Na bijna twee jaar Europese sturing rond NIS2 ontstaat stilaan een ongemakkelijke digitale weerbaarheidsspiegel. De bedoeling was helder: een hoger, geharmoniseerd niveau van cyberweerbaarheid in Europa, met management dat cybersecurity-risico’s niet langer delegeert maar actief goedkeurt, opvolgt en draagt. De realiteit oogt minder samenhangend.
Deadlines worden gemist, nationale omzettingen lopen ongelijk, en organisaties verliezen kostbaar momentum in plaats van richting te krijgen. Wat als een gecontroleerde compliance-lancering moest starten, dreigt daardoor in sommige omgevingen te ontploffen in een verzameling eilandjes: veel lokale interpretaties, veel ego, weinig cohesie en doelstellingen die voor medewerkers nauwelijks nog begrijpelijk zijn.
Het meest kritieke signaal is misschien dat het management vaak op een andere compliance-planeet lijkt te zitten: druk bezig met rapportering, certificaten en formele verantwoordelijkheid, terwijl de operationele teams worstelen met haalbaarheid, prioriteiten, middelen en uitvoerbaarheid.
Net daarom is een haalbaarheidsstudie vóór de lancering geen luxe, maar een noodzakelijke reality check: zonder balans tussen user experience, warranty, value visibility en metrics & lifecycle wordt NIS2 geen weerbaarheidsprogramma, maar een project met negatieve startenergie. De EU-transpositiedeadline lag op 17 oktober 2024, en de Commissie stelde nadien vast dat meerdere lidstaten hun omzetting niet tijdig volledig hadden afgerond; tegelijk verplicht NIS2 managementorganen om cybersecuritymaatregelen goed te keuren en de implementatie ervan te overzien.
Samen met Harry van der Plas en Karin Printemps brachten wij de oefening voor veel organisaties WEL tot een goed einde. We delen even de kern van onze truukendoos. Expert in process management Karin Printemps nam het voortouw. De ervaring van Harry en mzelf stuurde bij.
We zien in de praktijk dat compliance projecten zoals NIS2 vaak verkeerd wordt benaderd als een juridische deadline of technische checklist, terwijl het eigenlijk een bestuurlijk veranderproject is.
De Europese Commissie beschrijft NIS2 als een geharmoniseerd juridisch kader voor cybersecurity in 18 kritieke sectoren, met verplichtingen rond risicobeheer en weerbaarheid. Lidstaten moesten de richtlijn uiterlijk 17 oktober 2024 omzetten, en NIS2 verving NIS1 vanaf 18 oktober 2024. Daarom past de nu beschreven project HarmonyQ-driehoek zo goed: ze maakt duidelijk dat een organisatie pas volwassen wordt wanneer compliance, operatie en bestuur met elkaar verbonden zijn.
Karin Printemps: Complianceprojecten mislukken niet omdat organisaties geen maatregelen nemen, maar omdat ze de balans verliezen tussen ervaring, betrouwbaarheid, zichtbare waarde en meetbare levenscyclussturing.
In ITIL 4 en heden 5 wordt waarde niet gezien als een louter technisch resultaat, maar als iets dat ontstaat door samenwerking, bruikbaarheid, risicoverlaging, betrouwbaarheid en voortdurende verbetering. ITIL 4 spreekt over value co-creation, de service value system-benadering, de vier dimensies van service management en het belang van governance, practices en continual improvement.
Voor een intern NIS2- of ISO 27001-project kan dezelfde redenering worden toegepast: het doel is niet “een norm halen”, maar een bestuurbaar, aantoonbaar en gedragen cyberweerbaarheidsniveau creëren.
Waar NIS2 vandaag vastloopt, is zelden op de intentie. Niemand is tegen meer cyberweerbaarheid, betere incidentrespons of heldere verantwoordelijkheid. Het probleem ontstaat op het moment dat de ambitie de vloer raakt. Dan blijkt dat compliance niet wordt uitgevoerd door beleidsdocumenten, maar door mensen met agenda’s, legacy-systemen, beperkte budgetten, leveranciersafhankelijkheden en managementverwachtingen die soms meer op PowerPoint dan op realiteit zijn gebaseerd. Precies daar wordt de haalbaarheidsstudie de eerste echte stresstest: niet de vraag “willen we compliant zijn?”, maar “kan deze organisatie dit dragen zonder zichzelf vast te rijden?”
De HarmonyQ-driehoek maakt die spanning zichtbaar. Ze dwingt NIS2 en ISO 27001 uit de abstracte wereld van normen, clauses en controles, en plaatst ze terug waar ze thuishoren: in de dagelijkse werking van de organisatie. Want een maatregel die niemand begrijpt, wordt omzeild. Een controle die niet betrouwbaar werkt, wordt theater. Een dashboard dat geen bestuurlijke waarde toont, wordt decoratie. En een project zonder lifecycle wordt vroeg of laat een compliance-fossiel: ooit levend bedoeld, maar versteend in een map die niemand nog opent.
Of zoals een bestuurder het beter niet hardop zegt, maar vaak wel denkt:
“We bought compliance. Why are we still not resilient?”
Dat is de ongemakkelijke kern. Compliance kan worden gekocht als advies, tool, certificaat of projectplan. Weerbaarheid niet. Weerbaarheid ontstaat pas wanneer vier krachten in balans komen: user experience, warranty, value visibility en metrics & lifecycle. Niet als theoretisch ITIL-schema, maar als praktische launch check vóór een organisatie zichzelf vastzet in deadlines, eigenaarschap en beloftes die operationeel niet haalbaar zijn.
De eerste vraag is daarom niet technisch maar menselijk: werkt compliance voor de mensen die ermee moeten leven? In een intern NIS2-project is de “user” niet alleen de eindgebruiker. Het is ook de proceseigenaar die een risico moet accepteren, de IT-beheerder die MFA moet uitrollen, de CISO die incidenten moet escaleren, de auditor die bewijs zoekt, de leverancier die vragenlijsten krijgt, de bestuurder die aansprakelijkheid draagt en de klant die vertrouwen verwacht. Wanneer controls alleen op papier bestaan maar in de praktijk te zwaar, te traag of te onduidelijk zijn, ontstaat het bekende patroon: uitzonderingen, shadow IT, weerstand en uiteindelijk cynisme.
“A control that blocks the business will not protect the business. It will be bypassed by the business.”
Daarna komt warranty: de vraag of de maatregel ook werkt wanneer het erop aankomt. Niet “hebben we een incidentprocedure?”, maar “werkt ze op vrijdagavond om 22 uur wanneer de verantwoordelijke op vakantie is?” Niet “hebben we leveranciers beoordeeld?”, maar “weten we welke leverancier onze continuïteit morgen kan breken?” Niet “hebben we logging?”, maar “kunnen we bewijzen wat er gebeurd is voordat de klant, toezichthouder of pers het vraagt?” Zonder warranty wordt compliance documentatie. Met warranty wordt het een beheersysteem.
“If the control only works during the audit, it is not a control. It is a performance.”
Maar zelfs werkbare en betrouwbare maatregelen zijn niet genoeg wanneer de waarde onzichtbaar blijft. Veel organisaties tonen activiteit: policies, meetings, dashboards, projectplannen, gap analyses. Toch ziet het bestuur niet altijd welke risico’s werkelijk dalen. Daar ontstaat de kloof tussen management en operatie. De ene kant spreekt over percentages, maturity en compliance status; de andere kant over patchdruk, leverancierschaos, ontbrekende logging en mensen die de procedures niet begrijpen. Value visibility vertaalt die werelden naar elkaar. MFA wordt dan niet “uitrol voltooid”, maar “lagere kans op accountmisbruik”. Een geteste incidentprocedure wordt niet “oefening uitgevoerd”, maar “snellere detectie, escalatie en besluitvorming”. Een ISMS wordt niet “ISO-project”, maar “structurele risicosturing”.
“Management does not need more dashboards. It needs fewer illusions.”
De vierde laag verbindt alles: metrics en lifecycle. Zonder metingen is er geen bewijs. Zonder lifecycle is er geen duurzaamheid. Een NIS2- of ISO 27001-project dat eindigt bij implementatie, eindigt eigenlijk vóór het begonnen is. De echte vraag is wat er gebeurt na de lancering: wie meet de werking, wie volgt afwijkingen op, wie sluit risico’s, wie test controles opnieuw, wie rapporteert trends, wie beslist wanneer de context verandert? Metrics mogen daarbij geen cosmetica zijn. Ze moeten tonen of het systeem leert, verslechtert of bestuurbaar blijft.
“A compliance project without lifecycle is not a programme. It is a snapshot with a deadline.”
Daarom is de haalbaarheidsstudie geen administratieve tussenstap, maar de ruggengraat van een succesvolle lancering. Ze onderzoekt of de organisatie de maatregelen kan begrijpen, dragen, uitvoeren, bewijzen en verbeteren. Ze legt bloot waar eilandjes ontstaan, waar ego’s botsen, waar eigenaarschap ontbreekt en waar management op een andere compliance-planeet dreigt te blijven hangen. Ze maakt zichtbaar of NIS2 een volwassen weerbaarheidsprogramma kan worden, of slechts een project dat al vóór de start negatieve energie verzamelt.
De centrale vraag wordt dan eenvoudig maar confronterend:
“Is this organisation ready to launch compliance — or only ready to announce it?”
Dat verschil bepaalt alles. Een organisatie die alleen klaar is om compliance aan te kondigen, zal vooral deadlines, documenten en verantwoordelijkheden produceren. Een organisatie die klaar is om compliance te lanceren, heeft vooraf de balans getest tussen mens, maatregel, waarde en verbetering. Daar begint de echte digitale weerbaarheidsspiegel: niet bij de vraag of NIS2 op papier werd ingevoerd, maar of de organisatie sterk genoeg is om het in de praktijk vol te houden.
De vier maatregels vertaald naar NIS2 en ISO 27001
1. User experience: compliance moet werkbaar zijn
Bij een intern complianceproject is de “user” niet alleen de eindgebruiker, maar ook de proceseigenaar, IT-beheerder, CISO, auditor, leverancier, bestuurder en klant.
Een NIS2-project faalt wanneer controls alleen op papier bestaan maar in de dagelijkse werking worden omzeild. Denk aan MFA, incidentmelding, assetregistratie, leveranciersbeoordeling of logging: als ze te complex zijn, ontstaan uitzonderingen, shadow IT en weerstand.
Artikelstelling:
Cybersecuritymaatregelen zijn pas volwassen wanneer ze door mensen correct, consequent en zonder disproportionele frictie kunnen worden toegepast.
Voorbeelden van vragen:
| Vraag | Toepassing |
|---|---|
| Begrijpen medewerkers waarom deze maatregel bestaat? | Awareness en ownership |
| Past de maatregel in bestaande processen? | Procesintegratie |
| Is de controle uitvoerbaar voor kmo’s en afdelingen met beperkte middelen? | Proportionaliteit |
| Wordt compliance ervaren als hulp of als administratieve last? | Adoptie |
NIS2 zelf vertrekt ook vanuit passende en evenredige technische, operationele en organisatorische maatregelen. Dat ondersteunt het idee dat compliance niet blind maximaal moet zijn, maar afgestemd op risico, impact en context.
2. Warranty: de maatregel moet betrouwbaar werken
In ITIL-termen gaat warranty over de vraag of iets betrouwbaar, beschikbaar, veilig en geschikt voor gebruik is. In compliancecontext betekent dit: niet alleen “we hebben een beleid”, maar “het beleid werkt onder normale én verstorende omstandigheden”.
Voor NIS2 en ISO 27001 gaat warranty over:
| Warranty-vraag | Compliancevertaling |
|---|---|
| Werkt de controle wanneer ze nodig is? | Effectiviteit |
| Is de controle reproduceerbaar? | Consistentie |
| Is er bewijs? | Auditability |
| Is er eigenaarschap? | Accountability |
| Wordt de controle onderhouden? | Lifecycle control |
ISO/IEC 27001 wordt door ISO omschreven als een norm voor het opzetten, implementeren, onderhouden en continu verbeteren van een Information Security Management System. Conformiteit betekent dat een organisatie een systeem heeft om risico’s rond informatiebeveiliging te beheren.
Artikelstelling:
Een NIS2- of ISO 27001-project zonder warranty wordt een documentatieproject; een project mét warranty wordt een beheersysteem.
3. Value visibility: waarde moet zichtbaar zijn voor bestuur en stakeholders
Veel complianceprojecten tonen activiteit, maar geen waarde. Er zijn policies, dashboards, meetings en gap analyses, maar het bestuur ziet niet altijd welke risico’s effectief gedaald zijn.
Value visibility betekent dat compliance vertaald wordt naar zichtbare beslissingsinformatie:
| Operationele output | Bestuurlijke waarde |
|---|---|
| MFA uitgerold | Lagere kans op accountmisbruik |
| Incidentprocedure getest | Snellere detectie en respons |
| Leveranciers beoordeeld | Minder ketenrisico |
| Logging verbeterd | Betere detectie en bewijsbaarheid |
| ISMS opgezet | Structurele risicosturing |
NIS2 legt expliciet de nadruk op cybersecurity risk-management measures, incidentimpact en maatregelen voor netwerk- en informatiesystemen die essentieel zijn voor diensten.
Artikelstelling:
Compliance wordt pas bestuurbaar wanneer technische maatregelen worden vertaald naar risicoreductie, continuïteit, klantvertrouwen en bestuurszekerheid.
4. Metrics & lifecycle: meten, bijsturen en blijven verbeteren
De vierde maatregel is de verbindende laag. Zonder metrics is er geen bewijs. Zonder lifecycle is er geen duurzaamheid.
ITIL 4 bevat measurement & reporting en continual improvement als kernpraktijken binnen de bredere service value system-benadering. De ITIL service value system bestaat uit guiding principles, governance, service value chain, practices en continual improvement.
Voor een NIS2- of ISO 27001-project betekent dit dat men niet alleen een implementatieplan nodig heeft, maar ook een permanente meet- en verbetercyclus.
Mogelijke KPI’s:
| Domein | Voorbeeldmetric |
|---|---|
| Governance | % risico’s met eigenaar en reviewdatum |
| Awareness | % medewerkers getraind en getest |
| Incidentrespons | Tijd tot detectie, escalatie en rapportage |
| Leveranciers | % kritieke leveranciers beoordeeld |
| Technische hygiëne | Patch compliance, MFA coverage, endpoint coverage |
| ISMS | % controls getest, % afwijkingen gesloten |
| Bestuursrapportage | Aantal open high risks, trend per kwartaal |
Denkoefening:
Een complianceproject zonder lifecycle is een momentopname. NIS2 en ISO 27001 vragen net een aantoonbaar systeem van continue beheersing.
Kernboodschap
Een NIS2- of ISO 27001-project moet niet alleen beantwoorden aan de vraag “zijn de maatregelen aanwezig?”, maar aan vier betere vragen: werkt het voor de gebruiker, is het betrouwbaar, is de waarde zichtbaar en wordt het over de volledige levenscyclus gemeten en verbeterd?
Conceptueel model
| HarmonyQ-balanspunt | ITIL-inspiratie | NIS2 / ISO 27001-vertaling | Risico bij gebrek |
|---|---|---|---|
| User experience | Value co-creation, focus on value | Werkbare controls, adoptie, proceseigenaarschap | Papieren compliance |
| Warranty | Fit for use, betrouwbaarheid | Effectieve en aantoonbare controles | Schijnzekerheid |
| Value visibility | Waarde voor stakeholders | Bestuursrapportage, risicoreductie, klantvertrouwen | Management ziet enkel kosten |
| Metrics & lifecycle | Measurement, reporting, continual improvement | KPI’s, audits, PDCA, control testing | Eenmalige gap-analyse zonder borging |
Slotbedenking
NIS2 en ISO 27001 vragen meer dan controlelijsten. Ze vragen een bestuurbaar systeem waarin maatregelen bruikbaar zijn voor mensen, betrouwbaar werken in de praktijk, zichtbare waarde creëren voor bestuur en klanten, en continu worden gemeten en verbeterd. De HarmonyQ-driehoek kan daarbij dienen als praktisch denkmodel: niet om compliance ingewikkelder te maken, maar om te voorkomen dat organisaties compliant lijken zonder werkelijk weerbaar te zijn.
Het goede nieuws is dat een bijna gemiste target geen mislukt project hoeft te zijn. In ITIL-termen begint verbetering vaak met de eenvoudige maar krachtige vraag: where are we now? Niet om schuldigen te zoeken, maar om opnieuw te kijken naar het risicomodel, de haalbaarheid van de maatregelen en de signalen die onderweg al zichtbaar waren. Wat vandaag voelt als vertraging, weerstand of projectruis, kan morgen waardevolle input worden: management dat duidelijker moet sturen, gebruikers die tonen waar controls te zwaar zijn, medewerkers die weten waar processen breken, leveranciers die afhankelijkheden blootleggen en auditors die bewijsbaarheid scherper maken.
De kunst is dus niet om alles overboord te gooien, maar om het model aan te scherpen: risico’s opnieuw prioriteren, maatregelen proportionaler maken, eigenaarschap verduidelijken en de lifecycle versterken. Zo wordt een bijna gemiste deadline geen bewijs van falen, maar een leermoment vóór de echte lancering. NON-failure to launch betekent dan: durven terugkeren naar de feiten, leren uit de bijna-missed target en het complianceproject opnieuw laten vertrekken met meer realisme, meer cohesie en meer bestuurbare weerbaarheid.
