1. Eigenaarschap: wie is aan zet?

Bestuur en directie bepalen de koers: wat hebben we te beschermen, hoeveel risico vinden we acceptabel, en wie neemt welke besluiten? Leg dit kort vast (wie beslist, wie voert uit, wie bewaakt). Duidelijkheid geeft rust én grip op informatieveiligheid.

2. Samenwerken: iedereen heeft een rol

Informatiebeveiliging werkt alleen optimaal als afdelingen samen optrekken. IT, operatie, HR, inkoop en communicatie zien elk een ander stukje van de werkelijkheid. Wijs per team een aanspreekpunt aan en maak het melden van incidenten laagdrempelig. Zo wordt digitaal veilig werken een gezamenlijke routine.

3. Van plan naar doen

• Plannen: kies enkele duidelijke doelen op basis van de grootste risico’s.
• Doen: voer kleine, haalbare stappen uit. Elke maand een beetje werkt écht beter dan eens per jaar alles.
• Nakijken: kijk maandelijks wat wel en niet werkt; pas aan waar nodig.
• Bijsturen: leg keuzes en leerpunten kort vast. Zo bouw je aan een betrouwbare documentatie, wat tijdens een audit ten goede komt.

4. De bouwstenen in gewone taal

• Nulmeting: weten waar je staat voorkomt discussies en helpt prioriteren.
• Helder beleid: kort en toepasbaar; wat doen we wél, wat doen we niet, en wie beslist?
• Training & bewustwording: herhalen werkt. Klein, relevant en op het juiste moment.
• Incidentaanpak: wie belt wie, binnen hoeveel tijd, en hoe herstellen we? Oefen dit.
• Leveranciers: leg basisafspraken vast (beveiliging, melden van incidenten) en vraag periodiek om bewijs.
• Documentatie: bewaar besluiten, testresultaten en verbeterpunten. Kort is voldoende—als het maar vindbaar is.

5. NIS2 en ISO 27001 in het kort

NIS2 (in NL de Cyberbeveiligingswet) vraagt om intense zorg voor en zicht op risico’s—ook in de keten. ISO 27001 geeft een werkbaar raamwerk om dit gestructureerd te regelen. In de praktijk: gebruik ISO 27001 voor de routine en leg NIS2-eisen er naast. Zo voorkom je dubbel werk en versterk je it risicomanagement.

6. Iedere organisatie is anders

De invulling hangt af van je branche (bijv. zorg of industrie), je positie in de keten (leverancier of afnemer) en je omgeving (alleen IT of ook OT/werkvloer). Pas maatregelen aan op jouw werkelijkheid; één standaard lijst past zelden precies. Dit is de basis voor verstandig cyber risico management.

7. Meten wat belangrijk is

• Patching: hoe snel werken we belangrijke updates weg?
• Detectie & herstel: hoe snel merken we iets op en zijn we weer in de lucht?
• Bewustwording: doen mensen mee aan training en melden ze afwijkingen?
• Back-ups: wanneer is voor het laatst echt teruggezet en lukte dat binnen de gewenste tijd?
• Leveranciers: leveren zij op tijd de afgesproken verklaringen of rapporten aan?

8. Wanneer externe hulp zinvol is

Extra handen of specifieke kennis zijn handig bij piekdrukte, onderzoeken na een incident, of het opzetten van beleid en rapportage. Tijdelijk ondersteuning kan snelheid geven zonder vaste lasten.

9. Veelvoorkomende valkuilen

• Te veel tegelijk: beter klein beginnen en volhouden.
• Onduidelijke verantwoordelijkheid: benoem wie beslist en wie uitvoert.
• Niet oefenen: een plan dat nooit is getest werkt zelden onder druk.
• Keten vergeten: leveranciers en koppelingen horen erbij.
• Geen bewijs: zonder aantekeningen en logboeken is verbetering lastig te laten zien.

11. Korte checklist

• Eigenaarschap en rollen vastgelegd.
• Actuele risico’s en heldere prioriteiten.
• Basis op orde: updates, back-ups, toegang.
• Incidenten kunnen melden en oefenen.
• Leveranciersafspraken geregeld en gevolgd.
• Training herhaalbaar en relevant.
• Maandelijkse voortgang en korte notulen als bewijs.