Dat is begrijpelijk. NIS2 vraagt ook om aantoonbaarheid. Om beleid, rollen en processen die niet afhankelijk zijn van toeval. Toch is dat slechts één kant van de opgave. Naast techniek en formele structuren gaat NIS2 óók over wat er gebeurt in de praktijk, op het moment dat mensen moeten handelen.
Terwijl die gesprekken worden gevoerd, speelt zich het echte werk ergens anders af. Niet in beleidsdocumenten of risicoregisters, maar midden in de organisatie. Daar waar mensen hun werk doen, schakelen tussen taken en beslissingen nemen zonder dat iemand meekijkt.
Daar wordt beslist of NIS2 meer is dan een dossier.
Het moment dat nergens staat beschreven
Een incident kondigt zich zelden formeel aan. Het begint met iets kleins. Een e-mail die klopt. Een verzoek dat logisch voelt. Een bijlage die sneller te openen is dan te controleren. In dat moment is er geen tijd voor beleid, alleen voor een inschatting.
Stel je dit voor: Een medewerker ontvangt een bericht van een bekende leverancier. Er zou een fout zitten in een document dat gisteren is verstuurd. Of hij “even wil meekijken”. Alles klopt: de naam, de toon, de timing. Er is een fractie van twijfel, maar ook werkdruk. En de vraag is niet of dit mag, maar of hier nu tijd aan besteed moet worden. Dus wordt er geklikt.
Niet omdat iemand onzorgvuldig is. Niet omdat het risico onbekend is. Maar omdat deze handeling past binnen hoe het werk is ingericht. Dat moment staat nergens uitgeschreven. Maar juist daar moet alles samenkomen wat NIS2 beoogt.
Waar NIS2 echt over gaat
NIS2 is geen gedragskwestie óf techniek óf governance, het is de samenhang die telt. Het gaat erom of beleid voelbaar is op de werkvloer, of processen mensen ondersteunen wanneer het spannend wordt, en of incident response begint bij een document of bij iemand die weet waar hij terechtkan. In veel organisaties is dat laatste nog te vaag. Mensen weten dat melden belangrijk is, maar niet altijd hoe, waar of wanneer het echt nodig is. En dus lossen ze het eerst zelf op. Niet uit gemakzucht, maar omdat het zo werkt.
Security awareness krijgt hier vaak de schuld. Alsof mensen beter hadden moeten opletten. Maar het probleem zit zelden in aandacht. Het zit in het ontwerp. In hoe eenvoudig of ingewikkeld het is om het juiste te doen op het moment dat het telt.
Wanneer security awareness werkt
Het verschil wordt zichtbaar bij organisaties die één duidelijke keuze hebben gemaakt: twijfel is geen persoonlijke afweging meer, maar het startpunt van een vast proces. Niemand hoeft te bepalen of iets “ernstig genoeg” is. Twijfel is voldoende, omdat melden eenvoudig is en opvolging vastligt.
Niet omdat techniek alles oplost, maar omdat afspraken en hulpmiddelen het gedrag ondersteunen dat op dat moment nodig is. Daar wordt duidelijk of afspraken ook standhouden in de praktijk. En of verantwoordelijkheid pas begint na een incident of al bij twijfel.
Voorbereiden betekent anders kijken
Als wordt gezegd dat medewerkers voorbereid moeten worden op NIS2, lijkt dat te gaan over kennis en het begrijpen van wat de wet vraagt. In werkelijkheid gaat het over hoe werk is ingericht op momenten waarop niemand het voorschrijft. Voorbereiding zit niet in meer uitleg, maar in minder frictie. In regels die standhouden als het druk is, ook als niemand meekijkt.
Wie morgen wil beginnen met NIS2, hoeft niet eerst een nieuw beleidsdocument te schrijven. Het begint met één gesprek, met één proces, en met één simpele vraag aan de mensen die het werk doen: wat doe je hier als je twijfelt? Niet wat zou moeten. Niet wat ergens staat. Maar wat je echt doet.
Als daar geen helder antwoord op komt, is dat geen probleem van gedrag. Dan is het een signaal dat het werk anders ontworpen moet worden. En precies daar raakt NIS2 de kern.
Waar voorbereiding werkelijkheid wordt
Bereid je medewerkers alvast voor op NIS2. Niet door ze te trainen op regels, maar door het werk zo in te richten dat veilig handelen vanzelfsprekend wordt. Want NIS2 draait uiteindelijk niet alleen om aantonen dat je iets hebt geregeld. Het draait om dat ene moment van twijfel en of je organisatie dán paraat staat.
Dit ontstaat niet vanzelf. Het vraagt aandacht, herhaling en iemand die helpt kijken waar het wringt.
Wil je hier dieper op in? Op 5 maart van 10.00 tot 10.30 geven we een webinar over NIS2 waarin we de belangrijkste aandachtspunten helder op een rij zetten en praktische handvatten delen. Schrijf je hier in
~ Geschreven door Pieter Remers van BeveiligMij