De NIS2-richtlijn is van kracht, ook voor woningcorporaties. De verwachting is dat toezichthouders in 2026 serieus gaan handhaven. Toch zien we dat veel corporaties nog geen concrete stappen hebben gezet. En dat is best riskant, want een gedegen implementatie van de benodigde maatregelen kost gemiddeld zes tot negen maanden. Tijd voor actie dus, waarbij je niet vanaf nul hoeft te beginnen.
De BIC en ISO 27001 zijn sterke fundamenten voor informatiebeveiliging. Ze helpen je om processen op orde te krijgen, risico’s in kaart te brengen en beveiligingsmaatregelen te implementeren. NIS2 gaat een stap verder, met name op drie punten:
NIS2 maakt het leidinggevend orgaan direct verantwoordelijk. Dat betekent dat je Raad van Bestuur of directie aantoonbaar betrokken moet zijn bij cybersecurity. Besluiten over risicobereidheid, budgetten voor beveiliging en respons op incidenten liggen bij de top. Dit is een wezenlijk verschil met veel bestaande frameworks, waar verantwoordelijkheid vaak lager in de organisatie ligt.
2. Incident response en meldplicht
Bij een significant cyberincident moet je binnen 24 uur een eerste melding doen bij de toezichthouder. Binnen 72 uur volgt een uitgebreidere melding, en binnen een maand een volledige evaluatie. Dat vraagt om een goed geolied incident response plan, heldere communicatielijnen en vooraf gedefinieerde procedures. Veel corporaties hebben wel een crisisplan, maar lang niet altijd specifiek voor cyberincidenten.
3. Supply chain security
NIS2 verplicht je om cybersecurityrisico’s in je leveranciersketen te beheersen. Je moet dus weten welke leveranciers toegang hebben tot kritieke systemen of data, welke beveiligingsmaatregelen zij treffen, en hoe je adequaat reageert als er bij een leverancier iets misgaat. Dit vraagt om een structurele aanpak in contractbeheer en inkoopprocessen.
1. Implementatie kost meer tijd dan je denkt
Het gaat niet om het aanvinken van een checklist. Je moet processen aanpassen, mensen trainen, systemen updaten en contracten herzien. Verwacht dat een zorgvuldige implementatie een half tot driekwart jaar kost. Begin je pas over een paar maanden, dan wordt het krap.
2. Je kunt voortbouwen op wat je hebt
Als je al werkt met BIC of ISO 27001, ben je niet vanaf nul. Veel maatregelen kun je hergebruiken of uitbreiden. Door nu te starten, voorkom je straks een hectische inhaalslag waarbij je alles tegelijk moet doen.
3. Cyberrisico’s nemen toe
Onafhankelijk van NIS2: de dreiging groeit. Ransomware-aanvallen op semi-publieke organisaties zijn de afgelopen jaren toegenomen. Woningcorporaties zijn interessante doelwitten vanwege de gevoelige data en de maatschappelijke impact van verstoring. Wachten met verbetering van je cyberweerbaarheid is wachten met risicoreductie.
De eerste stap is een gap-analyse. Wat heb je al op orde, en waar zitten de hiaten ten opzichte van NIS2? Focus daarbij op de drie kerngebieden: governance, incident response en supply chain security.
Vervolgens stel je een roadmap op. Welke maatregelen hebben prioriteit? Wat kan gefaseerd worden ingevoerd? En wie is er verantwoordelijk voor welke stappen? Betrek je bestuur vanaf het begin. NIS2 maakt hen immers verantwoordelijk, dus ze moeten de urgentie, de scope en de benodigde middelen begrijpen.
Tot slot: je hoeft het niet alleen te doen. Er zijn specialisten die ervaring hebben met NIS2-implementaties in vergelijkbare organisaties. Zij kunnen je helpen om pragmatisch te blijven en niet te verzanden in overbodige complexiteit.
