De Cyberbeveiligingswet is op de meeste non profits niet van toepassing, toch?

Door: Patrick Jordens (TT3P)

Als vakspecialist kom ik dagelijks talloze berichten tegen over nieuwe regelgeving en hoe organisaties hiermee omgaan. Onlangs zag ik op Facebook een aankondiging van een ICT-bedrijf dat een evenement organiseerde over NIS2-compliance voor non-profitorganisaties. Geïntrigeerd door het onderwerp dook ik dieper in de inhoud. Wat ik aantrof, zette me aan het denken.

De NIS2-richtlijn, die in oktober 2024 in werking is getreden, richt zich op organisaties in maatschappelijk kritieke en belangrijke sectoren zoals bijvoorbeeld energie, transport, levensmiddelen en digitale infrastructuur. Non-profitorganisaties vallen in de meeste gevallen niet binnen deze verplichte categorieën, tenzij ze essentiële of belangrijke diensten leveren. Toch zag ik dat dit evenement specifiek non-profits wilde 'inspireren' om NIS2-compliant te worden en dus aan de Cyberbeveiligingswet te gaan voldoen. Dat riep bij mij direct vragen op.

Cybersecurity is voor elke organisatie belangrijk

Begrijp me niet verkeerd: cybersecurity is voor elke organisatie belangrijk, of het nu gaat om een multinational of een lokale stichting. Maar het gebruik van wetgeving als de NIS2-richtlijn om diensten te verkopen aan organisaties die daar formeel niet onder vallen, voelt op zijn minst opportunistisch. Het gevaar is dat non-profits, vaak met beperkte middelen, op kosten worden gejaagd voor maatregelen die juridisch misschien niet eens vereist zijn.

Wat me ook opviel, was de prominente rol van Microsoft 365-tools in het programma. Hoewel technologie zoals Microsoft Copilot zeker kan helpen bij risicoanalyses en incidentbeheer, is NIS2-compliance een stuk complexer dan alleen de juiste tools implementeren. Microsoft lijkt hierin voetstoots mee te gaan, zonder expliciet aan te geven dat NIS2 voor de meeste non-profits niet verplicht is. Dit roept de vraag op of technologiebedrijven wel altijd de juiste boodschap uitdragen of vooral hun eigen producten willen promoten.

Cyberfabels en -feiten bij verkoop van ICT-diensten

Deze trend zie ik breder in de ICT-sector: regelgeving zoals NIS2 en de Cyber Resilience Act worden steeds vaker aangegrepen om diensten te verkopen. Dat is op zich niet verkeerd: wetgeving vraagt om actie, en ICT-partners kunnen daarbij ondersteunen. Maar het is dat organisaties zich niet laten verleiden tot onnodige uitgaven. Vraag altijd: 'Hebben wij deze maatregelen echt nodig?' en 'Leveren ze ons meerwaarde op?'.

Mijn advies aan non-profits is om kritisch te blijven. Laat u goed informeren over welke verplichtingen daadwerkelijk voor uw organisatie gelden en waar u uw middelen het beste in kunt investeren. Cybersecurity is essentieel, maar laat u niet meeslepen door de angst voor regelgeving die mogelijk niet eens op u van toepassing is.

Over TT3P

The Trusted Third Party biedt praktisch advies voor cybersecurity en flexibele inzet van cybersecurityspecialisten. We helpen organisaties van elk type om het risico op gijzeling van bedrijfssystemen, datadiefstal en onbevoegde toegang te verkleinen en hun digitale weerbaarheid te vergroten. Neem contact op via info@tt3p.nl of 088 38 38 38 3.

Op de hoogte blijven van alle updates rondom cybersecurity? Volg dan onze LinkedIn-pagina