- Van beveiliging naar aantoonbare weerbaarheid
De Europese NIS2-richtlijn wordt in Nederland omgezet in de Cyberbeveiligingswet. Het doel is duidelijk: netwerken en informatiesystemen beter beschermen tegen digitale verstoringen en aanvallen.
De wet richt zich op essentiële en belangrijke organisaties en legt nadruk op drie dingen:
- bestuurlijke verantwoordelijkheid
- risicomanagement
- beveiliging van de toeleveringsketen
In gewone taal: de lat verschuift van “maatregelen hebben” naar “kunnen aantonen dat ze werken”, ook als systemen onder druk staan.
Voor woningcorporaties betekent dit dat cyberveiligheid niet alleen een technisch vraagstuk is. Het gaat om regie. Wie neemt besluiten? Wie meldt een incident? Wie communiceert met huurders, toezichthouders en partners? En welke afspraken gelden met leveranciers als er iets misgaat?
- “Valt mijn woningcorporatie onder de Cyberbeveiligingswet?”
De Cyberbeveiligingswet geldt voor organisaties die door de overheid worden aangemerkt als essentieel of belangrijk voor het functioneren van de samenleving. Denk aan sectoren zoals energie, transport, digitale infrastructuur, gezondheidszorg en bepaalde digitale dienstverleners.
Voor woningcorporaties is de situatie genuanceerder. De corporatiesector is op dit moment niet expliciet als NIS2-sector aangewezen. Dat betekent dat de meeste corporaties waarschijnlijk niet direct onder de Cyberbeveiligingswet vallen. Tegelijkertijd betekent dit niet dat de wet voor corporaties irrelevant is.
Digitale weerbaarheid wordt namelijk steeds vaker een onderwerp waar financiers, toezichthouders en samenwerkingspartners expliciet naar vragen. Zij verwachten dat organisaties aantoonbaar grip hebben op hun digitale risico’s en op de leveranciers waarvan zij afhankelijk zijn.
Voor woningcorporaties is dat relevant, omdat veel kernprocessen draaien op systemen van externe partijen. Denk aan huurdersportalen, communicatiesystemen, cloudopslag of dataverwerking. Wanneer daar een incident plaatsvindt, raakt dat uiteindelijk de corporatie, haar dienstverlening en haar huurders.
Juist daarom zullen bestuurders steeds vaker moeten kunnen uitleggen:
- welke digitale processen kritisch zijn
- welke leveranciers daarbij betrokken zijn
- welke beveiligingsafspraken zijn gemaakt
- hoe incidenten worden gemeld en afgehandeld
Daar komt bij dat voorbereiding tijd kost. Het inrichten van governance, incidentprocessen en ketenafspraken duurt vaak maanden.
Voor bestuurders komt het daarom neer op een praktische realiteit:
de vraag is niet alleen of de wet formeel van toepassing is, maar vooral of je organisatie kan aantonen dat zij haar digitale risico’s en ketenafhankelijkheden onder controle heeft.
- Drie punten waar woningcorporaties in de praktijk over struikelen
a) Ketenafhankelijkheid
De ransomware-aanval bij AddComm liet zien hoe kwetsbaar digitale ketens kunnen zijn. Een externe dienstverlener wordt geraakt, en corporaties moeten huurders waarschuwen voor mogelijke datalekken en phishing.
Voor corporaties betekent dit dat leveranciersmanagement verder gaat dan inkoop en SLA’s.
Het gaat ook om:
- security-eisen
- audit- en rapportageafspraken
- incidentprocedures
- continuïteit van dienstverlening
De kernvraag is simpel: wat gebeurt er als een leverancier uitvalt en hoe snel kun je door?
b) Incidentmelding: de 24-uurs realiteit
Wanneer een incident wordt vastgesteld, moet binnen 24 uur een eerste melding worden gedaan bij het nationale Computer Security Incident Response Team en de toezichthouder. In de praktijk is dat lastiger dan het klinkt.
Incidenten beginnen vaak als iets ogenschijnlijk kleins: een storing, vreemd gedrag in een huurdersportaal of een proces dat plotseling niet meer werkt. In die fase is het feitenbeeld bijna altijd onvolledig. Belangrijke informatie over oorzaak, tijdlijn en impact zit vaak bij de leverancier of zelfs bij diens onderaannemers. Daar ontstaat een kwetsbare afhankelijkheid: je moet mogelijk al melden en communiceren, terwijl je nog wacht op technische analyse en logbestanden.
Juist daarom is het risicovol wanneer je in de eerste 24 tot 72 uur volledig afhankelijk bent van een leverancier voor feiten en impactanalyse. Als ook persoonsgegevens zijn geraakt, speelt bovendien de Algemene Verordening Gegevensbescherming (AVG). Dan moet je niet alleen melden, maar ook kunnen uitleggen wat er is gebeurd, welke gegevens zijn geraakt en welke maatregelen worden genomen.
c) Bestuurlijke regie: “Niemand was verantwoordelijk” werkt niet meer
Digitale weerbaarheid vraagt bestuurlijke keuzes. Hoeveel risico accepteert de organisatie?
Wie neemt besluiten bij een incident? En hoe wordt onder tijdsdruk besloten over communicatie, herstel en melding?
Zonder duidelijke afspraken ontstaat in een incident al snel het klassieke probleem: iedereen is betrokken, maar niemand voelt zich eindverantwoordelijk.
Daarom begint cyberweerbaarheid met heldere governance. In de praktijk betekent dit meestal drie dingen:
- één bestuurder of directielid dat eindverantwoordelijk is voor digitale weerbaarheid
- een crisisteam met vooraf vastgelegde rollen (bestuur, IT, juridisch, communicatie)
- een besluitprotocol voor de eerste 24 uur van een incident
Het doel is niet om elk scenario vooraf uit te schrijven. Het doel is dat bij een incident direct duidelijk is wie de leiding neemt, welke informatie nodig is en welke besluiten wanneer moeten worden genomen.
Cyberweerbaarheid is daarmee geen IT-project, maar een bestuurlijke verantwoordelijkheid die net zo georganiseerd moet worden als financiële of operationele risico’s.
- Wat woningcorporaties moeten doen
a) Maak één overzicht van kritieke processen en leveranciers
Niet elk systeem is even belangrijk. Begin met 10 tot 15 processen die direct huurders raken.
Denk bijvoorbeeld aan:
- huurdersportalen
- reparatieverzoeken
- betalingsprocessen
- communicatie met woningzoekenden
Koppel per proces de belangrijkste leveranciers en IT-diensten.
Het doel: één overzicht dat op één A4 duidelijk maakt:
- welk proces kan uitvallen
- welke leverancier betrokken is
- welke data geraakt kan worden
- wie je als eerste moet bellen
- welk besluit het bestuur mogelijk moet nemen
b) Leg incidentafspraken contractueel vast en test ze
De 24-uurs realiteit maakt duidelijke afspraken met leveranciers essentieel.
Leg minimaal vast:
- wanneer en hoe je wordt geïnformeerd bij incidenten
- wie forensisch onderzoek uitvoert en wie de kosten draagt
- welke logging en rapportages beschikbaar zijn
- welke continuïteitsafspraken gelden
Juist in de eerste dagen na een incident moet duidelijk zijn wie wat doet.
c) Oefen één scenario met het interne crisisteam
Een korte table-top oefening levert vaak meer inzicht op dan een stapel beleidsdocumenten.
Kies een herkenbaar scenario, zoals:
- een gehackte leverancier met mogelijk gelekte huurdersgegevens
- een huurdersportaal dat uitvalt waardoor dienstverlening wordt verstoord
Bespreek daarbij expliciet de kernvragen:
- wie beslist
- wie communiceert
- wie meldt
- wat moet binnen 24 uur geregeld zijn
Wie dit echt scherp wil krijgen, kan werken met een realistische cybersimulatie. Daarbij ervaren bestuur en management een incident in real-time: welke informatie is beschikbaar, wie neemt de leiding en welke meldplichten spelen mee?
- Praktische volgende stap
Veel woningcorporaties herkennen dat digitale risico’s steeds vaker bestuurlijke aandacht vragen, maar zoeken nog naar een praktische manier om regie te organiseren.
Daar kunnen wij concreet bij helpen.
- Inhouse cybersimulatie of crisistraining
Wij verzorgen realistische cybersimulaties voor bestuur, MT en crisisteams. In een praktijkscenario ervaren deelnemers hoe een incident zich ontwikkelt, welke informatie wel of niet beschikbaar is en welke besluiten onder tijdsdruk genomen moeten worden. Zo wordt snel duidelijk waar governance, communicatie en besluitvorming in de praktijk knellen.
- Incidentresponsplan voor woningcorporaties
Daarnaast hebben wij een praktisch incidentresponsplan ontwikkeld dat specifiek is toegespitst op woningcorporaties. Het plan helpt organisaties om vooraf vast te leggen wie verantwoordelijk is, welke stappen bij een incident moeten worden gezet en hoe meldplichten en communicatie worden georganiseerd.
Voor organisaties die hun digitale weerbaarheid structureel willen versterken begeleiden wij daarnaast ook het volledige traject naar digitale compliance, inclusief governance, ketenafspraken, incidentprocessen en voorbereiding op de Cyberbeveiligingswet.
Wilt u het incidentresponsplan voor woningcorporaties ontvangen of verkennen wat een cybersimulatie voor uw organisatie kan betekenen?
Neem gerust contact op met Reny Stark, advocaat partner Technology & Data, via r.stark@lexence.com
Roadmap
Wilt u het grotere geheel overzien en bepalen welke digitale verplichtingen voor uw organisatie écht prioriteit hebben?
Download dan hieronder de Digitale Compliance Roadmap 2026 en ontdek waar u nu strategisch op moet sturen.
