CISO herboren oefening — NIS2 & DORA anno 2025
Hij heet Jan Van Oweeh, Chief Information Security Officer met een verleden vol brandjes-blussen. Elke maandag begon met een déjà-vu: vergeten patches, schaduw-IT die als paddenstoelen uit de grond schoot, incident-post-mortems in een technische taal die niemand begreep. Marc kende de tien ‘Don’ts’ uit zijn hoofd—en leefde ze: log-hoarding zonder doel, single-factor VPN “voor later”, board-rapporten vol bits in plaats van business. Hij rende altijd achter de feiten aan en werd in de wandelgangen spottend “Mister Retro-Sec” genoemd.
Tot die ene donderdagochtend in juni 2025. Een audit-rapport legde zwart op wit zijn zwakke plekken naast NIS2- en DORA-eisen. Marc keek naar het stapeltje papieren, voelde het koude zweet en besloot dat ‘overleven’ niet langer genoeg was. Hij gooide het stuurrad om: een digitale transformatie waarin automatisering rapportage versnelt maar beslissingen menselijk blijven, processen worden vereenvoudigd tot één pagina, en elke nieuwe app secure-by-design is met sterke authenticatie. Binnen een jaar veranderde zijn reputatie—van reactieve brandweerman naar architect van beheersing. Compliance werd geen wurggreep meer, maar een vanzelfsprekende uitkomst van gestroomlijnde digitale processen.
- NIS2 — De meeste lidstaten hebben hun nationale wetgeving inmiddels gepubliceerd. België hanteert – net als enkele buurlanden – een praktische “grace-periode” tot 31 juli 2025 voor organisaties die aantoonbaar werken aan de implementatie. (bron: aegister.com)
- DORA — Voor financiële instellingen is het spel al begonnen: de verordening is sinds 17 januari 2025 volledig van kracht. (bron: eiopa.europa.eu)
Met die harde data in het achterhoofd — en met het credo “technologie helpt, maar mag nooit de kapitein worden” — volgt hieronder een evenwichtige set Do’s en Don’ts die zowel het analytisch IQ als het relationeel EQ van een CISO aanspreken.
10 Do’s — wat wél te doen
| # | Do | Waarom het werkt (IQ + EQ) |
|---|---|---|
| 1 | Maak een levend NIS2/DORA-roadmap-bord (kanban of Gantt) dat iedereen ziet. | Transparantie kweekt draagvlak en voorkomt politieke verrassingen. |
| 2 | Houd regelmatige risk-workshops met business-eigenaars (niet alleen security-teams). | Zo bouw je gedeeld eigenaarschap en voorkom je het “IT-probleem”-frame. |
| 3 | Vertaal elke control naar “wat betekent dit voor onze klant?” | Empathie tilt droge eisen naar begrijpelijke service-continuïteit. |
| 4 | Automatiseer rapportage, niet beslissingen. | Efficiënt IQ-werk, maar de mens blijft eindverantwoordelijk (EQ-signaal van vertrouwen). |
| 5 | Test crisis-communicatie samen met marketing & HR. | Technische incident-response faalt zonder mensgerichte communicatie. |
| 6 | Eis secure-by-design‐principes in elke nieuwe app (strong auth, least-privilege). | Minder complexe compensating controls later. |
| 7 | Gebruik “table-top stories” in plaats van Excel-sheets om bestuur te overtuigen. | Verhalen blijven hangen — fotografisch geheugen voor bestuurders. |
| 8 | Investeer in log-retentie & archivering “met tags”, zodat forensisch onderzoek uren i.p.v. weken kost. | Vereenvoudigt processen en bespaart stress. |
| 9 | Voer supplier-risk-ratings in één pagina (rood-oranje-groen). | Snelle beslissingskracht, geen rapport-inflatie. |
| 10 | Vier kleine successen publiekelijk (patch-sluitingen, audit-compliments). | Positieve emotie is een krachtige risicoreductie-tool. |
10 Don’ts — wat je beter laat
| # | Don’t | Gevolg als je het tóch doet |
|---|---|---|
| 1 | Blind AI-gebaseerde auto-remediatie inschakelen. | Onvoorziene “kill switches” kunnen business-kritisch verkeer lamleggen. |
| 2 | NIS2/DORA behandelen als ‘compliance check-the-box’. | Je mist de kans om écht veerkracht te bouwen; audit 2026 wordt pijnlijk. |
| 3 | Alleen technische taal in board-reports. | Verlies van budget & aandacht — EQ-mismatch. |
| 4 | Risico’s verbergen “tot na go-live”. | Gebrek aan transparantie ondermijnt vertrouwen en schendt NIS2-meldtermijnen. |
| 5 | Shadow-IT tolereren omdat “innovatie”. | DORA/NIS2 boetes & reputatie-schade wachten niet. |
| 6 | Processen verzwaren met oneindige goedkeur-stappen. | Complexiteit ≠ veiligheid; users zoeken work-arounds. |
| 7 | Alle logs oneindig bewaren zonder doel. | Hogere kosten en privacy-risico’s; in strijd met dataminimalisatie. |
| 8 | Single-factor VPN laten voortbestaan “omdat legacy”. | Directe non-compliance met basic cyber-hygiëne. |
| 9 | Incident-post-mortems exclusief in security-jargon houden. | Leermomenten verdampen, cultuur blijft defensief. |
| 10 | De “held-CISO” spelen die alles zelf beslist. | Bus-factor = 1; EQ-arm, organisatie blijft afhankelijk en fragiel. |
De 12 CISO geboden, Gij zult niet…..
“TMIT: The Mistakes I Tried” — 12 rauwe lessen uit het frontleven van een CISO
| # | The Mistake I Tried (TMIT) | Wat ik eruit leerde & hoe jij het oplost |
|---|---|---|
| 1 | Panic-patching – elke vuln ad-hoc fixen zonder priorisatie. | Patch-kartel opzetten: draai een wekelijks “vuln-backlog” stand-up (30 min max) met ops & product-owners. |
| 2 | Board-blindheid – KPI’s vol jargon (“CVSS 7.5+ mitigated”). | Storytelling-slides: vertaal elke KPI naar impact voor revenue, reputatie of regulator; één emoji-kleurcode volstaat. |
| 3 | Excel-overload – 200 kolommen risk-register met 0 opvolging. | Risk-one-pager: risico, eigenaar, due-date, mitigatie-knop; niets meer. Less fields → meer actie. |
| 4 | Shadow-IT gedogen omdat “innovatie moet kunnen”. | Innovation-sandbox: vrije speelzone in helder subnet + IAM-guardrails; daarna verplichte intake. |
| 5 | Alles zelf reviewen (“held-CISO-syndroom”). | 2-in-a-box governance: laat risk-champions uit de business co-tekenen; verhoogt draagvlak én bus-factor. |
| 6 | Log-hoarding – alles bewaren ‘voor het geval dat’. | Purpose-tagging: definieer vóór opslag welk log voor welke use-case is (fraude, forensics, ops). Verwijder rest. |
| 7 | AI-autopilots loslaten op productie. | Human-in-the-loop policy: AI mag detecteren & voorstellen, nooit zelf isoleren of blokkeren zonder menselijk sign-off. |
| 8 | Incident-reviews als blame-game. | Just-culture retros: focus op ‘systeem + signalen’ i.p.v. schuldigen. Sluit af met concrete kpi-tweaks. |
| 9 | Compliance ≠ continuity – vinkjes halen maar run-books vergeten. | Chaos-day drills: één keer per kwartaal stekker eruit bij een cruciaal proces; meet MTTR én communicatie-flow. |
| 10 | Single-factor VPN laten leven “tot na de migratie”. | MFA-ultimatum: stel een harde datum, toon aftelklok in Slack/Teams, blokkeer daarna non-compliant clients. |
| 11 | ‘Big-bang’ awareness-e-learning één keer per jaar. | Micro-nudges: maandelijks 3-min video + phishing-sim met instant feedback; hogere retentie, minder weerstand. |
| 12 | Geen archief-strategie – zoeken wordt archeologie. | Tiered‐retention: 6 mnd hot storage (SIEM), 18 mnd warm, 5 jr cold; alles searchable via één portal. |
Hoe deze lijst te gebruiken
- Pick three TMIT-items die vandaag herkenbaar zijn.
- Zet een 90-dagen mini-roadmap: quick-wins én meetbare indicatoren (bijv. % MFA-gebruik of tijd tot patch-acceptatie).
- Vier elke sluiting: stuur een “TMIT closed 🎉”-bericht; stimuleert cultuur van continue verbetering.
Onthoud: fouten documenteren is geen zwaktebod; het is je snelste weg naar evidence-based veerkracht. Laat technologie je versnellen, niet regeren — en draai elk TMIT-moment om in een concrete, mens-gedragen verbetering.
Praktische tips om IQ- & EQ-balans te bewaken
- Gebruik data-gedreven dashboards (IQ) maar bespreek ze in gewone taal (EQ).
- Stel open vragen in crisis-calls (“Wat hebben jullie nú nodig?”) in plaats van bevelen.
- Vertaal ‘threat-intel’ naar persona-gedreven scenario’s zodat non-tech teams zich erin herkennen.
- Plan “human firewall”-training naast technische penetratietests.
Bottom-line: De nieuwe Jan / CISO is kartrekker, coach én architect. Technologie blijft het gereedschap, niet de baas. Hou het simpel, menselijk – en altijd gericht op veerkracht.
