NIS2 wil dat we veilig vliegen, niet alleen papieren invullen.
Het idee achter dit onderwerp ontstond geleidelijk, maar kreeg echt vorm toen ik mentor was van een rechtenstudent en tijdens mijn lezingen aan informaticastudenten aan de Universiteit van Lund iets begon te wringen. Ik zag hoe NIS2 vaak werd gelezen alsof er een antwoordblad aan het eind zat: vind de artikelen, vink de vakjes aan, "klaar". Tegelijkertijd kwamen er vragen van managementteams die meer gingen over het vermijden van sancties dan over het waarborgen van leveringsvermogen wanneer het echt spannend wordt. Mijn bezorgdheid groeide uit tot een wolk van zorg: als we een doelwet als een checklist lezen, bouwen we dan echt capaciteit op of produceren we alleen papier? Dat is de vraag die deze tekst drijft.
Het grotere geheel en waarom de metafoor cruciaal is
De stewardess toont de veiligheidsinstructies. De kapitein heet welkom. Iedereen kent de routine. Maar diep van binnen geeft niemand om hoe netjes de handleiding is ingebonden; de passagier wil weten of het vliegtuig luchtwaardig is: de juiste bemanning, goed onderhouden toestel, werkende procedures, geteste noodplannen. NIS2 is precies dit voor onze kritieke digitale diensten. Het is geen wedstrijd om de meeste mappen; het is een bewijs van capaciteit. Kunnen jullie dagelijks veilig vliegen, veilig landen in turbulentie en snel weer opstijgen als er iets misgaat? Dat is de kern. (Europese Unie, 2022).
Wat NIS2 werkelijk is (en niet is)
NIS2 is niet bedoeld om een nieuwe kaart van technische componenten te tekenen. Dit is nu heel belangrijk. Het is gekomen om drie gelijktijdige mislukkingen in Europa aan te pakken. Die zijn eenvoudig te beschrijven als grensoverschrijdende afhankelijkheden die te maken kregen met ongelijk veiligheidsvermogen, een verschuiving in dreigingsbeeld naar door staten gesteunde en meer systemische aanvallen, en tenslotte een overvloed aan vrijwillige aanbevelingen die het tegenovergestelde effect hadden in de bestuurskamer. Het resultaat van dat laatste was dat besturen veiligheid niet prioriteerden maar duidelijke verantwoordelijkheid; veiligheid werd gezien als een kostenpost, niet als een investering. Daarom verschuift NIS2 de focus omhoog in de governance en naar buiten naar het geheel. Het regelt capaciteiten, processen en verantwoordelijkheden, niet specifieke tools. (Europese Unie, 2022).
Dit is terug te zien in taal en structuur: open normen zoals "redelijk veiligheidsniveau", "geschikte en proportionele maatregelen" en "zonder onnodige vertraging" (art. 20–23). Dit is geen slordigheid, het is een teleologische constructie. In het EU-recht weegt het doel zwaar: toezicht zal in de praktijk vragen of jullie het doel van de wet hebben bereikt, niet alleen of je elke formulering tot op de millimeter hebt gevolgd (Europese Unie, 2022; Tridimas, 1997).
Vertaald naar luchtvaart: NIS2 wil luchtwaardigheid zien, dat mensen, processen, technologie en leveranciers in de praktijk samenwerken, onder stress, over tijd.
Waarom NIS2 nu het risico loopt mis te gaan
En hier komt mijn zorg en aanleiding om dit artikel te schrijven. Juridische interpretaties van NIS2 zijn in de meeste gevallen zorgwekkend. Niet omdat ze incompetent zijn of geen opleiding hebben. Nee, omdat ze deze wet dogmatisch analyseren en benaderen in plaats van documentanalytisch. Deze verschillende benaderingen brengen het risico met zich mee dat de wet verkeerd wordt geïnterpreteerd en dat bestuur en management het doel volledig missen en denken dat het weer een wet is, een nieuwe kostenpost in plaats van echte veiligheid en een echte investering. De risico's zijn:
1) Papieren luchtwaardigheid. We optimaliseren documenten in plaats van uitvoering. Maar NIS2 gaat in wezen om resultaten: detecteren, beperken, herstellen en rapporteren op tijd (24 u / 72 u / 30 d). (Europese Unie, 2022).
2) Recht zonder systeemvisie. De Zweedse juridische opleiding heeft een sterke dogmatische traditie die uitstekend werkt wanneer normen precies zijn. Maar NIS2 is bewust open en doelgericht. Het recht moet verantwoordelijkheid toewijzen en toezicht mogelijk maken; capaciteit ontstaat in de interactie tussen kritikaliteit, afhankelijkheden, cultuur en besluitvorming onder onzekerheid (Karlstads universitet, 2025; Tridimas, 1997).
3) Individuele focus in plaats van organisatieverantwoordelijkheid. Het individu voert uit, maar de organisatie is verantwoordelijk. In een vliegtuig mag de passagier alert zijn, maar het bedrijf zorgt voor onderhoud, procedures, simulaties en mandaat. Daarom moet het raamscherm tijdens start en landing open zijn. Diezelfde logica geldt in NIS2 en de cybersecuritywet: gedrag van het individu is een onderdeel van de capaciteit, nooit een vervanging ervan. Het individu is ook een sensor en een essentieel onderdeel van de organisatie. En het is eigenlijk heel duidelijk waarom we anders moeten gaan denken.
De realiteit als stresstest: data en cases
Ketens: ENISA toont aan dat aanvallen via leveringsketens vaker en geavanceerder worden en een structureel probleem zijn, geen uitzondering (ENISA, 2021). De MOVEit-keten werd een schoolvoorbeeld: een kwetsbare component veroorzaakte enorme spill-over en liet zien dat het beheer van externe "werkplaatsen" (contracten, patchregimes, logging, rechten) net zo cruciaal is als de eigen firewall (Emsisoft, 2024).
De mens: DBIR 2024 schat dat ongeveer 68% van de inbreuken een menselijke factor heeft (phishing, misconfiguratie, fouten) en dat derde partij invloed een groeiende vector is (Verizon, 2024). De conclusie is niet "meer afkeuren" maar de juiste standaardinstelling opbouwen en trainen.
Systeemcapaciteit overtreft handleidingen: De aanval op het Oekraïense elektriciteitsnet in 2015 was een les dat wat de dag redt de combinatie is van techniek, proces en mensen, inclusief de mogelijkheid om handmatig te opereren en snel te herstellen (E-ISAC & SANS, 2016).
Hoe NIS2 vertaald moet worden in de bestuurskamer (luchtwaardigheids-taal)
Art. 20 (leiding): De kapitein en het bedrijf dragen de afwegingen en resultaten. Verantwoordelijkheid kan niet worden uitbesteed. (Europese Unie, 2022).
Art. 21 (risicomaatregelen): Toon aan dat juist jullie combinatie van technische en organisatorische maatregelen veilig vliegen in jullie omgeving mogelijk maakt, inclusief werkplaatsen buiten de hangar (leveranciers). (Europese Unie, 2022; Europese Commissie, 2024).
Art. 23 (24/72/30): Maak van tijd spiergeheugen, rapportagepaden, rollen en bewijsvoering moeten kloppen. (Europese Unie, 2022).
(Lichte humor met een serieuze boodschap: geen enkele kapitein heeft ooit een vliegtuig gered met een perfect ingevulde handleiding. Het waren de oefening en tijdsdiscipline die het verschil maakten.)
Waarom het in de praktijk misgaat (en hoe het goed kan komen)
Foutontwerp 1: Beleid verzamelen.
Men meet mappen. NIS2 meet draagkracht. Stap over op uitkomst-metrics die het bestuur elk kwartaal volgt: hersteltijd voor kritische diensten, patch-latentie, MFA-dekking, logging-dekking en 24/72/30 discipline. (Verizon, 2024).
Foutontwerp 2: Blinde leveringsketen.
Contracten zonder recht op loginspectie, zonder tijdsgebonden toegangsrechten, zonder kwetsbaarheids-SLA of "kill switch" zijn als een onbekende werkplaats die aan het vliegtuig sleutelt. Bouw keten-luchtwaardigheid: eisen, controleren en testen. (ENISA, 2021).
Foutontwerp 3: Recht als antwoordenboek.
Dogmatiek werkt als normen statisch zijn. Hier zijn ze open en toekomstgericht en wordt het doel leidend. Toezicht zal vragen of je het doel hebt bereikt met redelijke, proportionele keuzes (Tridimas, 1997; Europese Unie, 2022).
Foutontwerp 4: Toezicht als formaliteitenjacht.
Jagen op vroege opmerkingen in plaats van het basisniveau te verhogen creëert verkeerde prikkels. Begin met het vaststellen van een goedgekeurde luchtwaardigheids-baseline en verhoog de eisen via praktijkervaring. (Europese Unie, 2022; Europese Commissie, 2024).
"Levend kader" en 2024/2690: daarom wordt NIS2 met de tijd duidelijker
Maar ik denk dat ik sommige lezers nog moet overtuigen van wat ik probeer over te brengen.
De uitvoeringsverordening (EU) 2024/2690 van de Commissie verduidelijkt risicomethodiek en drempels, vooral voor aangewezen digitale infrastructuurdiensten, wat de NIS2-logica bevestigt: de wet stelt het doel, secundair recht en toezicht vullen het gereedschapskist in de loop van de tijd aan (Europese Commissie, 2024). We hoeven dus niet op dag één "alles te zeggen"; we moeten laten zien dat we kunnen dragen en ons kwartaal na kwartaal verbeteren.
Slotwoord
Dit begon als een bezorgd gevoel toen ik zag dat NIS2 werd teruggebracht tot papieren controle en hoe organisaties via hun juristen vaak aan de verkeerde kant begonnen. In het slechtste geval was het het hoofd in het zand steken en denken "dat raakt ons niet". Ik weet zeker dat velen van gedachten zijn veranderd, maar er zijn er nog steeds veel die mee moeten gaan. NIS2 is niet ontworpen om de mappencompetitie te winnen. Het is gemaakt om veilig te vliegen: dagelijks, in turbulentie, en snel weer als er iets misgaat. Wie alleen het woord leest vindt eisen; wie het doel leest, bouwt capaciteit. Daarom zijn standaarden, normen en kaders een goede basis maar lang niet de oplossing. Veiligheid is namelijk niets wat je hebt, het is iets wat je doet.
Referenties
Primaire bronnen
Europese Commissie. (2024).Uitvoeringsverordening (EU) 2024/2690.EUR-Lex.
Europese Unie. (2022).Richtlijn (EU) 2022/2555 (NIS2).Publicatieblad L 333.
Analyses & rapporten
E-ISAC & SANS. (2016).Analyse van de cyberaanval op het Oekraïense elektriciteitsnet.
ENISA. (2021).Dreigingslandschap voor aanvallen op de leveringsketen.
Emsisoft. (2024).Analyse van de MOVEit-inbreuk: statistieken en analyse.
Verizon. (2024).Data Breach Investigations Report (DBIR 2024).
Methode/teleologie
Karlstads universitet. (2025, 21 feb).Nieuwe studie toont aan dat dogmatiek in de rechtenopleiding nog steeds sterk is.
Tridimas, T. (1997).Het Hof van Justitie en juridisch activisme.In P. Craig & G. de Búrca (red.), De evolutie van EU-recht. Oxford University Press.(Voorbeeld van teleologische interpretatie in EU-recht.)
