Waar falen bedrijven dan concreet? Eerst en vooral in hun bestuurlijke ontkenning. Een rapport toont dat ongeveer drie kwart geen apart NIS2-budget heeft en dat 34% geen managementbetrokkenheid meldt, hoewel NIS2 die betrokkenheid expliciet als bestuursverantwoordelijkheid neerzet. Dat betekent dat men wel een nieuwe uitkomst verwacht, maar met hetzelfde oude besluitmodel: te laat prioriteren, te weinig investeren en cyber nog altijd onderaan de bestuursagenda parkeren. Dat is geen implementatiestrategie; dat is uitstel met juridisch risico.
Een tweede mislukking zit in het blijven stapelen van regels zonder te herdenken wat echt kritiek is. Veel organisaties proberen NIS2 in te passen bovenop oude processen, bovenop oude organogrammen en bovenop oude leveranciersmodellen. Het whitepaper beschrijft hoe bedrijven worstelen met supply chain security, met rapporteringstermijnen, met de koppeling aan ISO 27001, GDPR of DORA, en met verschillende nationale interpretaties. Vooral voor multinationals en middelgrote ondernemingen leidt dat tot een matrix van uitzonderingen, spreadsheets en bewijsstukken, terwijl de digitale kern vaak nog onvoldoende zichtbaar is. Men probeert dus complexiteit te managen met nog meer complexiteit.
Een derde historische fout is dat bedrijven te veel beschermen wat er niet toe doet, en te weinig wat hun bedrijf werkelijk laat leven. Het document laat zien dat sectoren met lage cybermaturiteit en nieuw gereguleerde entiteiten vooral lijden onder een te grote sprong: ze hebben jarenlang geïnvesteerd in operationele efficiëntie en fysieke zekerheid, maar niet in digitale weerbaarheid. Daardoor reageren ze nu met haast, tool-aankopen en projecttaal, terwijl de basis nog ontbreekt: weten welke processen kritiek zijn, welke systemen de operatie dragen, welke leveranciers je business kunnen laten stilvallen, en welke incidenten direct bestuursimpact hebben.
Precies daar moet beleid koers 2030 het verschil maken. Niet door meer te kosten, maar door eindelijk te stoppen met geld, aandacht en controle te verspillen aan digitale ballast. De logica moet verschuiven van “alles een beetje beschermen” naar “de digitale hartslag en de digitale hersenen van het bedrijf maximaal beschermen”. De digitale hartslag zijn de kritieke diensten, transacties, identiteiten, datastromen en procesketens die het bedrijf levend houden. De digitale hersenen zijn de besluitvormende systemen, stuurinformatie, beheerslogica, algoritmen, centrale applicaties en vertrouwenslagen die bepalen wat het bedrijf ziet, beslist en doet. Het whitepaper ondersteunt die richting indirect heel sterk: best practices vertrekken volgens respondenten juist van ISO-gebaseerde structuur, risicomanagement, awareness, incidentrespons, gap-analyse en praktische templates, dus van ordening en focus, niet van willekeurige extra controls.
Vanuit dat koersbeeld moeten bedrijven ook hun zintuigen opnieuw inrichten. Wie zijn digitale hartslag wil beschermen, heeft digitale ogen nodig: zicht op assets, dependencies, leveranciers, kwetsbaarheden en afwijkend gedrag. Het whitepaper geeft in de sterkere case studies precies die richting aan: business impact assessment, asset mapping, framework mapping, taskforces, monitoring van nationale transposities en duidelijke eigenaarschapstoewijzing. Wie zijn digitale hersenen wil beschermen, heeft digitale oren nodig: signalen uit logging, SOC, CSIRT, leveranciers, autoriteiten, klanten en interne escalaties. En wie tijdig wil reageren, heeft een digitaal reukorgaan nodig: het vermogen om beginnende verstoringen, misbruik van vertrouwen, leveranciersverval, incidentdrempels en systeemstress vroeg te ruiken voordat het een crisis wordt. De MSSP-case en de energiecase tonen juist dat volwassenheid ontstaat waar detectie, threat intelligence, CSIRT, crisisonderscheid, supply-chain risicobeheer en managementcommunicatie samenkomen.
Daarom zou beleid koers 2030 in essentie uit één harde keuze moeten bestaan: weg met digitale obesitas, terug naar digitale vitaliteit. Niet elk systeem is strategisch. Niet elke leverancier is kritiek. Niet elk proces verdient dezelfde bescherming. Niet elk rapport is een control. Door overbodige applicaties, dubbele rechten, nutteloze integraties, overmatige uitzonderingen en schijnbeheer af te bouwen, maak je ruimte vrij voor wat echt telt. Dat kost niet noodzakelijk meer; vaak kost het juist minder, omdat je beheer eenvoudiger wordt, je auditspoor duidelijker wordt en je reactiecapaciteit stijgt. Het whitepaper bevestigt dat organisaties vooral nood hebben aan standaardisatie, duidelijke definities, uniforme incidentrapportering, risicotemplates en hergebruik van bestaande normen. Met andere woorden: minder versnippering, meer bestuurbaarheid.
We noemen een koe een koe: bedrijven falen niet omdat NIS2 te ingewikkeld of duur is, maar omdat ze oude bestuurlijke gewoonten willen behouden in een omgeving die daar geen genade meer voor kent. Ze willen nog steeds controleren zonder echt zicht, delegeren zonder eigenaarschap, rapporteren zonder classificatie, outsourcen zonder ketenzekerheid en certificeren zonder operationele zenuwen. Daartegenover staat koers 2030: bescherm eerst wat het bedrijf doet ademen en denken, en rust dat vervolgens uit met digitale ogen, oren en een fijn digitaal reukorgaan. Dan verschuift cyber van kostenpost naar bestuurs, klanten en overheidsvertrouwen.
