In deze blog bekijken we hoe MSP’s en IT-leiders kunnen voldoen aan de strenge eisen van NIS2, terwijl ze ook een beveiligingscultuur bevorderen door gebruikers bewust te maken van de voordelen van verbeterde beveiliging – zowel op persoonlijk als op bedrijfsniveau. Onze gastredacteur, TISO Heather Roache van de Commissioners of Irish Lights, vertelt hoe zij werkt aan de beveiliging van haar team.
Wat zegt de NIS2-richtlijn over training, en wat is de impact op MSP’s en IT-leiders?
In Ierland en in de hele EU zijn de NIS2-regels voor cyberbeveiliging van kracht. De Ierse nationale cybersecurityraad (NCSC) heeft onlangs een eerste ontwerp gepubliceerd van de vereisten voor risicobeheersmaatregelen.
Het NIS2-raamwerk is afgestemd op de Ierse Cyber Fundamentals-regelgeving, die overeenkomt met de normen die in België zijn ontwikkeld en ook in Nederland worden toegepast. De belangrijkste verschillen met het Britse Cyber Essentials liggen in de bredere focus op de mensen binnen de organisatie en de verantwoordelijkheid van de directie.
Organisaties hebben een goed werkend Information Security Management System (ISMS) nodig en, nog belangrijker, ze moeten dat beleid ook daadwerkelijk toepassen als onderdeel van de dagelijkse processen en procedures voor al hun medewerkers, met toezicht op directieniveau.
Wat is de specifieke trainingsverplichting?
De trainingsbehoeften vallen onder Risicobeheersmaatregel (RMM) 6.
- Zorg ervoor dat cybersecuritytraining (training/bewustwording) wordt aangeboden om gewenst gedrag bij personeel te bevorderen.
- Bied bewustwordingsprogramma’s aan voor alle medewerkers, ongeacht hun functie, inclusief het hogere management.
- Bied cybersecuritytraining aan voor specifieke informatiesystemen.
Waarom en hoe zou dit meer een cultuur moeten zijn dan een NIS2-afvinklijst?
Mensen staan centraal in deze regelgeving, omdat menselijk gedrag de oorzaak is van meer dan 80% van de datalekken. Deze lekken ontstaan vaak door phishing, dat inspeelt op persoonlijke kwetsbaarheden en wordt versterkt door het gebruik van persoonlijke gegevens. De impact treft niet alleen de persoon zelf (zoals persoonlijke financiën, data, apparaten en reputatie), maar ook de organisatie (bedrijfsfinanciën, gegevens, activa en reputatie).
Hoe meer cybersecurity een goede dagelijkse gewoonte wordt in zowel persoonlijk als zakelijk gedrag, hoe groter de kans op succes als extra verdedigingslaag voor een organisatie. Het begint bij de basis, zoals goed wachtwoordbeheer – het gebrek aan sterke wachtwoorden ging helaas vooraf aan het faillissement van dit 158 jaar oude bedrijf.
Een cultuur weerspiegelt ook een organisatorische aanpak van risico’s: het betekent voorbereid zijn, verantwoordelijkheid nemen en risico’s actief beheren. Het is dus niet voldoende om alleen een beleid op papier te hebben, mensen te trainen en te hopen op het beste. Phishing is grootschalig georganiseerd, en hoewel iedereen bewust en voorbereid moet zijn, is slechts één persoon nodig om een aanval te laten slagen. Organisaties moeten zich voorbereiden op worstcasescenario’s en deze stap voor stap terugwerken — van beleid en procedures tot aan beveiligingsgedrag en rapportage.
Praktijkvoorbeeld: Een IT-leider ontdekte laat op de avond dat hun systeem getroffen was door een ransomware-aanval. Ze konden het netwerk snel loskoppelen, het systeem afsluiten en de aanval stoppen. Vervolgens herstelden ze een back-up van de data naar het systeem. Maar die back-up bleek ook al besmet en beschadigd. Omdat ze eerst de back-up hadden teruggezet vóórdat ze hun verzekeraar informeerden, werd hun cyberverzekering ongeldig verklaard. Het gevolg: geen data, geen dekking. Cybercriminaliteit is dus altijd meer dan alleen een IT-probleem.
Geen enkel persoon is onaantastbaar
Verre van de beruchte ‘Nigeriaanse prins’-mails uit het verleden, maakt moderne phishing gebruik van sociale gegevens van het internet, AI-inzichten en overtuigende copywriting om doelwitten te misleiden.
Zo merkte een snelgroeiend biotechbedrijf op dat nieuwe medewerkers – kwetsbaar en gemotiveerd om een goede indruk te maken – vaak werden benaderd met een phishingmail die zogenaamd van de CEO kwam. Deze mails verschenen enkele dagen na de startdatum en maakten gebruik van LinkedIn-profielgegevens, zoals waar iemand werkt, welke functie ze hebben, wanneer ze zijn begonnen en wie hun leidinggevende is.
Iedereen moet de ruimte hebben om zich uit te spreken
De mogelijkheid voor mensen om phishing, foutieve klikken en vergissingen te melden is cruciaal. Zonder een cultuur van openheid waarin zorgen gedeeld mogen worden, worden risico’s niet gemeld. Dit is een belangrijke boodschap van Microsoft’s Chief Security Adviser Sarah Armstrong Smith in haar lezingen en boek over cybercriminaliteit.
Een opvallend voorbeeld komt van de Commissioners of Irish Lights, waar Heather Roache, Technology and Information Security Officer, een cultuurgerichte aanpak centraal heeft gesteld.
Protecting people works best when personalised to the people you’re working with, discussing with staff who they will call or talk to about clicking on a fake bank link, or if you think your password, your logons, or your social profiles have been compromised is as important when you’re at home, as when you’re at work.
De organisatie is zeer gastvrij en ondersteunend geweest ten aanzien van een sterke cyberbeveiligingscultuur, en moedigt medewerkers actief aan om alle incidenten te melden. Dit heeft ertoe geleid dat iedereen sterke cybergewoonten heeft aangenomen en elkaar onderling ondersteunt.
Beginnen zoals je als organisatie wilt doorgaan
Manieren waarop Heather een cyberbeveiligingscultuur heeft opgebouwd, beginnen vanaf het eerste moment – eenvoudig en persoonlijk, vanaf dag één.
- Beleidsregels en trainingen worden toegewezen op de eerste werkdag van een medewerker op kantoor, zodat zij in een niet-noodsituatie vertrouwd raken met de juiste locaties en procedures.
- De prioriteit binnen de training ligt bij phishing en social engineering, om medewerkers te beschermen zowel op het werk als online buiten werktijd. Daarnaast wordt aandacht besteed aan GDPR-rechten en -verplichtingen, zowel in hun rol binnen de organisatie als op persoonlijk niveau.
- Er wordt een persoonlijke betrokkenheid gecreëerd met de gebruiker door goede gewoonten te delen die iedereen zelf kan toepassen op zijn of haar eigen apparaten — zoals weten hoe je een weblink kunt controleren, bijvoorbeeld door op een mobiel apparaat lang te drukken om de link te bekijken voordat je erop klikt.
- Vermijd jargon en maak alles zo duidelijk mogelijk.
- Creëer momenten van toegankelijkheid – bijvoorbeeld informele lunches over cybercriminaliteit en wat je moet doen als je je telefoon verliest of je wachtwoorden niet hebt bijgewerkt. Of organiseer een vaste dag op kantoor waarop collega’s langs kunnen komen met vragen, of die nu gaan over beveiliging op het werk of in hun privéleven.
Een duidelijk proces dat gebruikers geïnformeerd en ondersteund houdt.
- Een duidelijke workflow voor mensen die mogelijk gehackt zijn – bijvoorbeeld: meld het incident, het team onderzoekt de situatie en verstrekt indien nodig een vervangende laptop of inloggegevens als jouw apparaat in quarantaine moet worden geplaatst, enzovoort.
- Melden wordt aangemoedigd en niemand wordt gestraft voor het maken van fouten.
- Het team neemt het apparaat van de gebruiker in en analyseert het op eventuele problemen.
- Waar nodig worden de gegevens beoordeeld en wordt forensische bevestiging afgewacht voordat het apparaat wordt teruggegeven. Dit geldt in gevallen van ernstige beveiligingsincidenten.
IT-leiders ondersteunen
Het is een veelvoorkomend gegeven in de IT- en cyberbeveiligingssector dat de rol stressvol is, vooral wanneer mensen het gevoel hebben dat zij als enige verantwoordelijk zijn voor een bepaald aspect of zichzelf zien als het enige zwakke punt in de keten.
- IT- en cyberbeveiligingsteams moeten in het algemeen ondersteund worden door meer transparantie in processen en risico’s. Het is onrealistisch om van hen te verwachten dat ze alles blokkeren of opvangen. Met het enorme aantal meldingen dat de meeste bedrijven en organisaties ontvangen, is dat simpelweg niet haalbaar.
- Zorgvuldige planning van de werkdruk, transparantie over risico’s en meldingen, en structurele ondersteuning zijn essentieel vanuit het hogere management in alle sectoren met een IT- of securityteam. Burn-out is een groot risico binnen de hele branche en een belangrijke reden waarom veel analisten de sector verlaten.
- Wanneer een organisatie cyberbeveiliging aanneemt als een collectief gedrag, verbetert dat het welzijn van de hele organisatie. Het versterkt niet alleen de reputatie, maar ook het vertrouwen van klanten, partners én de medewerkers die er werken.
Conclusie: Het opbouwen van een cyberbeveiligingscultuur voor NIS2
- Begin met een duidelijk en begrijpelijk Information Security Management System (ISMS) dat door de wirwar van jargon en afkortingen heen snijdt.
- Zorg ervoor dat het beleid wordt gedeeld en besproken met de leiders van de organisatie binnen het directieteam – waaronder verantwoordelijke directeuren, HR, Financiën en uiteraard IT.
- Maak cybertraining een vast onderdeel van het onboardingproces voor nieuwe medewerkers én van regelmatige bijscholing voor alle functieniveaus en ervaringsgraden.
- Wees open en ondersteunend als het gaat om de beveiliging en risico’s van de organisatie.
Het opbouwen van een beveiligingscultuur draait niet alleen om het afvinken van NIS2-vereisten — het gaat om het beschermen van mensen, data en de veerkracht van de organisatie.
Lupasafe helpt MSP’s en IT-leiders in Ierland en de hele EU bij het opbouwen van NIS2-klare organisaties en toeleveringsketens, met volledige rapportage over cyberrisico’s, phishing-tests, trainingen en dark web-scans.
De Commissioners of Irish Lights zijn een onafhankelijke organisatie en geen klant van Lupasafe.
