/
Wanneer NIS2 en DORA geen complianceprogramma meer zijn, maar een bestuurlijke hertekening van digitale weerbaarheid
De Europese regulatoire agenda rond cybersecurity is de voorbije jaren verschoven van normatieve richting naar afdwingbare bestuurlijke verantwoordelijkheid. De NIS2-richtlijn en de DORA-verordening passen in dezelfde logica: digitale verstoringen en cyberincidenten worden niet langer behandeld als uitzonderlijke IT events, maar als structurele bedrijfsrisico's die governance, architectuurkeuzes en operationele beheersing moeten doordringen.
Voor u als CISO of cybersecurity executive is de implicatie helder: security is niet langer primair een domein van technische optimalisatie. Het wordt een discipline van aantoonbare beheersing, waarbij de bewijslast, de besluitvorming en de aansprakelijkheid expliciet in de bestuurslaag worden verankerd.
De kernverschuiving: van capability naar accountability
NIS2: governance als verplichting, niet als best practice
NIS2 schrijft niet alleen maatregelen voor; het maakt governance expliciet. Artikel 20 verplicht dat de management bodies - het bestuursorgaan of het leidinggevend orgaan, afhankelijk van de nationale omzetting - cyberrisicomanagementmaatregelen goedkeuren, de implementatie toezien en aansprakelijk kunnen worden gehouden bij inbreuken. Bovendien geldt een expliciete trainingsverplichting voor leden van het managementorgaan.
Voor u betekent dit dat het niet volstaat dat uw organisatie securityteams heeft, tooling uitrolt of policies publiceert. De toezichthouder verwacht dat cyberrisico’s bestuurlijk worden behandeld als een afzonderlijke risicoklasse met:
• formele goedkeuring van de gekozen beheersmaatregelen;
• toezicht op uitvoering en effectiviteit;
• aantoonbaar begrip in de bestuurslaag via training;
• aantoonbare opvolging wanneer beheersing tekortschiet.
DORA: operational resilience als toezichtbaar systeem
DORA is fundamenteel anders dan NIS2 in juridische aard: het is een EU-verordening rechtstreeks toepasselijk voor de financiële sector, met een expliciete focus op ICT-risico en operationele digitale weerbaarheid. Het kader omvat onder andere ICT risk management, incident reporting, resilience testing en third party oversight. DORA is van toepassing sinds 17 januari 2025.
Waar NIS2 vaak wordt gelezen als cybersecurity compliance, dwingt DORA u om uw digitale weerbaarheid te behandelen als een end-to-end-controlesysteem: van governance tot detectie, van herstel tot leveranciersketen, met formele toezichtlogica.
Bestuurlijke verantwoordelijkheid wordt in veel organisaties historisch ingevuld als het aanstellen van een CISO en het vaststellen van een beleidskader. Toezichtrechtelijke verantwoordelijkheid vraagt echter iets anders: bestuurlijke traceerbaarheid.
U moet als organisatie kunnen aantonen:
Welke risico’s u bestuurlijk erkent: van dreigingslandschap naar bedrijfsblootstelling;
Welke beheersmaatregelen u hebt gekozen en waarom;
Welk restrisico u accepteert en op welk niveau;
Hoe u controleert dat beheersmaatregelen effectief werken;
Hoe u bijstuurt bij afwijkingen binnen de governancecyclus.
Die traceerbaarheid is geen documentatieproject. Ze vereist een besturingsmodel waarin cyberrisico's dezelfde discipline krijgen als financiële, juridische of kredietrisico's, met duidelijke verantwoordelijken, risicobereidheid, kernrisico-indicatoren (KRI’s) en prestatie-indicatoren (KPI’s), escalatiepaden en formele besluitvormingsmomenten.
De impliciete eis: controleerbaarheid op schaal
NIS2 en DORA impliceren dat uw cyberbeheersing schaalbaar moet zijn over businessunits, productlijnen, cloud- en applicatielandschappen, leveranciersketens en transnationale bedrijfsmodellen. Regulering veronderstelt niet dat u individuele beheersmaatregelen kunt aantonen in één afgebakend domein, maar dat u consistentie kunt bewijzen over de volledige organisatorische en technologische breedte van uw onderneming.
Daarom verschuift de aandacht van losse initiatieven naar systemische inrichting. Een geïsoleerde implementatie van bijvoorbeeld SIEM-tooling is onvoldoende wanneer architectuurprincipes, leveringscontroles, identity governance, logging- en monitoringbaselines en leveranciersgovernance niet coherent op elkaar aansluiten. Controleerbaarheid op schaal betekent dat uw beveiligingsmaatregelen reproduceerbaar, meetbaar en bestuurlijk navolgbaar zijn, ongeacht waar in de organisatie zij worden toegepast.
NIS2 in de praktijk: compliance is een bijproduct van volwassen besturing
NIS2 positioneert cybersecurity risk management als een set maatregelen die door organisaties moet worden geïmplementeerd en beheerd. In de praktijk wordt compliance echter vaak benaderd als einddoel, terwijl het in werkelijkheid het resultaat is van volwassen besturing. Wanneer governance, architectuur en operationele beheersing coherent zijn ingericht, volgt compliance als logisch gevolg.
De typische valkuil: beleid zonder bewijs
In een volwassen organisatie is beleid niet het eindpunt, maar het begin van bewijsvoering. Regulatoire druk maakt het onderscheid zichtbaar tussen papieren naleving en aantoonbare beheersing. Het eerste bestaat uit beleidsdocumenten, procedures en awarenessprogramma’s. Het tweede vereist meetbare beheersmaatregelen, logging, rapportering, testresultaten en structurele verbeterlussen.
De governanceartikelen binnen NIS2 sturen impliciet aan op dit tweede niveau. Bestuurders moeten kunnen toezien en daarvoor is bestuurbare managementinformatie noodzakelijk. Zonder consistente, herleidbare en onderbouwde informatie ontstaat er een kloof tussen formele verantwoordelijkheid en feitelijke controle.
De strategische vraag voor u als CISO
De kernvraag wordt niet of u compliant bent. De kernvraag wordt of u consistent kunt aantonen dat uw cyberrisico's bestuurlijk onder controle staan.
Dat vraagt een andere discipline dan klassiek security program management. U heeft een managementinformatielaag nodig die de technische realiteit vertaalt naar bedrijfsimpact, dekkingsgraad van beheersmaatregelen, effectiviteit en herstelcapaciteit. Pas wanneer blootstelling, effectiviteit van beheersmaatregelen en weerbaarheid in één samenhangend kader worden gepresenteerd, kan het bestuur gefundeerde beslissingen nemen over risicoacceptatie.
DORA: incidentrapportage en toezichtlogica versnellen de volwassenheid of de pijn
DORA formaliseert verwachtingen die toezichthouders al jaren impliciet hanteerden. Door incident reporting, testing en third party oversight expliciet te structureren, wordt operationele digitale weerbaarheid een toezichtbaar systeem. Dit versnelt de organisatorische volwassenheid wanneer governance en uitvoering op elkaar zijn afgestemd, maar legt genadeloos bloot waar structuren onvoldoende robuust zijn.
Incident reporting als stresstest voor uw operating model
Incident reporting is geen administratieve verplichting maar een stresstest van uw operating model. Wanneer zich een ernstig incident voordoet, wordt zichtbaar hoe classificatie, detectie, triage, crisis governance, forensische analyse, communicatie en herstelbesluitvorming in de praktijk functioneren.
Als u tijdens een incident geen consistente tijdslijn, onderbouwde impactanalyse en heldere beslissingsdocumentatie kunt produceren, wijst dat niet alleen op een operationeel tekort maar op een governancetekort. Rapportage dwingt u om uw interne waarheidsmachine structureel op orde te hebben.
Resilience testing als beheersdiscipline
DORA benadrukt resilience testing en third party risk. Testing is echter slechts waardevol wanneer het rechtstreeks verbonden is met architectuurkeuzes, herstelstrategieën en concrete verbeteracties.
Wanneer testing louter wordt uitgevoerd als periodieke oefening zonder doorwerking naar design en besluitvorming, ontstaat ritueel gedrag. Wanneer de resultaten systematisch worden vertaald naar aanpassingen in controls, architectuur en governance, wordt testing een bestuurlijke feedbackloop die de weerbaarheid structureel versterkt.
Third party risk: van contractbeheer naar ketenverantwoordelijkheid
Zowel NIS2 als DORA versterken de focus op afhankelijkheden zoals cloudproviders, managed services, softwareleveranciers, integrators en andere kritieke IT-dienstverleners.
Historisch werd third party risk vaak georganiseerd via contractuele clausules, periodieke assessments en een generiek risicoregister. Regulatoire druk vereist echter een ketenperspectief waarin u precies weet welke leveranciers kritiek zijn voor welke diensten, welke beheersmaatregelen u oplegt, hoe u naleving verifieert, welke exitstrategieën bestaan en hoe incidenten zich door de keten kunnen verspreiden.
Het gaat niet langer om leveranciersbeheer in administratieve zin, maar om ketenverantwoordelijkheid in bestuurlijke zin.
Regulatoire druk verandert uw agenda fundamenteel. De nadruk verschuift van programma's leveren naar bestuurlijke beheersing organiseren.
Van control ownership naar control system design
Niet elke beheersmaatregel hoeft binnen de securityfunctie te worden ondergebracht. Wat wel onder uw verantwoordelijkheid valt, is het ontwerp van een controlesysteem dat consistent, meetbaar, auditeerbaar en bestuurbaar is.
Dit impliceert dat beveiligingsontwerpprincipes worden verankerd in architectuur- en leveringsmodellen, en dat governance zo wordt ingericht dat producteigenaren, platformteams en risk- en compliancefuncties binnen één samenhangend kader opereren.
Van technisch risico naar bedrijfsrisico met expliciete besluitvorming
Bestuurlijke verantwoordelijkheid werkt alleen wanneer u cyberrisico’s vertaalt naar bedrijfsrisico’s. Dat betekent dat u scenario’s, impactanalyses, afwegingen en restrisico in besluitvormingsvorm aanlevert.
Zolang cyberrisico’s worden gepresenteerd als technische kwetsbaarheden zonder context van bedrijfsimpact en risicoacceptatie, kan het bestuur zijn verantwoordelijkheid niet effectief opnemen.
Van incidentrespons naar crisisgovernance
Incidentrespons is een operationele capaciteit. Crisisgovernance is een bestuursdiscipline. Onder NIS2 en DORA moet u onder druk kunnen aantonen wie beslist, op basis van welke informatie en met welke prioriteiten.
Drie vragen die u als executive scherp moet krijgen
Wanneer u regulering niet leest als complianceverplichting maar als aanleiding tot structurele volwassenheid, blijven drie kernvragen over:
Waar ligt voor uw organisatie de bestuurlijke grens van acceptabel digitaal risico?
Welke digitale diensten zijn toezichtkritisch en wat is het minimale beheersingsniveau dat u daarvoor hanteert?
Welke bewijsvoering kunt u onder druk leveren aan audit, toezichthouder of bestuur om aan te tonen dat u beheerst?
Deze vragen zijn concreet genoeg om besluitvorming te initiëren, maar fundamenteel genoeg om niet te verzanden in tooling.
Tot slot: regulering als versnelde volwassenheid
NIS2 en DORA zijn geen extra werk bovenop security. Ze codificeren een realiteit die reeds bestond: digitale afhankelijkheden zijn bedrijfskritisch en cyberincidenten zijn voorspelbare verstoringen.
Wanneer u regulering niet als checklist benadert, maar als aanleiding om uw digitale weerbaarheid te herontwerpen als een bestuurbaar systeem met aantoonbare beheersing in lijn met bestuurlijke verantwoordelijkheid, verschuift het gesprek naar het niveau waar het thuishoort: het bestuurlijke niveau.
Andere interessante onderwerpen
Cloud- en platformengineering
De beheersbaarheidscrisis in complexe cloudomgevingen
Lezen
Cybersecurity en digitaal risicomanagement
Identity & Access Management: het besturingssysteem van digitale controle
Lezen
IT-architectuur, governance en digitale transformatie
Waarom digitale transformatie zonder architectuurregie leidt tot versnippering, risico’s en waardeverlies
Lezen
Data, analytics en artificiële intelligentie
Waarom data- en AI-initiatieven zelden structurele bedrijfsimpact realiseren
Lezen
Applicatie-engineering en software-delivery
Wanneer applicatiearchitectuur strategische wendbaarheid begint te ondermijnen
Lezen
Enterpriseplatformen en kernsystemen
De platformverharding in enterprise-organisaties: waarom kernsystemen innovatie blokkeren in plaats van versnellen
Lezen
