Voor zorgorganisaties betekent NIS2 dat digitale veiligheid direct gekoppeld wordt aan continuïteit van zorg en patiëntvertrouwen.
NIS2 is een Europese richtlijn die zorgorganisaties verplicht om digitale risico’s structureel te beheersen en verstoringen te voorkomen.
De verantwoordelijkheid voor informatiebeveiliging en continuïteit van zorg ligt expliciet binnen de organisatie en moet aantoonbaar worden ingericht.
Bestuur en management worden nadrukkelijk verantwoordelijk voor het beheersen van risico’s en het aantoonbaar nemen van maatregelen rondom informatiebeveiliging. Dit vraagt om meer structuur, duidelijke verantwoordelijkheden en betere samenwerking binnen en buiten de organisatie.
Organisaties die hierin stappen zetten, krijgen beter grip op risico’s en bouwen aan een stabiele basis voor de toekomst.
1. Wat betekent NIS2 voor organisaties
De NIS2 richtlijn verandert de positie van informatiebeveiliging binnen organisaties. Wat eerst vaak een ondersteunend onderwerp was, schuift nu naar de kern van de bedrijfsvoering.
Die verandering zit niet in één maatregel of verplichting, maar in de manier waarop organisaties naar digitale afhankelijkheid kijken. Systemen, data en processen zijn zo verweven geraakt met dagelijkse activiteiten dat verstoringen direct voelbaar zijn. Niet alleen intern, maar ook richting klanten, partners en ketens.
Informatiebeveiliging krijgt daarmee een andere lading. Het gaat niet meer over het beschermen van systemen op de achtergrond, maar over het beheersen van risico’s die invloed hebben op de hele organisatie. Dat maakt het automatisch een onderwerp dat thuishoort in besluitvorming op hoger niveau.
In de praktijk betekent dit dat keuzes anders worden gemaakt. Digitale risico’s worden niet meer pas zichtbaar bij incidenten, maar spelen mee in voorafgaande afwegingen. Groei, samenwerking en innovatie brengen nieuwe afhankelijkheden met zich mee, en die moeten worden meegenomen in hoe organisaties sturen.
Daarbij ontstaat ook meer druk op duidelijkheid. Niet alleen intern, maar ook naar buiten toe. Het moet zichtbaar zijn dat zaken op orde zijn, dat risico’s bekend zijn en dat er bewust wordt gehandeld. Dat vraagt om structuur, maar vooral om consistentie.
Binnen organisaties verandert daardoor de dynamiek. Informatiebeveiliging raakt meerdere disciplines tegelijk. Het blijft niet beperkt tot IT, maar loopt door in processen, beleid en dagelijkse werkzaamheden.
Wat opvalt, is dat organisaties die hier stappen in zetten vaak dezelfde beweging maken:
- Ze brengen samenhang aan waar eerst losse initiatieven waren
- Ze maken verantwoordelijkheden expliciet in plaats van impliciet
- Ze zorgen dat beslissingen herleidbaar zijn
- Ze creëren overzicht in plaats van versnippering
Dit gebeurt niet door alles complexer te maken, maar juist door keuzes te versimpelen en beter te onderbouwen.
Ook de manier waarop risico’s worden benaderd verandert. Volledige controle bestaat niet, en dat hoeft ook niet. Het draait om het begrijpen van impact en het maken van bewuste afwegingen. Sommige risico’s worden geaccepteerd, andere niet. Die lijn moet helder zijn.
Dat vraagt om een ander soort gesprek binnen organisaties. Minder technisch, meer gericht op gevolgen en prioriteiten. Niet wat er precies kan gebeuren, maar wat het betekent als het gebeurt.
Tegelijkertijd groeit het besef dat verstoringen niet altijd te voorkomen zijn. De aandacht verschuift daarom ook naar hoe organisaties omgaan met situaties waarin dingen anders lopen dan gepland. Continuïteit wordt daarmee net zo belangrijk als bescherming.
Processen moeten kunnen doorgaan, ook als omstandigheden veranderen. Besluitvorming mag niet stilvallen. Herstel moet beheerst verlopen. Dat vraagt om voorbereiding, maar ook om flexibiliteit.
De rol van management verandert hierin vanzelf mee. Niet door inhoudelijk alles te kennen, maar door richting te geven. Door prioriteiten te stellen, keuzes te maken en te zorgen dat de organisatie niet afhankelijk wordt van toeval.
Daar hoort ook bij dat zaken aantoonbaar zijn. Niet als administratieve verplichting, maar als onderdeel van hoe gewerkt wordt. Vastleggen wat er gebeurt, waarom keuzes worden gemaakt en hoe processen verlopen, geeft grip en maakt bijsturen mogelijk.
Een ander effect is dat grenzen vervagen. Organisaties werken samen in netwerken van leveranciers en partners. Wat buiten de organisatie gebeurt, heeft direct invloed op de eigen situatie. Dat maakt afhankelijkheden zichtbaarder en vraagt om meer afstemming.
In dat geheel groeit ook de samenhang met privacy. Gegevensbescherming en informatiebeveiliging versterken elkaar. Zwakke processen raken beide onderwerpen tegelijk, sterke inrichting ondersteunt ze allebei.
Tot slot speelt gedrag een grotere rol dan vaak wordt gedacht. Niet omdat iedereen specialist moet zijn, maar omdat keuzes en handelingen op meerdere plekken invloed hebben. Bewustzijn ontstaat niet door regels, maar door begrip van impact.
De NIS2 richtlijn brengt al deze elementen samen. Niet als losse eisen, maar als aanleiding om informatiebeveiliging anders te organiseren. Minder versnipperd, meer samenhangend. Minder reactief, meer gestuurd.
2. Van wet naar uitvoering
De stap van regels naar dagelijkse praktijk is waar veel organisaties vastlopen. De NIS2 implementatie lijkt overzichtelijk zolang het abstract blijft, maar wordt pas echt complex wanneer het doorvertaald moet worden naar hoe er gewerkt wordt. De NIS2 implementatie vraagt namelijk niet om extra werk naast bestaande processen, maar om het anders organiseren van die processen zelf.
Wat vaak gebeurt, is dat organisaties beginnen met losse acties. Een beleidsdocument, een nieuwe controle, een extra maatregel. Op zichzelf logisch, maar zonder samenhang ontstaat er weinig grip. Het voelt alsof er veel gebeurt, terwijl het overzicht juist afneemt.
De kern zit in verbinding. Niet alles tegelijk oppakken, maar zorgen dat keuzes logisch op elkaar aansluiten. Dat vraagt om richting en een duidelijke lijn in hoe informatiebeveiliging onderdeel wordt van de dagelijkse aansturing.
In de praktijk schuurt dat vaak. Afdelingen werken vanuit hun eigen tempo en prioriteiten. Digitale veiligheid past daar niet automatisch tussen. Het wordt pas werkbaar wanneer duidelijk is waar het raakt en waarom het relevant is voor de organisatie als geheel.
Organisaties die hier stappen in zetten, brengen dat terug naar de essentie. Niet alles hoeft tegelijk, maar het moet wel kloppen. Ze maken keuzes die passen bij hun eigen situatie en houden het werkbaar voor de mensen die ermee moeten werken.
Wat daarbij helpt, is een aantal bewuste uitgangspunten:
- keuzes maken op basis van impact, niet volledigheid
- aansluiten bij bestaande processen in plaats van iets nieuws ernaast zetten
- verantwoordelijkheden duidelijk beleggen, zonder overlap
- maatregelen praktisch houden in plaats van theoretisch
Dit voorkomt dat implementatie een papieren exercitie wordt.
Een ander punt dat vaak zichtbaar wordt, is de rol van techniek. De neiging bestaat om oplossingen te zoeken in tools en systemen, terwijl de echte uitdaging meestal organisatorisch is. Zonder duidelijke afspraken en richting blijft techniek losstaan van de praktijk.
Daarom zie je dat organisaties die verder zijn, eerst structuur aanbrengen en pas daarna techniek inzetten als ondersteuning. Technologie volgt de organisatie, niet andersom.
Tegelijkertijd wordt governance concreter. Niet als abstract model, maar als iets dat zichtbaar wordt in hoe besluiten worden genomen en opgevolgd. Wie neemt het voortouw, wie bewaakt het overzicht en hoe wordt voortgang besproken? Dat zijn vragen die in de uitvoering direct naar voren komen.
Daarbij helpt een vast ritme, zonder dat het zwaar of bureaucratisch wordt. Regelmatig stilstaan bij wat er gebeurt, wat werkt en waar bijsturing nodig is, houdt de implementatie levend.
Samenwerking blijkt in de praktijk een doorslaggevende factor. Informatiebeveiliging raakt meerdere onderdelen van de organisatie tegelijk. Wanneer die langs elkaar heen werken, ontstaat vertraging of onduidelijkheid. Dat wordt niet opgelost met meer overleg, maar met betere afstemming.
Organisaties die hierin groeien, maken expliciet:
- wie wanneer betrokken moet zijn
- welke informatie gedeeld wordt
- hoe beslissingen tot stand komen
- waar knelpunten besproken worden
Dat zorgt voor duidelijkheid zonder extra complexiteit.
Besluitvorming zelf verandert ook. Niet alles is vooraf te bepalen en dat hoeft ook niet. Er blijven situaties waarin keuzes gemaakt moeten worden met beperkte informatie. Het verschil zit in hoe daarmee wordt omgegaan. Organisaties die grip hebben, zorgen dat besluitvorming doorgaat, ook wanneer niet alles zeker is.
Beleid speelt hierin een ondersteunende rol. Het geeft richting, maar moet wel aansluiten op de praktijk. Zodra procedures te ver afstaan van hoe mensen werken, verliezen ze hun waarde.
Daarom kiezen organisaties die verder zijn vaak voor eenvoud. Geen uitgebreide documenten die in een la verdwijnen, maar duidelijke kaders die helpen bij dagelijkse keuzes. Dat maakt het werkbaar en zorgt ervoor dat beleid ook echt gebruikt wordt.
Wat daarbij essentieel is, is blijven toetsen. Sluit dit nog aan bij hoe de organisatie werkt? Is het uitvoerbaar? Als dat niet zo is, moet het aangepast worden. Niet vasthouden aan wat ooit bedacht is, maar blijven verbeteren.
Een belangrijk inzicht is dat implementatie geen eindpunt heeft. Het stopt niet na invoering, maar ontwikkelt zich door. Organisaties die dit begrijpen, richten zich niet alleen op starten, maar ook op onderhouden en verbeteren.
Ze bouwen aan een manier van werken die meebeweegt met veranderingen. Nieuwe risico’s, andere samenwerkingen of groei van de organisatie vragen telkens om aanpassing. Door dat als normaal te zien, ontstaat een stabielere basis.
Uiteindelijk verschuift de focus van losse acties naar samenhang. Minder afhankelijk van individuele initiatieven, meer gestuurd vanuit structuur en overzicht. Informatiebeveiliging wordt daarmee geen apart traject, maar onderdeel van hoe de organisatie functioneert.
3. Risicomanagement als basis
Cybersecurity risicomanagement gaat niet over zoveel mogelijk risico’s benoemen, maar over begrijpen waar het echt pijn doet als iets misgaat. Binnen cybersecurity risicomanagement draait het om richting geven aan keuzes, niet om het verzamelen van lijstjes. Goed cybersecurity risicomanagement maakt duidelijk waar aandacht nodig is en waar niet.
In veel organisaties ontstaat ruis doordat risico’s versnipperd worden bekeken. Per systeem, per afdeling, per incident. Dat voelt logisch, maar zorgt zelden voor overzicht. Pas wanneer risico’s in samenhang worden bekeken, ontstaat er iets bruikbaars. Dan verschuift de vraag van “wat kan er gebeuren?” naar “wat betekent dit voor ons als het gebeurt?”.
Daar zit meteen de kern. Impact bepaalt prioriteit. Niet de technische complexiteit, maar de gevolgen voor processen, dienstverlening en samenwerking. Daardoor wordt risicomanagement ook een gesprek dat breder gevoerd kan worden binnen de organisatie.
Wat daarin opvalt, is dat organisaties vaak te diep beginnen. Alles analyseren, alles vastleggen, alles willen begrijpen. Terwijl het juist helpt om eerst grof te kijken:
- waar zit echte afhankelijkheid
- welke processen mogen simpelweg niet stilvallen
- waar ontstaat kettingreactie als iets uitvalt
Dat soort vragen brengt snel focus, zonder dat het zwaar wordt.
Vanaf daar ontstaat vanzelf de volgende stap: keuzes maken. Niet alles tegelijk aanpakken, maar bepalen wat eerst moet. En misschien nog belangrijker: wat even niet.
Daar gaat het vaak mis. De neiging om alles af te dekken leidt tot vertraging. Organisaties die verder zijn, accepteren dat risicomanagement ook betekent dat sommige dingen blijven bestaan. Niet uit onverschilligheid, maar omdat prioriteit ergens anders ligt.
Die manier van werken zie je terug in hoe zij omgaan met maatregelen. Minder losse acties, meer gerichte ingrepen die meerdere risico’s tegelijk raken. Dat voelt soms minder zichtbaar, maar werkt op de lange termijn beter.
Een ander punt waar risicomanagement echt verschil maakt, is continuïteit. Niet als apart thema, maar als logisch gevolg van keuzes. Want als duidelijk is wat echt belangrijk is, wordt ook duidelijk wat moet blijven draaien wanneer het onder druk staat.
Dat leidt tot andere vragen binnen de organisatie. Niet technisch, maar praktisch:
- wat moet doorgaan, ook als systemen uitvallen
- hoe wordt werk tijdelijk anders ingericht
- wie neemt beslissingen wanneer snelheid nodig is
Dat soort vragen zorgen ervoor dat risicomanagement direct verbonden raakt met de praktijk.
Wat daarbij niet genegeerd kan worden, is de afhankelijkheid van anderen. Organisaties functioneren zelden op zichzelf. Leveranciers, partners en externe systemen zijn onderdeel van het geheel. Dat maakt risico’s minder zichtbaar en soms moeilijker te beïnvloeden.
Toch vraagt dit wel aandacht. Niet door alles dicht te willen regelen, maar door helder te hebben waar afhankelijkheden zitten en wat de impact daarvan is. Dat inzicht maakt het mogelijk om gerichter samen te werken en verwachtingen uit te spreken.
Risicomanagement blijft ondertussen in beweging. Situaties veranderen, prioriteiten verschuiven en nieuwe afhankelijkheden ontstaan. Dat betekent dat het nooit “af” is.
Organisaties die hier goed mee omgaan, bouwen geen statisch model, maar een manier van werken. Ze blijven kijken, bijstellen en verbeteren. Niet omdat het moet, maar omdat de realiteit daarom vraagt.
Beleid speelt hierin een rol, maar alleen wanneer het helpt. Zodra het loskomt van de praktijk, verliest het zijn waarde. Daarom zie je dat organisaties die verder zijn, kiezen voor eenvoud. Geen uitgebreide beschrijvingen, maar duidelijke kaders die richting geven aan keuzes.
Tot slot zit de kracht van risicomanagement niet in analyse, maar in toepassing. In hoe inzichten worden omgezet naar acties, en hoe die acties onderdeel worden van de organisatie.
Daar ontstaat het verschil. Niet in wat er op papier staat, maar in hoe er dagelijks wordt gewerkt en besloten.
4. Incidentrespons en meldplicht
Incidentrespons NIS2 laat zien hoe goed een organisatie werkelijk functioneert onder druk. Op papier kan veel kloppen, maar pas bij een verstoring wordt duidelijk of keuzes, structuur en verantwoordelijkheden echt werken. Incidentrespons NIS2 draait daarom niet alleen om reageren, maar om beheerst handelen in situaties die per definitie onvoorspelbaar zijn. Binnen incidentrespons NIS2 gaat het om overzicht houden terwijl de druk toeneemt.
In die eerste momenten ontstaat vaak het grootste verschil. Niet omdat alles direct opgelost moet worden, maar omdat richting nodig is. Wat gebeurt er, wat betekent dit en wat heeft nu prioriteit? Zonder die lijn ontstaat al snel ruis.
Wat opvalt, is dat organisaties die voorbereid zijn niet per se sneller reageren, maar rustiger. Ze vallen terug op afspraken en weten wie aan zet is. Dat voorkomt dat iedereen tegelijk gaat handelen zonder afstemming.
In de praktijk zie je dat de eerste fase vooral draait om stabiliseren:
- zorgen dat duidelijk is wat er speelt
- voorkomen dat de situatie verder escaleert
- bepalen wie betrokken moet worden
- overzicht creëren voordat er actie volgt
Die volgorde lijkt simpel, maar wordt onder druk vaak overgeslagen.
Daarna komt het moment waarop beoordeeld moet worden wat de impact is. Niet elk incident heeft dezelfde betekenis. Sommige verstoringen blijven intern, andere raken direct de dienstverlening of omgeving. Het verschil zit in de gevolgen, niet in de oorzaak.
Dat vraagt om een bredere blik. Niet alleen kijken naar wat er technisch gebeurt, maar naar wat het betekent voor processen, samenwerking en continuïteit. Die afweging bepaalt ook of en hoe er verder gehandeld moet worden.
Tijd speelt hierin een rol, maar niet op de manier die vaak wordt gedacht. Snelheid zonder richting levert weinig op. Wat nodig is, is tempo met controle. Weten wanneer een beslissing genomen moet worden en op basis waarvan.
Organisaties die hierin groeien, werken niet met vaste scripts, maar met duidelijke momenten waarop keuzes gemaakt worden:
- wanneer opschalen nodig is
- wanneer externen betrokken worden
- wanneer informatie gedeeld moet worden
- wanneer er opnieuw beoordeeld wordt
Dat geeft houvast zonder dat het rigide wordt.
Tijdens een incident verschuift ook de manier van communiceren. Informatie krijgt direct invloed op hoe mensen handelen. Onvolledige of tegenstrijdige berichten zorgen voor onrust en vertraging.
Daarom zie je dat organisaties die verder zijn, communicatie centraal organiseren. Niet om controle te houden, maar om duidelijkheid te creëren. Eén lijn, afgestemd op wat op dat moment nodig is.
Naast interne afstemming speelt de buitenwereld een rol. In veel gevallen moet er contact worden gelegd met externe partijen. Dat vraagt om zorgvuldigheid. Niet alles kan of hoeft direct gedeeld te worden, maar wat gedeeld wordt moet kloppen.
Dit raakt ook aan verantwoordelijkheid. Wie spreekt namens de organisatie? Welke informatie is bevestigd en welke nog niet? Dat soort vragen bepalen hoe professioneel een organisatie overkomt in een situatie die al gevoelig is.
Wanneer de druk verder oploopt, verandert de dynamiek. Besluitvorming moet sneller, met minder zekerheid. Dat vraagt om duidelijke bevoegdheden en vertrouwen in de inrichting van de organisatie.
Wat dan helpt, is dat vooraf helder is:
- wie knopen doorhakt
- welke prioriteiten leidend zijn
- hoe informatie wordt verzameld
- waar beslissingen op gebaseerd worden
Zonder die basis vertraagt alles, precies op het moment dat snelheid nodig is.
Een aspect dat vaak onderschat wordt, is vastlegging tijdens het incident. Niet als administratieve taak, maar als middel om overzicht te houden. Wat is er gebeurd, wat is besloten en waarom?
Die informatie blijkt later onmisbaar. Niet alleen voor verantwoording, maar ook om te begrijpen wat goed ging en wat niet.
Na de acute fase verschuift de aandacht. Niet abrupt, maar geleidelijk. Herstel vraagt net zoveel aandacht als reactie. Te snel terug naar normaal kan nieuwe problemen veroorzaken.
Daarom zie je dat organisaties bewust kiezen voor een gefaseerde aanpak. Eerst stabiliteit, daarna herstel, en pas daarna volledige terugkeer naar de reguliere situatie.
Pas daarna ontstaat ruimte om terug te kijken. Niet om te evalueren omdat het moet, maar omdat er iets te leren valt. Elk incident legt iets bloot over de organisatie.
Wat dan vaak zichtbaar wordt:
- waar afstemming goed ging
- waar onduidelijkheid ontstond
- welke beslissingen te laat of te vroeg kwamen
- welke aannames niet klopten
Die inzichten zijn waardevoller dan welke analyse vooraf ook.
Incidentrespons stopt daar niet. Wat geleerd wordt, moet terugkomen in de organisatie. In processen, in afspraken en in hoe mensen samenwerken. Anders blijft het een eenmalige ervaring.
De organisaties die hierin volwassen worden, zien incidentrespons niet als iets dat “afgevinkt” kan worden. Het is onderdeel van hoe zij functioneren. Iets dat meebeweegt met veranderingen, net als de rest van de organisatie.
5. Rollen en verantwoordelijkheden
Cybersecurity rollen bepalen of informatiebeveiliging werkt in de praktijk of blijft hangen in goede intenties. Zonder duidelijke verdeling ontstaat er al snel verwarring: taken blijven liggen, verantwoordelijkheden overlappen of niemand voelt zich echt eigenaar. Door rollen expliciet te maken, ontstaat er structuur. Cybersecurity rollen zorgen ervoor dat duidelijk is wie stuurt, wie uitvoert en wie bewaakt.
Wat hierbij opvalt, is dat veel organisaties in eerste instantie denken in functies, terwijl het eigenlijk draait om verantwoordelijkheden. Niet de titel is leidend, maar de vraag: wie doet wat, en wanneer?
In de praktijk begint dit vaak met het zichtbaar maken van werk dat er al is. Veel taken rondom informatiebeveiliging bestaan namelijk al, maar zijn verspreid over verschillende rollen en afdelingen. Pas wanneer die bij elkaar worden gebracht, ontstaat overzicht.
Daarbij helpt het om niet alles opnieuw te bedenken, maar aan te sluiten op wat er al gebeurt. Rollen worden sterker wanneer ze logisch passen binnen de bestaande organisatie.
Wat organisaties die hierin groeien anders doen, is dat ze scherp krijgen:
- waar beslissingen genomen worden
- wie verantwoordelijk is voor opvolging
- waar controle plaatsvindt
- hoe informatie wordt gedeeld
Dat klinkt simpel, maar maakt een groot verschil in de praktijk.
Een belangrijk effect van duidelijke rollen is dat samenwerking verandert. In plaats van dat iedereen “een beetje” betrokken is, ontstaat er gerichte afstemming. Mensen weten wanneer ze aan zet zijn en wanneer niet.
Dat voorkomt ook een veelvoorkomend probleem: dat informatiebeveiliging blijft hangen tussen afdelingen. Door rollen expliciet te maken, wordt zichtbaar waar iets thuishoort.
Tegelijk hoeft niet alles intern opgelost te worden. Veel organisaties werken met een combinatie van interne en externe expertise. Dat kan goed werken, zolang de regie binnen de organisatie blijft.
Daar zit vaak het verschil. Niet in wie het werk uitvoert, maar in wie verantwoordelijk blijft voor de uitkomst.
In de praktijk betekent dit dat organisaties bewust kiezen:
- welke kennis ze zelf willen opbouwen
- waar externe partijen worden ingezet
- hoe samenwerking wordt aangestuurd
- wie eindverantwoordelijkheid draagt
Zonder die keuzes ontstaat afhankelijkheid zonder overzicht.
Wat daarnaast belangrijk is, is dat rollen met elkaar verbonden zijn. Geen losse eilandjes, maar een geheel waarin informatie stroomt en acties op elkaar aansluiten. Dat vraagt om afstemming, maar vooral om duidelijkheid.
Organisaties die dit goed inrichten, zorgen dat rollen elkaar versterken in plaats van overlappen. Dat maakt het mogelijk om sneller te handelen en beter te sturen.
De inrichting van rollen staat ook niet vast. Naarmate een organisatie groeit of verandert, verschuiven verantwoordelijkheden. Wat vandaag werkt, kan morgen aangepast moeten worden.
Daarom zie je dat organisaties die verder zijn, hun rolverdeling regelmatig tegen het licht houden. Niet omdat het moet, maar omdat het helpt om scherp te blijven.
Een ander belangrijk punt is verankering. Rollen hebben pas waarde wanneer ze onderdeel zijn van de dagelijkse praktijk. Niet alleen beschreven op papier, maar zichtbaar in hoe gewerkt wordt.
Dat betekent dat verantwoordelijkheden terugkomen in:
- processen en werkwijzen
- overlegstructuren
- besluitvorming
- dagelijkse aansturing
Pas dan ontstaat er echt eigenaarschap.
Eigenaarschap is uiteindelijk waar het om draait. Wanneer duidelijk is wie ergens verantwoordelijk voor is, ontstaat er beweging. Acties worden opgepakt, beslissingen worden genomen en opvolging krijgt aandacht.
Zonder dat eigenaarschap blijft informatiebeveiliging afhankelijk van losse initiatieven. Met duidelijke rollen wordt het onderdeel van hoe de organisatie functioneert.
Tot slot speelt samenhang met de rest van de organisatie een grote rol. Rollen rondom informatiebeveiliging kunnen niet losstaan van andere verantwoordelijkheden. Ze moeten aansluiten op hoe de organisatie al werkt. Dat vraagt om integratie, niet om extra lagen. Wanneer rollen logisch passen binnen de bestaande structuur, worden ze vanzelf onderdeel van de dagelijkse praktijk.
Daar ontstaat het verschil. Niet in hoeveel rollen er zijn, maar in hoe helder ze zijn en hoe goed ze samenwerken.
