Spring naar content

Van complexe regels naar praktische ketenweerbaarheid

Terwijl cyberaanvallen slimmer worden, houdt Sandeep Gangaram Panday het expres simpel: geen buzzwords, maar een werkbaar schild tegen DORA- en NIS2-risico’s. Hoe maak je van regels échte digitale weerbaarheid, ook in de keten? Redacteur Jan Meijroos voelde Sandeep aan de tand.

Wie aan Sandeep Gangaram Panday op een feestje vraagt wat hij in ’t dagelijks leven doet, krijgt geen stortvloed aan jargon. “Ik zeg meestal: ik help organisaties om complexe regels begrijpelijk te maken, en zorg dat ze beter tegen een stootje kunnen.”

Vanuit zijn bedrijf Brightlyn, een Nederlands securitybedrijf voor audits, securityadvies en vooral implementatie van DORA en NIS2, én als voorzitter van de DORA Taskforce van NOREA vertaalt hij abstracte eisen naar concrete stappen voor bestuurders en teams. “We maken dingen simpel,” zegt hij. “Eerst begrijpen wat er echt moet gebeuren, dán bepalen hoe je dat in jouw situatie slim aanpakt.”

Van DORA en NIS2 naar praktische weerbaarheid

Die volgorde is belangrijk, want de context verschilt per bedrijf. Een grote bank heeft andere risico’s dan een klein verzekeringskantoor of een logistiek dienstverlener. Wat gebeurt er als je een dag uitvalt? Of drie? Vanuit die realiteit redeneert Sandeep terug: welke eisen horen daarbij, hoe richt je de architectuur in, en hoe ontwerp je de IT zo dat kritieke functies blijven draaien? De kern van zijn boodschap: begin bij weerbaarheid, niet bij het afvinken van lijsten.

Veel van Brightlyn’s werk speelt zich af in de financiële sector, waar DORA het gesprek bepaalt. Grote banken zijn al bezig, fintechs zoeken praktische manieren om te starten. Tegelijk groeit de druk op andere sectoren onder NIS2: zorg, energie, water, logistiek en maakindustrie. Daar lopen de vragen vaak via ketenpartners: een opdrachtgever stelt hogere eisen, een auditor stelt kritische vragen, een verzekeraar vraagt om aantoonbaar beleid. Zo schuift de aandacht van de grootste spelers steeds verder de keten in, tot het mkb er niet meer omheen kan. Sandeep probeert die reflex te doorbreken door de wet naar het werk te trekken.

Een publiek NIS2-framework als startpunt

Om dat mogelijk te maken werkte hij, samen met collega’s en de Auditdienst Rijk, aan een publiek Cbw (NIS2) Control framework dat NIS2 terugbrengt tot de essentie. Geen dichtgetimmerd handboek, maar een werkblad met een beperkte set kerncontroles die er echt toe doen. Het biedt een startpunt: bestuurders zien in één oogopslag waar de gaten zitten, IT-teams welke basis eerst op orde moet. Omdat niet elk bedrijf een CISO of groot budget heeft, is het materiaal vrij beschikbaar. Beginnen is belangrijker dan wachten op het perfecte document.

Een belangrijk idee achter dit werkblad is “mapping”: het verbinden van wat je al hebt aan nieuwe eisen. Veel organisaties kennen ISO 27001, doen audits en hebben beleid voor back-ups of wachtwoorden. Dat is geen verloren moeite. Door eisen uit ISO, DORA en NIS2 naast elkaar te leggen, ontstaat overzicht: welke maatregelen zijn al gedekt, waar is verdieping nodig en waar voorkom je dubbel werk? Zo wordt compliance geen extra berg, maar een lens op bestaande verbeteringen.

Toch gaat het niet alleen om voldoen. Het draait om verantwoordelijkheid nemen voor processen die niet kúnnen uitvallen. Iedereen kent voorbeelden van ziekenhuizen zonder dossiers, logistieke knooppunten die stilvallen of betaalstoringen die winkels lamleggen. Incidenten zúllen gebeuren, de vraag is wanneer en hoe erg. Wachten op alle nationale uitwerkingsregels kost kostbare tijd. Het fundament is al duidelijk: zorg dat je basis staat en pas details later aan.

Ketenverantwoordelijkheid onder NIS2: van contract tot praktijk

Die basis begint vaak buiten je eigen muren. NIS2 legt nadruk op ketenverantwoordelijkheid: je moet eisen niet alleen intern regelen, maar ook doorgeven aan leveranciers. In de praktijk begint dat bij contracten. Maak afspraken over beveiliging, meldplichten en auditrechten. Met je handtekening zeg je: wij gaan dit doen, en we willen kunnen controleren dat jij het óók doet. Daarna volgt het echte werk: leveren. Een leverancier die multi-factorauthenticatie niet ondersteunt, geen patchbeleid heeft of geen segmentatie toepast, zal moeten investeren. Het framework helpt dit gesprek concreet maken, met voorbeelden die zowel bij inkoop als juristen landen.

Voor mkb-bedrijven is dat extra relevant. Veel mkb’ers besteden hun IT uit en vertrouwen erop dat de leverancier het goed regelt. Dan blijkt bij een incident dat een standaardcontract geen afspraken bevat over hersteltijden, dat er geen recente back-up buiten de deur staat of dat niemand heeft geoefend met herstel. Zonder back-ups en configuratiedocumentatie groeit een klein incident uit tot een bedrijfscrisis. “Er zijn veel bedrijven die daarna gewoon niet meer bestaan,” zegt Sandeep. “Als je IT weg is, kun je vaak niet meer terug.” Weerbaarheid is dus geen luxe, maar een voorwaarde om te blijven bestaan, juist in de keten.

Kan het NIS2 Quality Mark het mkb helpen?

Voor het mkb is er een speciaal NIS2 Quality Mark in het leven geroepen. Het betreft een praktische en schaalbare norm die drie niveaus kent (QM10, QM20 en QM30). Zo kunnen bedrijven het juiste niveau van beveiligingsmaatregelen implementeren, afgestemd op het risico. Het keurmerk vertaalt zo de abstracte norm van de NIS2 naar een toetsingskader. Het maakt afspraken contracteerbaar en controleerbaar en geeft bestuurders iets concreets om op te sturen. Hoe kijkt Sandeep ernaar? “In principe kun je ons framework mappen op elk cybersecurity-kader,” zegt hij. “Er is inhoudelijke overlap, want we hebben het over dezelfde principes.” Zo ontstaat een lijn van wetstekst naar framework, van framework naar contractclausules en auditrechten, en uiteindelijk naar aantoonbare verbeteringen in MFA, patching, segmentatie en incidentmelding.

Van checklist naar dashboard: sturen op digitale weerbaarheid

Hoe ziet dat er concreet uit op de werkvloer? Breng je kritieke functies in kaart: wat móet blijven draaien: orderverwerking, productieplanning, patiëntenzorg, betalingen. Koppel daar de basismaatregelen aan. Zijn identiteiten goed geregeld, staat multi-factorauthenticatie overal aan en heeft niemand onnodige admin-rechten? Bestaan er back-ups die je ook echt kan terugzetten? Heb je zicht op kwetsbaarheden en een ritme om te patchen? Zijn kantoor- en productienetwerk gescheiden, zodat een aanval niet overal tegelijk bij kan? Draait logging en monitoring, zodat je op tijd ziet dat er iets misgaat? En is er een crisisplan dat ook geoefend is?

Wie die vragen stap voor stap beantwoordt, merkt dat veel maatregelen gewoon logisch zijn: digitale hygiëne en voorspelbare routines. Waar zitten de grootste risico’s, welke actie levert de meeste risicoreductie per euro, welke leverancier is een bottleneck? Met zulke vragen kan een directie sturen zonder IT-expert te zijn.

“Onderweg kom je hardnekkige misverstanden tegen”, merkt Sandeep op. “We zijn ISO-gecertificeerd, dus we zijn klaar” is er één. ISO helpt, maar dekt niet alles; NIS2 vraagt extra diepte en aantoonbaarheid, zeker in de keten. Een ander misverstand: “Onze IT is uitbesteed, dus de leverancier regelt het.” Uitbesteden is geen uitbesteden van verantwoordelijkheid: je blijft zelf verantwoordelijk voor keuzes, controle en basismaatregelen. En nog een: “We hebben geen incidenten, dus het valt mee.” Vaak ontbreekt simpelweg detectie. Door te meten en te oefenen maak je onzichtbare risico’s zichtbaar.

Soms vragen ondernemers: “Wanneer is het genoeg?” Het eerlijke antwoord volgens Sandeep: “genoeg bestaat niet als eindpunt. Er bestaat wel “genoeg voor vandaag”, passend bij je risico’s en draagkracht. Dat is waar het framework bij kan helpen. Het geeft een startlijn en een route, maar laat ruimte om keuzes te maken. De digitale wereld verandert sneller dan documenten. Wie wacht op perfecte duidelijkheid, komt te laat. Wie een werkbare basis neerzet en leert onderweg, bouwt aan echte veerkracht, in het eigen huis én in de hele keten.”

Meer weten over cyberweerbaar worden en de rol van grote organisaties, toeleveranciers en mkb-bedrijven in de keten? Bezoek onze FAQ hier.

 

Gerelateerde artikelen

De naam NIS2 Quality Mark wordt gewijzigd naar NIS2 Supply Chain

Microsoft integreert Security Copilot in Microsoft 365 Enterprise

Duitse NIS2-wetgeving versnelt bij Nederlandse foodbedrijven de NIS2-certificering

ENISA NIS Investments-rapport 2025: Investeringen, uitdagingen en risico’s in de keten

Allinco en Samen Digitaal Veilig bundelen krachten voor toekomstbestendige cybersecurity
Interesse in dit onderwerp?

We houden je op de hoogte!

Terug naar overzicht