows die moeilijk volledig te isoleren zijn. Dit vraagt om bewuste ontwerpkeuzes, niet alleen technisch, maar vooral juridisch en governance-gedreven.

Juridische frictie tussen regelgeving

Organisaties die persoonsgegevens opslaan in internationale cloudomgevingen krijgen te maken met uiteenlopende wetgevingen. Denk aan het spanningsveld tussen de Europese GDPR, de Amerikaanse CLOUD Act, en de vereisten van Wbni 2. Waar de één vraagt om soevereine controle, biedt de ander toegang tot data op basis van wettelijke verplichtingen in het herkomstland van de dienstverlener.

Deze juridische frictie zorgt voor fundamentele risico’s:

• het verlies van controle over toegang tot gevoelige gegevens,
• conflicten tussen nalevingsverplichtingen onder verschillende wetten,
• blootstelling aan sancties bij onvrijwillige datatoegang door buitenlandse autoriteiten.

Zonder structurele mitigatie ontstaat er een reëel compliancegat dat niet kan worden afgedekt met beleid of clausules. Er is sprake van structurele onverenigbaarheid tussen wetssystemen, waarbij naleving van de ene regel de schending van een andere kan betekenen.

Architectuur onder juridische voorwaarden

Om te kunnen voldoen aan Wbni 2 binnen een grensoverschrijdend IT-landschap is het noodzakelijk om architectuurbeslissingen te baseren op juridische uitgangspunten. Dat vraagt om het ontwerp van systemen waarin niet alleen functionaliteit, maar ook wetgeving is ingebed. Het klassieke principe van “design for availability” moet worden aangevuld met “design for jurisdiction”.

Belangrijke ontwerpkeuzes zijn onder andere:

• het gebruik van encryptie waarbij sleutels uitsluitend in Nederland of de EU worden beheerd,
• fysieke en logische datazonering met segmentatie per regio,
• keuze voor dienstverleners met een bewezen juridische afscherming tegen extraterritoriale toegang.

Deze keuzes maken systemen mogelijk iets minder flexibel of goedkoper, maar verhogen de bestuurlijke houdbaarheid en compliancezekerheid aanzienlijk.

Rol van juridische toetsing binnen IT-projecten

Waar technische keuzes traditioneel worden bepaald op basis van kosten, performance en beschikbaarheid, komt daar nu juridische toetsing als vierde pijler bij. De samenwerking tussen IT, juridische zaken en compliance moet structureel worden herzien. Een architectuur is pas verantwoord als zij voldoet aan de eisen van meerdere wetgevingen — niet alleen functioneel, maar aantoonbaar.

Effectieve samenwerking vereist:

• juridische beoordeling van contracten, datalokaties en eigendomsstructuren,
• analyse van jurisdictierisico’s in iedere fase van de levenscyclus van IT-diensten,
• toetsing van exitstrategieën bij wijziging in wetgeving of risico’s.

Deze aanpak voorkomt dat compliance een reactieve activiteit blijft. In plaats daarvan wordt naleving onderdeel van ontwerp, selectie en implementatie van technologie.

Internationale leveranciers als aandachtspunt

Veel Nederlandse organisaties maken gebruik van internationale leveranciers voor hosting, storage, softwareontwikkeling of applicatiebeheer. Vaak ontbreekt daarbij een compleet beeld van de geografische en juridische structuur van de dienstverlening. In het kader van Wbni 2 is dit niet langer toelaatbaar.

Er is behoefte aan:

• volledige transparantie over subverwerkers en datastromen,
• contractuele garanties over dataverwerking binnen de EU,
• escalatiemechanismen bij dreiging van buitenlandse inmenging.

Voor leveranciers die niet kunnen voldoen aan deze eisen, moeten alternatieven worden ontwikkeld — al dan niet via technische isolatie, lokale replicatie of overstap naar Europese aanbieders.

Effect op contractmanagement en sourcingbeleid

De nieuwe eisen dwingen organisaties hun sourcingbeleid fundamenteel te herzien. Contractmanagement kan niet langer uitsluitend gericht zijn op servicekwaliteit of prijs. Het juridisch beheersen van internationale afhankelijkheden wordt een volwaardig aspect van leveranciersselectie, evaluatie en lifecycle management.

Dat betekent onder meer:

• standaardisatie van juridische toetsing bij inkoop van IT-diensten,
• heronderhandeling van bestaande contracten op basis van nieuwe compliancevereisten,
• opname van juridische risicoprofielen in leveranciersbeoordeling.

Deze veranderingen vragen om nauwe samenwerking tussen inkoop, juridische zaken, security en het bestuur. Alleen dan ontstaat een sourcingbeleid dat niet alleen functioneel is, maar ook juridisch houdbaar onder meerdere kaders.

Dynamiek van geopolitieke risico’s

Naast juridische spanningen spelen ook geopolitieke ontwikkelingen een toenemende rol in digitale afhankelijkheden. Denk aan spanningen rondom datatoegang, sanctielijsten, overheidsbeleid op encryptie of exportcontrole van technologie. Deze factoren vergroten de onzekerheid rond internationale samenwerking en dataverkeer. Beveiliging en compliance moeten anticiperen op veranderende omstandigheden, zonder afhankelijk te zijn van stabiliteit in regelgeving of politieke verhoudingen.

Voorbereiding vraagt om:

• monitoring van geopolitieke signalen met impact op digitale infrastructuur,
• scenario’s voor versnelde migratie of afbouw van bepaalde afhankelijkheden,
• integratie van geopolitieke risico’s in het ISMS en risicodossiers.

De focus verschuift daarmee van incidentbestrijding naar strategische risicovooruitblik. Niet wat vandaag mag, is doorslaggevend, maar wat morgen kan veranderen.

De 10 belangrijkste takeaways

Verantwoordelijkheid voor digitale weerbaarheid stopt niet bij technische controle of formele compliance. In een omgeving waar juridische kaders, technologische afhankelijkheden en internationale spanningen elkaar versterken, ontstaat een nieuwe orde waarin de Information Security Officer structureel invloed moet uitoefenen op beleid, architectuur en besluitvorming. Niet omdat systemen kwetsbaar zijn, maar omdat digitale dreiging bestuurlijk is geworden.

1. Verantwoordelijkheid voor beveiliging is niet overdraagbaar
De kern van Wbni 2 is bestuurlijke verantwoordelijkheid, ongeacht hoeveel diensten zijn uitbesteed. Leidinggevenden blijven aanspreekbaar op de effectiviteit van maatregelen, ook als uitvoering bij derden ligt.

2. Hackingincidenten tonen het verschil tussen controle en controleverlies
Het moment waarop een aanval plaatsvindt, laat zien of beleid ook functioneert onder druk. Weerbaarheid blijkt niet uit procedures, maar uit het vermogen om te reageren zonder verwarring over rollen of bevoegdheden.

3. Information security is een bestuurlijk thema, geen IT-deelgebied
De tijd dat informatiebeveiliging louter operationeel werd benaderd is voorbij. De Information Security Officer speelt een sleutelrol in het vertalen van dreigingen naar strategisch beleid en verantwoording.

4. Compliance zonder effectiviteit is juridische schijnzekerheid
Een volledig dossier kan alsnog falen als maatregelen in de praktijk niet functioneren. Toezichthouders toetsen steeds meer op bewijs van werking, niet alleen op de aanwezigheid van documentatie.

5. Internationale IT-architecturen vereisen juridische inbedding
Waar data zich wereldwijd verplaatsen, moeten systemen ontworpen zijn voor juridische consistentie. Encryptie, segmentatie en localisatie zijn geen technische optimalisaties meer, maar juridische voorwaarden.

6. Leverancierskeuze is een risicobesluit, geen operationele afweging
De keuze voor een cloud- of IT-partner heeft directe impact op bestuurlijke aansprakelijkheid. Deze selectie moet juridisch, technisch en governance-gedreven zijn — met directe betrokkenheid van beveiliging.

7. Governancestructuren bepalen de waarde van informatie
Rapportages die aansluiten bij de taal van bestuur en risico zijn essentieel. Informatiebeveiliging moet leveren wat besluitvormers nodig hebben: context, relevantie en handelingsperspectief.

8. ISMS-structuren moeten extern gericht zijn
Een informatiebeveiligingsmanagementsysteem dat alleen interne processen beschrijft, mist aansluiting bij de praktijk. Risicobeheersing onder Wbni 2 betekent sturing over de hele keten, inclusief cloud en toeleveranciers.

9. Nationale wetgeving faalt zonder internationale strategie
Het beperken van risico’s binnen Nederland is onvoldoende als systemen opereren binnen wereldwijde ecosystemen. Jurisdictiebewuste keuzes zijn nodig om conflicterende wetgeving te kunnen pareren.

10. Cultuur is het echte beveiligingsniveau
Ongeacht systemen of beleidsdocumenten is het gedrag van mensen bepalend voor weerbaarheid. Zonder gedeeld eigenaarschap, vakvolwassenheid en bewustzijn blijft compliance oppervlakkig.