In 1885 werd de eerste praktisch bruikbare auto met een verbrandingsmotor uitgevonden door Karl Benz. Hoewel Saab en Volvo eind jaren 50 veiligheidsgordels monteerden in hun auto’s, zou het tot 1975 duren voordat het gebruik van de gordel in Nederland verplicht werd.
Het heeft 90 jaar geduurd voordat er naast preventieve maatregelen (deugdelijke verlichting, rijbewijs, verkeersregels) een wettelijke verplichting kwam om voorbereid te zijn op een daadwerkelijk ongeluk zodat daarmee de impact ervan wordt verkleind.
Interessant is om te kijken waar op dit vlak informatietechnologie staat, want de overeenkomsten lijken evident. De eerste moderne computers werden tijdens de Tweede Wereldoorlog ontwikkeld. Tel daar 90 jaar bij op en dan hebben we nog enkele jaren te gaan, zou je zeggen.
De realiteit is dat informatiesystemen kwetsbaar zijn en dat informatiebeveiliging in beginsel risicomanagement is waarvoor organisaties zelf verantwoordelijk zijn. In de praktijk betekent dat vaak dat risico’s pas aandacht krijgen als er tijd en budget voor is. Daardoor kunnen ze makkelijk naar de achtergrond verdwijnen tussen alle andere urgente thema’s. Juist dat zorgt ervoor dat onze maatschappij als geheel kwetsbaar blijft.
Toch zijn er grote stappen gezet en voldoen veel organisaties aan de voor hen van toepassing zijnde normeringen maar het is ook de realiteit dat deze vooral op preventie gericht zijn en op traditionele disaster recovery. Voorbereid zijn op gevoelige data die gestolen is en informatiesystemen die gegijzeld zijn of zelfs onbruikbaar gemaakt zijn, is een heel ander verhaal.
De Europese Unie onderkent dat hiervoor een driepuntsgordel nodig is, al dan niet verplicht. En dat is precies de ontwikkeling van de afgelopen jaren met de komst van GDPR (AVG), DORA en NIS2 (Cbw) die we gezien hebben. De EU richt daarmee haar eigen risicomanagement in en verplicht kritische organisaties hun incidenten te melden. Daarmee ontstaat inzicht op basis waarvan nieuwe of aanvullende maatregelen te nemen zijn en wordt er helderheid gegeven over governance, ook bij complexe leveranciersketens. Het is nog wennen aan deze verplichte verantwoordelijkheid, die naar verwachting steeds strenger gehandhaafd wordt, voor steeds meer organisaties gaat gelden en steeds concreter zal worden uitgewerkt in wetgeving.
Hoewel door het geopolitieke krachtenveld de aandacht verschuift naar deregulering, gaat het hier niet om het plastic dopje op de fles frisdrank of de usb‑c‑standaard (zelfs bij iPhones), het gaat om de veiligheid van EU‑burgers. We worden gedwongen om verder te kijken dan preventie en moeten dan ook voorbereid zijn als het misgaat. Deze nieuwe volwassenheidsnorm is allesbehalve eenvoudig en op geen enkele manier te vergelijken met het plaatsen van een driepuntsgordel in een auto. Maar het streven naar het omdoen van de gordel vóór vertrek is dan wel degelijk het doel en dan helpt EU‑brede wetgeving.
Bovendien en bovenal, geeft dit een boost aan het ontwikkelen van kennis over digitale weerbaarheid en business continuity waar we gezamenlijk van profiteren. Laat maar komen, die gordelplicht. We zijn er klaar voor.
GroupWize d.d. 24-2-2026