Cybersecurity awareness aantoonbaar maken: van training naar veilig gedrag
Cybersecurity awareness begint vaak met een training. Medewerkers leren phishing herkennen, sterke wachtwoorden gebruiken en verdachte situaties melden. Dat is nuttig, maar het is niet genoeg. Een groot deel van cyberincidenten hangt samen met menselijk gedrag. Volgens het Verizon Data Breach Investigations Report 2024 speelde de menselijke factor een rol in 68% van de onderzochte datalekken.
Kan je aantonen dat jouw werknemers veilig handelen?
Voor organisaties die met NIS2 te maken krijgen, wordt dat steeds belangrijker. Bewustwording mag geen losse actie zijn. Je moet laten zien dat veilig gedrag onderdeel is van je processen, rollen en dagelijkse werkwijze.
Daar zit voor veel organisaties de uitdaging. Er is misschien een jaarlijkse training. Er hangen posters op kantoor. Medewerkers krijgen af en toe een phishingtest. Toch blijft onduidelijk wat er gebeurt als iemand een verdacht bericht ontvangt. Wie beoordeelt de melding? Welke stappen volgen daarna? En wordt dit ergens vastgelegd?
Cybersecurity awareness werkt pas echt als kennis leidt tot herhaalbaar gedrag. Niet omdat medewerkers continu bang zijn om fouten te maken. Wel omdat duidelijk is wat veilig werken betekent in hun eigen functie.
Daarom gaat deze blog niet alleen over awareness. Het gaat over hoe je bewustwording vertaalt naar gedrag, processen en aantoonbare digitale weerbaarheid.
Wat betekent cybersecurity awareness?
Cybersecurity awareness betekent dat medewerkers digitale risico’s herkennen en weten wat zij moeten doen. Het gaat dus niet alleen om kennis. Het gaat vooral om gedrag in de praktijk.
Denk aan een medewerker die een verdachte factuur ontvangt. Of aan HR dat persoonsgegevens deelt met een externe partij. Ook een financieel medewerker die een betaalverzoek krijgt, moet weten wanneer extra controle nodig is.
Awareness wordt waardevol als medewerkers snel de juiste keuze kunnen maken. Zij moeten weten waar risico’s zitten, welke afspraken gelden en bij wie zij terechtkunnen.
Veel organisaties starten met een training. Dat is logisch. Medewerkers moeten eerst begrijpen welke risico’s bestaan. Toch blijft training een startpunt. Het wordt pas sterk als bewustwording terugkomt in onboarding, werkafspraken, meldprocedures en incidentopvolging.
Zo wordt cybersecurity awareness geen jaarlijkse verplichting. Het wordt een vaste manier van werken.
Waarom bewustwording alleen niet genoeg is
Kennis leidt niet automatisch tot veilig gedrag. Zeker niet als werkdruk hoog is of processen onduidelijk zijn.
Een medewerker kan weten wat phishing is. Toch kan diezelfde medewerker twijfelen bij een realistische mail van een leverancier. Zeker als er haast achter zit. Of als niemand weet waar zo’n mail gemeld moet worden.
Daarom moet je veilig gedrag makkelijk maken. Medewerkers hebben duidelijke afspraken nodig. Wat deel je wel en niet via mail? Hoe meld je een verdachte link? Wie beoordeelt een incident? En wat gebeurt er na een melding?
Zonder vaste processen blijft awareness afhankelijk van individuele oplettendheid. Dat is kwetsbaar. Mensen maken fouten, zeker in drukke periodes.
Met duidelijke processen wordt veilig gedrag minder afhankelijk van toeval. Je maakt het logisch, herhaalbaar en controleerbaar.
Dat is ook waar NIS2 relevant wordt. Organisaties moeten niet alleen maatregelen nemen. Ze moeten ook kunnen laten zien dat afspraken werken in de praktijk.
Van losse training naar aantoonbaar veilig gedrag
Een losse training kan bewustwording vergroten. Aantoonbaar veilig gedrag vraagt om meer structuur.
Begin bij herkenbare situaties. Algemene voorbeelden blijven vaak te abstract. Een HR medewerker heeft andere risico’s dan een IT manager. Finance ziet andere dreigingen dan operations.
Maak awareness daarom concreet per rol. HR werkt met persoonsgegevens. Finance ziet facturen, betaalverzoeken en bankgegevens. Management beslist over leveranciers en toegang tot systemen.
Daarna vertaal je risico’s naar duidelijke werkafspraken. Niet in lange beleidsstukken, maar in praktische stappen.
Bijvoorbeeld:
- Zo herken je een verdachte mail.
- Zo meld je een incident.
- Zo deel je gevoelige informatie.
- Zo controleer je een betaalverzoek.
- Zo leg je opvolging vast.
Vervolgens moet je meten of de aanpak werkt. Worden verdachte mails sneller gemeld? Worden incidenten beter vastgelegd? Weten nieuwe medewerkers welke afspraken gelden?
Die inzichten gebruik je om te verbeteren. Awareness wordt dan geen campagne, maar een continu proces.
Cybersecurity awareness en NIS2
NIS2 maakt cybersecurity awareness minder vrijblijvend. Organisaties moeten kunnen aantonen dat digitale risico’s serieus worden beheerst.
Dat gaat verder dan techniek. Ook medewerkers, processen en verantwoordelijkheden spelen een grote rol. Een veilige organisatie bestaat niet alleen uit systemen. Zij bestaat ook uit mensen die weten wat zij moeten doen.
Voor NIS2 is vooral belangrijk dat awareness aansluit op andere onderdelen. Denk aan toegangsbeheer, leveranciersmanagement, onboarding en incident response.
Als die onderdelen los van elkaar staan, ontstaat onduidelijkheid. Medewerkers krijgen dan wel training, maar weten niet hoe beleid werkt in de praktijk. Of incidenten worden gemeld, maar niet opgevolgd.
Daarom moet awareness onderdeel zijn van governance. Wie is eigenaar van het beleid? Wie bewaakt opvolging? Welke rapportage krijgt het management? En hoe toon je aan dat afspraken worden nageleefd?
Een NIS2 audit helpt om dit zichtbaar te maken. Je ziet welke afspraken al goed staan. Ook zie je waar processen, rollen of bewijs ontbreken.
Zo maak je cybersecurity awareness aantoonbaar
Aantoonbaarheid begint met structuur. Je hoeft niet alles tegelijk perfect te regelen. Wel moet duidelijk zijn wat je doet, waarom je dat doet en hoe je opvolging borgt.
Start met deze vijf stappen.
- Breng risico’s per afdeling in kaart
Kijk waar medewerkers met gevoelige gegevens, kritieke systemen of externe leveranciers werken. - Leg werkafspraken vast
Maak duidelijk wat veilig werken betekent. Houd afspraken kort, praktisch en herkenbaar. - Maak melden eenvoudig
Zorg dat medewerkers weten waar zij verdachte situaties kunnen melden. Maak de drempel laag. - Borg opvolging
Leg vast wie meldingen beoordeelt, wie actie neemt en hoe incidenten worden gedocumenteerd. - Meet en verbeter
Kijk of meldingen toenemen, procedures worden gevolgd en medewerkers weten wat zij moeten doen.
Met deze aanpak maak je awareness zichtbaar. Niet als losse training, maar als onderdeel van de organisatie.
Praktijkvoorbeeld: awareness zonder opvolging
Stel dat een medewerker van finance een verdachte factuur ontvangt. De afzender lijkt een bekende leverancier. De betaalgegevens zijn alleen net gewijzigd.
De medewerker heeft ooit een awareness training gevolgd. Hij twijfelt, maar weet niet zeker waar hij moet melden. De leidinggevende is druk. IT verwijst naar finance. Uiteindelijk wordt de factuur betaald.
Achteraf blijkt dat het om fraude ging. Dan is de vraag niet alleen of de medewerker iets fout deed. De vraag is ook of de organisatie veilig gedrag goed had ingericht.
Was er een controleproces voor gewijzigde betaalgegevens? Was duidelijk wie verdachte facturen beoordeelt? Wist finance welke stappen verplicht waren? En is opvolging vastgelegd?
Dit voorbeeld laat zien waarom awareness meer vraagt dan kennis. Veilig gedrag ontstaat pas als processen medewerkers helpen om de juiste keuze te maken.
Veel gestelde vragen
Wat is cybersecurity awareness?
Cybersecurity awareness betekent dat medewerkers digitale risico’s herkennen en weten hoe zij veilig moeten handelen. Het gaat niet alleen om kennis, maar ook om gedrag, duidelijke werkafspraken en het correct opvolgen van incidenten.
Is cybersecurity awareness verplicht onder NIS2?
NIS2 vraagt organisaties om passende maatregelen te nemen om cyberrisico’s te beheersen. Training en bewustwording van medewerkers maken daar onderdeel van uit. Organisaties moeten bovendien kunnen aantonen dat maatregelen structureel zijn ingericht en in de praktijk worden toegepast.
Moet cybersecurity awareness per functie of afdeling verschillen?
Ja. Medewerkers van HR, finance, IT en management lopen verschillende risico’s. Door trainingen en werkafspraken af te stemmen op hun dagelijkse werkzaamheden, wordt duidelijker welk veilig gedrag in specifieke situaties van hen wordt verwacht.
Is een jaarlijkse cybersecuritytraining voldoende?
Een jaarlijkse training is een goed begin, maar meestal niet voldoende. Veilig gedrag vraagt om regelmatige herhaling, herkenbare praktijksituaties, duidelijke meldprocedures en aandacht voor cybersecurity tijdens bijvoorbeeld onboarding en werkoverleggen.
Hoe maak je cybersecurity awareness aantoonbaar?
Leg vast welke trainingen medewerkers volgen, welke werkafspraken gelden en hoe meldingen worden opgevolgd. Bewaar bijvoorbeeld aanwezigheidsregistraties, trainingsresultaten, meldingen, incidentverslagen en verbeteracties. Zo kun je laten zien dat awareness onderdeel is van een continu proces.
Hoe meet je of medewerkers daadwerkelijk veiliger handelen?
Kijk niet alleen naar het aantal afgeronde trainingen. Meet bijvoorbeeld hoeveel verdachte berichten worden gemeld, hoe snel meldingen worden opgevolgd en of afgesproken procedures worden toegepast. Ook phishingtests en korte praktijksimulaties kunnen inzicht geven.
Wie is verantwoordelijk voor cybersecurity awareness binnen een organisatie?
Cybersecurity awareness is een gezamenlijke verantwoordelijkheid. Het management stelt prioriteiten en wijst een eigenaar aan. IT of security levert inhoudelijke kennis, HR kan awareness in onboarding en ontwikkeling opnemen en leidinggevenden helpen om afspraken dagelijks toe te passen.
