Van vinkjes naar visie: de sprong van compliance naar governance

Uit onderzoek van KPMG blijkt dat compliance officers rekenen op verdere regeldruk, waarbij cybersecurity en gegevensbescherming bovenaan de agenda staan. De stapeling van eisen dwingt bestuurders en CISO’s tot scherper risicomanagement, betere documentatie en strakker toezicht. Voldoen aan regels is geen administratieve bijzaak meer, maar een strategische verantwoordelijkheid. In deze blog schets ik de problematiek en de samenhang tussen de belangrijkste kaders, waarbij ik voor de overzichtelijkheid in deze blog ISO 27001 als basis neem.

Samenhang tussen de belangrijkste kaders

• NIS2 / Cyberbeveiligingswet: De NIS2-richtlijn breidt het aantal onderliggende organisaties fors uit (naar schatting tien keer zoveel) ten opzichte van de Wbni (NIS1) en stelt eisen op het gebied van risicomanagement, keten-/leveranciersbeheer en omgang met incidenten. In Nederland wordt de omzet-/medewerkersdrempel daarbij leidend. Ook organisaties die zelf niet onder NIS2 vallen, kunnen indirect te maken krijgen met strengere eisen via klanten of leveranciers. De verplichtingen worden concreter, aantoonbaarheid wordt cruciaal en bestuurders dragen directe verantwoordelijkheid.
  • Wet weerbaarheid kritieke entiteiten (Wwke): De NIS2richtlijn vormt samen met de Wet weerbaarheid kritieke entiteiten een nieuw Nederlands duaal raamwerk voor digitale en fysieke weerbaarheid. NIS2 (via de Cyberbeveiligingswet) richt zich op cybersecurity en systeemweerbaarheid, terwijl de Wwke (via de CERrichtlijn) fysieke en operationele continuïteit beschermt. Beide wetten verplichten organisaties tot risicobeheer, passende maatregelen en incidentmeldingen, en overlappen in sectoren zoals energie, zorg en transport.
• ISO 27001: ISO 27001 vormt de internationale norm voor informatiebeveiliging. Met duidelijke processen voor risicobeoordeling, beleidsvorming, incidentafhandeling en continue verbetering biedt de norm een stabiele basis voor de eisen vanuit NIS2, DORA en de Wwke. Het fungeert daarmee als overkoepelend raamwerk voor consistente uitvoering. Een organisatie die ISO 27001-gecertificeerd is, heeft een goede basis voor andere complianceverplichtingen.
• NEN 7510 is speciaal ontwikkeld voor de Nederlandse zorgsector en bouwt voort op ISO 27001, maar voegt zorgspecifieke eisen toe rond beschikbaarheid, integriteit en vertrouwelijkheid van medische gegevens. Zo verplicht NEN 7510 zorginstellingen tot aanvullende maatregelen zoals strengere logging, toegangscontrole en continuïteitsprocessen die aansluiten op medische risico’s.
• IEC 62443 is specifiek ontworpen voor de beveiliging van industriële automatisering en OTomgevingen. IEC 62443 gaat, ten opzichte van ISO 27001, dieper in op segmentatie, zone/conduitmodellen, beveiligingsniveaus en lifecyclebescherming van industriële systemen. In de praktijk vullen ze elkaar aan: ISO 27001 biedt het governance en proceskader, terwijl IEC 62443 de technischoperationele verdieping biedt die nodig is voor de beveiliging van productieomgevingen, IoT en kritieke infrastructuur.
• DORA: De Europese verordening voor financiële instellingen stelt eisen aan digitale weerbaarheid, IT-risicomanagement, incidentrapportage en ketenpartners. De focus ligt op effectiviteit: maatregelen moeten werken en dit moet periodiek worden aangetoond. Ook voor kleinere dienstverleners in de financiële keten kunnen implicaties gelden.

Hoe CISO’s en bestuurders grip krijgen

Wanneer we naar deze normen en richtlijnen kijken wordt al snel duidelijk: Effectieve governance vraagt om integratie in plaats van nog meer losse lijstjes. Het begint met een integrale risico- en gap-analyse: onder welke wetgeving valt de organisatie, welke maatregelen zijn al aanwezig en hoe sluiten die aan op een bestaand kader als bijvoorbeeld ISO 27001? Zo worden hiaten zichtbaar en wordt dubbel werk voorkomen.

Bestuurlijk toezicht moet daarbij vroeg en duidelijk worden verankerd. Dit betekent een heldere rapportagestructuur, een formele plek voor cyberrisico’s in besluitvorming en aantoonbare betrokkenheid van bestuurders bij beleidskeuzes en risicoacceptatie.

Ketenrisico’s krijgen in alle kaders meer aandacht. Leveranciersbeheer moet daarom verplichtend en systematisch worden ingericht: duidelijke criteria, contractvoorwaarden, monitoring en periodieke beoordelingen. Beveiliging stopt niet bij de voordeur van de organisatie.

Daarnaast zijn formele meld- en rapportageprocessen onmisbaar. Onder NIS2 en DORA gelden strikte termijnen en inhoudelijke eisen voor incidentmeldingen. Duidelijke escalatiepaden en communicatieprotocollen zijn noodzakelijk om tijdig en correct te kunnen handelen.

Training en bewustwording dragen er vervolgens aan bij dat processen worden nageleefd en dat medewerkers en bestuurders hun rol kennen.

Harmonisatie, cultuur en continu leren

De overlap tussen verschillende kaders is prettig, maar kan ook voor onduidelijkheid zorgen. ISO 27001, NIS2 en NEN 7510 vragen vaak naar vergelijkbare thema’s maar in andere bewoordingen. Governance moet zorgen voor harmonisatie: één geïntegreerde set maatregelen die meerdere kaders dekt. Dit vermindert auditdruk en voorkomt onnodige administratieve lasten.

Ook voor governance geldt: plan, do, check, act en verbeter het plan waar nodig. Dat betekent dat binnen een moderne governancestructuur ook regelmatig oefenen hoort.Simulaties, red teaming en evaluaties laten zien waar processen niet goed werken en waar het herstelvermogen moet worden versterkt. Leren en verbeteren worden zo een vast onderdeel van de organisatie.

Conclusie

De stapeling van NIS2 (de Cyberbeveiligingswet), ISO 27001 en DORA vraagt om een geïntegreerde aanpak van governance en compliance. Organisaties hebben centrale sturing, harmonisatie en aantoonbare uitvoering nodig. Door risicobeheer te centraliseren, bestuurstoezicht te verankeren, processen te standaardiseren en ketenrisico’s actief te beheersen ontstaat een stabiel fundament. De regeldruk zal blijven toenemen, maar metduidelijke verantwoordelijkheden en een lerende organisatie blijft de organisatie in control en wordt cybersecurity structureel geborgd.

Door: Erik de Jong (foto), Chief Research Officer bij Tesorion