Security awareness: van aanbeveling naar verplichting
Onder de NIS2-richtlijn is security awareness-training geen "nice to have" meer, maar een wettelijke verplichting. Artikel 21, lid 2(g) schrijft expliciet voor dat organisaties moeten zorgen voor "basismaatregelen inzake cyberhygiëne en cyberbeveiligingsopleiding".
Dat betekent: als je bij een NIS2 audit niet kunt aantonen dat je medewerkers getraind zijn, ben je per definitie niet compliant — ongeacht hoe goed je technische maatregelen zijn.
Wat vereist NIS2 op het gebied van awareness?
De richtlijn noemt expliciet:
- Regelmatige training op actuele cyberdreigingen
- Bewustzijn van de rol van elke medewerker in cybersecurity
- Documentatie van het trainingsprogramma en de resultaten
- Aantoonbare effectiviteit via meetbare verbeteringen
Belangrijk: ook bestuurders moeten aantoonbaar cybersecurity-training hebben gevolgd. NIS2 maakt hier geen uitzondering voor de directie — sterker nog, bestuurders zijn persoonlijk aansprakelijk.
Waarom 95% van de datalekken menselijk is
Technologie alleen beschermt je niet. De cijfers zijn duidelijk:
- 95% van alle datalekken wordt veroorzaakt door menselijke fouten
- 70% minder succesvolle phishing-aanvallen bij organisaties mét awareness-training
- €4,45 miljoen gemiddelde kosten van een datalek (IBM Cost of a Data Breach Report)
De meeste cyberaanvallen beginnen met een phishing-mail. Een medewerker klikt op een link, vult inloggegevens in op een nepsite, of opent een besmette bijlage. Geen firewall of antivirus voorkomt dat — alleen een getrainde medewerker.
Hoe organiseer je effectieve NIS2 awareness-training?
1. Baseline-meting
Start met een nulmeting: hoe vatbaar zijn je medewerkers nu voor phishing? Dit doe je met een gesimuleerde phishing-campagne die de klikratio meet zonder consequenties.
2. Basis-training
Alle medewerkers volgen een basistraining over herkenning van phishing, social engineering, wachtwoordhygiëne en het melden van incidenten.
3. Doorlopende micro-learnings
Eenmalige training werkt niet. NIS2 vereist regelmatige training. Micro-learnings van 3-5 minuten, maandelijks verstuurd, houden kennis actueel zonder medewerkers te belasten.
4. Phishing-simulaties
Regelmatige phishing-simulaties testen of de training effect heeft. De campagnes worden steeds geavanceerder om medewerkers scherp te houden.
5. Branchegericht maatwerk
Een zorginstelling heeft andere scenario's nodig dan een productiebedrijf. Effectieve training gebruikt scenario's die herkenbaar zijn voor de doelgroep.
6. Rapportage en evidence
Voor de NIS2 audit heb je bewijs nodig: wie is getraind, wanneer, wat was het resultaat, hoe is de klikratio over tijd gedaald? Goede tooling genereert deze rapportages automatisch.
PeopleRock's geïntegreerde aanpak
Bij PeopleRock zijn awareness-training en anti-phishing geïntegreerd in het NIS2 compliance traject. Dat betekent:
- Training en phishing worden afgestemd op de NIS2-domeinen
- Resultaten zijn zichtbaar in hetzelfde dashboard als je compliance-status
- Evidence voor de audit wordt automatisch verzameld
- Campagnes zijn branchegericht: zorg, overheid, industrie, financieel
Geen apart platform, geen extra leverancier — alles in één traject.