Iedere organisatie weet dat de kans groot is dat het op enig moment wordt getroffen door een cyberincident. Toch loopt Nederland opnieuw achter de feiten aan bij het implementeren van Europese cybersecurity-wetgeving. ENISA’s nieuwe interactieve kaart maakt deze achterstand pijnlijk zichtbaar – maar biedt tegelijk kansen om te leren van buurlanden die wél hun huiswerk op tijd maken.
ENISA heeft een nieuwe interactieve kaart gelanceerd die voor het eerst transparant laat zien hoe EU-landen hun cybersecurity-strategieën daadwerkelijk implementeren. De tool werkt als een soort ‘cybersecurity-barometer’ van Europa en vergelijkt landen op strategieën, doelstellingen, implementatie en verantwoordelijke organisaties. Voor Nederlandse organisaties die worstelen met cybersecurity-compliance biedt dit een mogelijkheid om te benchmarken tegen Europese koplopers.
Nederlandse achterstand opnieuw zichtbaar
Nederland kreeg in mei 2025 een aanmaningsbrief van de Europese Commissie voor het niet volledig omzetten van de NIS2-richtlijn. Cybersecurity-expert Brenno de Winter toont zich niet verrast: “Dat Nederland opnieuw een aanmaningsbrief van de Europese Commissie ontvangt vanwege het te laat implementeren van NIS2, is helaas niet verrassend. Ook bij de eerste NIS-richtlijn liepen we achter de feiten aan.”
Dat steekt, vindt De Winter, want Nederland streeft met de Nederlandse Cybersecuritystrategie 2022-2028 naar een ‘digitaal veilig Nederland’ en profileert zich graag als digitale koploper. “Wat NIS2 vraagt, is bovendien niet revolutionair. Het gaat om basismaatregelen, een betere aanpak van cyberdreigingen en duidelijke verplichtingen voor vitale sectoren. Andere landen, waaronder onze buurlanden, slagen erin om die vertaalslag tijdig te maken.”
Transparantie als leermiddel
De interactieve kaart biedt vijf verschillende weergaven: landspecifiek, strategieën, doelstellingen, implementatie en organisaties, waardoor organisaties kunnen zien hoe andere landen cybersecurity aanpakken. De Winter ziet hier waarde in: “Je krijgt een algemeen beeld hoe informatiebeveiliging bij overheden is geregeld. Het is de taak van ENISA dat te realiseren en coördinatie te voeren. Wat zij doen helpt wel.”
Voor Nederlandse organisaties die zich voorbereiden op de komende Cyberbeveiligingswet – de Nederlandse vertaling van NIS2 – biedt dit praktische voordelen. “In landen waar de NIS2-implementatie al verder is, zie je namelijk in de praktijk hoe sectoren en toezichthouders de eisen invullen, waar organisaties tegenaan lopen én welke oplossingen effectief blijken,” legt De Winter uit.
Van buurlanden leren
Concrete voorbeelden helpen Nederlandse bedrijven vooruit. “Denk aan praktische voorbeelden van hoe andere organisaties risicobeoordelingen inrichten, toeleveranciers verplichten tot betere beveiliging of incidentenrapportages organiseren,” adviseert De Winter. Vooral voor internationale bedrijven is benchmarking waardevol: “Het is verstandig om te kijken hoe bijvoorbeeld Duitsland, Frankrijk of België dit aanpakken, omdat zij daar mogelijk al aan soortgelijke verplichtingen moeten voldoen.”
89 procent van organisaties verwacht extra cybersecurity-personeel nodig te hebben voor NIS2-naleving, blijkt uit ENISA-onderzoek. Tegelijk worstelt 32 procent van organisaties met het invullen van cybersecurity. Door te leren van landen die deze uitdagingen al aangingen, kunnen Nederlandse organisaties effectievere strategieën ontwikkelen.
Nederlandse uitdagingen
De Winter identificeert specifieke Nederlandse zwaktes die andere landen beter aanpakken. “Een duidelijke uitdaging in Nederland is de versnippering van verantwoordelijkheden en de beperkte sturing vanuit de overheid richting vitale sectoren en essentiële leveranciers.” Andere EU-landen, zoals Frankrijk en Duitsland, tonen volgens hem aan “dat een meer centrale, strakke regie wél werkt.”
Ook op ketenverantwoordelijkheid kan Nederland leren van buurlanden. “Nederland is een digitaal knooppunt met veel internationale partijen, maar de grip op toeleveranciers blijft vaak beperkt. Landen als België of Denemarken zijn verder in het afdwingen van eisen richting de hele keten.”
Security through obscurity voorbij
De openheid van ENISA’s aanpak roept vragen op over veiligheid. Geeft je strategie weggeven aanvallers niet juist handvatten? De Winter ontkracht die zorg: “Er zit op zichzelf geen spanning in het openlijk delen van cybersecurity-strategieën, zolang je onderscheid maakt tussen strategische keuzes en operationele details.”
Security through obscurity – vertrouwen op geheimhouding in plaats van robuuste maatregelen – werkt averechts, benadrukt hij. “Juist die geslotenheid leidt vaak tot situaties waarin cruciale informatie niet terechtkomt bij de mensen die die wél nodig hebben: binnen organisaties, tussen sectoren en richting overheid. Dat maakt ons als geheel kwetsbaarder.”
Meer dan politiek spel
Benchmarking tussen landen heeft onvermijdelijk een politieke component, erkent De Winter, maar de praktische waarde overstijgt dat. “Door te vergelijken hoe andere landen de NIS2-vereisten vertalen naar praktijk, krijg je inzicht in wat werkt, welke valkuilen er zijn en hoe je de lat realistisch én ambitieus legt.”
De tool vormt onderdeel van ENISA’s bredere ondersteuning bij NIS2-implementatie, naast technische richtlijnen en tools zoals de European Vulnerability Database. Tegelijk toont het recente Cybersecurity Assessment 2024 een intensivering van staatscyberactiviteiten en verbreding van capaciteiten – redenen te meer voor Nederlandse organisaties om niet langer af te wachten.
Nederlandse organisaties die nu alvast leren van de Europese koplopers, staan straks sterker wanneer de Cyberbeveiligingswet daadwerkelijk van kracht wordt. De Winter stelt de prioriteiten helder: “Minder vrijblijvendheid, meer regie en ketenaanpak, én betere informatie-uitwisseling. Dat zijn terreinen waar andere landen nu al stappen zetten en waarvan Nederland de praktijkvoorbeelden kan benutten.”