Legacy IT, NIS2 en ISO 27001: waarom digitale veerkracht niet langer kan wachten

Waarom legacy IT een bedrijfsrisico is geworden en hoe ISO 27001 u helpt om u voor te bereiden op NIS2

Legacy IT is niet langer alleen een technisch probleem. Het is een bedrijfsrisico op directieniveau geworden.

In een recent artikel op Consultancy.nl werd het boek How to Fix the Company before it’s Broke van Marcel Wanningen besproken, waarin CIO’s en directieteams worden gewaarschuwd dat organisaties het zich niet langer kunnen veroorloven om de modernisering van legacy IT uit te stellen. Het artikel koppelt geopolitieke instabiliteit, energiedruk, inflatie, verstoring van de toeleveringsketen en stijgende kapitaalkosten aan een eenvoudige maar ongemakkelijke zakelijke realiteit: inefficiënte IT-organisaties worden gevaarlijk duur wanneer de externe omstandigheden verslechteren.

Of elk scenario zich precies ontvouwt zoals voorspeld is niet het punt. De onderliggende boodschap is zeer relevant.

Veel organisaties werken nog steeds met verouderde systemen, gefragmenteerde processen, onduidelijk eigenaarschap, handmatige controles en leveranciersafhankelijkheden die ze niet volledig begrijpen. In een stabiele markt kan dit al lastig zijn. In een volatiele markt wordt het een strategisch risico.

Met de komst van NIS2, de Europese richtlijn voor cyberbeveiliging, is dit risico niet langer alleen operationeel of financieel. Voor veel organisaties wordt digitale weerbaarheid een wettelijke en bestuurlijke verantwoordelijkheid.

Dit is precies waar ISO 27001 waardevol wordt. Niet als een certificaat aan de muur, maar als een praktisch managementsysteem voor informatiebeveiliging, risico-eigendom, leverancierscontrole en voortdurende verbetering.

NIS2 maakt van digitale veerkracht een verantwoordelijkheid op bestuursniveau

De NIS2-richtlijn legt de lat hoger voor cyberbeveiliging en veerkracht in essentiële en belangrijke sectoren in de Europese Unie. Van organisaties wordt verwacht dat ze passende maatregelen nemen om cyberrisico’s te beheren, incidenten te voorkomen en de impact van verstoringen te beperken.

Dit heeft directe gevolgen voor legacy IT.

Onder NIS2 is het niet langer voldoende om te zeggen dat bepaalde systemen oud, complex of moeilijk te vervangen zijn. Organisaties moeten kunnen aantonen dat ze de risico’s begrijpen, verantwoordelijkheden toewijzen en passende maatregelen nemen.

Dit omvat onderwerpen zoals:

• risicobeheer
• incidentafhandeling
• bedrijfscontinuïteit
• crisisbeheer
• veiligheid van de toeleveringsketen
• toegangscontrole
• vermogensbeheer
• beheer van kwetsbaarheden
• managementverantwoordelijkheid
• rapportageverplichtingen

Dit zijn precies de gebieden waar legacy IT vaak risico’s met zich meebrengt.

Een legacysysteem met onduidelijk eigendom is niet alleen een technisch probleem.

Een kritische leverancier zonder goede risicobeoordeling is niet alleen een inkoopkwestie.

Een ongedocumenteerd herstelproces is niet alleen een operationele zwakte.

Een ontbrekende incidentresponsprocedure is niet alleen een hiaat in de beveiliging.

Onder NIS2 worden dit governancekwesties.

Voor raden van bestuur en senior managementteams wordt de vraag veel scherper:

Kunnen we aantonen dat we redelijke en passende maatregelen nemen om onze digitale risico’s te beheren?

ISO 27001 als praktische basis voor NIS2-paraatheid

NIS2 vertelt organisaties wat ze serieus moeten nemen. ISO 27001 biedt hiervoor een praktische structuur.

Dit betekent niet dat ISO 27001 automatisch NIS2-conformiteit garandeert. NIS2 is een wet- en regelgevend kader, terwijl ISO 27001 een internationale managementsysteemnorm voor informatiebeveiliging is. Maar er is een sterke praktische overlap.

ISO 27001 helpt organisaties de managementdiscipline op te bouwen die nodig is om zich voor te bereiden op NIS2. Het ondersteunt organisaties bij:

• informatie-assets identificeren
• risico’s inschatten
• besturingselementen definiëren
• eigendom toewijzen
• leveranciers beheren
• voorbereiden op incidenten
• beslissingen documenteren
• bewijs verzamelen
• beoordeling van de doeltreffendheid
• aanzetten tot voortdurende verbetering

Met andere woorden, ISO 27001 geeft organisaties een gestructureerde manier om van intentie naar implementatie te gaan.

Voor veel bedrijven is dit de ontbrekende schakel. Ze weten dat cyberbeveiliging en veerkracht belangrijk zijn, maar ze missen een praktisch operationeel model om ze consistent te beheren.

ISO 27001 biedt dat besturingsmodel.

Hoe ISO 27001 helpt bij het aanpakken van belangrijke NIS2-thema’s

ISO 27001 kan organisaties helpen zich voor te bereiden op verschillende belangrijke NIS2-thema’s.

1. Risicobeheer

NIS2 verwacht dat organisaties cyberbeveiligingsrisico’s op een gestructureerde manier beheren. ISO 27001 begint met risicobeoordeling en risicobehandeling. Dit helpt organisaties te identificeren waar legacysystemen, integraties, leveranciers of gegevensstromen een onaanvaardbare blootstelling creëren.

Legacy IT zit vaak vol verborgen afhankelijkheden. Systemen kunnen slecht gedocumenteerd zijn, bedrijfskritische processen kunnen afhankelijk zijn van handmatige workarounds en de verantwoordingsplicht kan onduidelijk zijn. Een gestructureerde risicobeoordeling maakt deze zwakke punten zichtbaar en zet ze om in beheerde verbeteracties.

2. Voorbereiding op incidenten

Legacy-omgevingen maken het reageren op incidenten vaak moeilijker. Systemen kunnen slecht gedocumenteerd zijn, eigendom kan onduidelijk zijn en technische afhankelijkheden kunnen niet volledig begrepen worden.

ISO 27001 helpt organisaties bij het definiëren van incidentbeheerprocedures, escalatiepaden, rollen en verantwoordelijkheden. Dit neemt niet alle risico’s weg, maar zorgt er wel voor dat organisaties beter voorbereid zijn als er iets misgaat.

Onder NIS2 gaat incidentafhandeling niet alleen over technische respons. Het gaat ook om escalatie, rapportage, communicatie en besluitvorming. ISO 27001 helpt bij het creëren van de structuur die nodig is om dit goed te beheren.

3. Bedrijfscontinuïteit

NIS2 legt sterk de nadruk op continuïteit en veerkracht. Organisaties moeten begrijpen hoe verstoringen kritieke services kunnen beïnvloeden en hoe ze kunnen herstellen.

ISO 27001 ondersteunt dit door organisaties te verplichten na te denken over maatregelen voor beschikbaarheid, herstel en continuïteit van kritieke informatie en systemen.

Dit is vooral belangrijk in legacy-omgevingen. Oudere systemen zijn vaak moeilijk te herstellen, moeilijk te repliceren en afhankelijk van specifieke mensen of leveranciers. Zonder duidelijke continuïteitsplanning kan een technische storing al snel een bedrijfscrisis worden.

4. Veiligheid van de toeleveringsketen

Veel organisaties vertrouwen sterk op softwareleveranciers, cloudproviders, managed service providers en niche-implementatiepartners. In legacy-omgevingen zijn deze afhankelijkheden vaak slecht gedocumenteerd en zwak geregeld.

ISO 27001 helpt bij het structureren van leveranciersrisicobeheer, contractuele controles en periodieke leveranciersbeoordelingen.

Dit is belangrijk omdat NIS2 meer aandacht besteedt aan de beveiliging van de toeleveringsketen. Organisaties moeten niet alleen inzicht hebben in hun eigen interne risico’s, maar ook in de risico’s die worden gecreëerd door derden die hun kritieke processen ondersteunen.

5. Managementverantwoordelijkheid

NIS2 vergroot het belang van betrokkenheid van het senior management. Cyberbeveiliging en veerkracht zijn niet langer onderwerpen die volledig aan IT kunnen worden gedelegeerd.

ISO 27001 omvat betrokkenheid van het leiderschap, beoordeling door het management en gedocumenteerde besluitvorming. Dit helpt om informatiebeveiligingsbeheer op het niveau van de raad van bestuur en het management te brengen.

Voor CIO’s, CFO’s en managementteams is dit cruciaal. Het creëert een ritme voor het beoordelen van risico’s, prioriteiten, voortgang en bewijs. Het helpt er ook voor te zorgen dat cyberbeveiligingsbeslissingen worden gekoppeld aan bedrijfsprioriteiten en niet worden behandeld als geïsoleerde technische activiteiten.

6. Bewijs en controleerbaarheid

Een van de grootste praktische uitdagingen bij de voorbereiding op NIS2 is bewijsvoering.

Het is niet genoeg om te zeggen dat er controles bestaan. Organisaties moeten laten zien wat er is beoordeeld, besloten, geïmplementeerd, beoordeeld en verbeterd.

ISO 27001 creëert de discipline om dit bewijsmateriaal bij te houden. Het helpt organisaties bij het documenteren van risico’s, controles, acties, eigenaren, beoordelingen en managementbeslissingen.

Dit is waar veel organisaties mee worstelen. Ze hebben misschien wel beleid, hulpmiddelen of controles, maar ze kunnen niet eenvoudig aantonen hoe deze worden beheerd. ISO 27001 helpt om informele praktijken om te zetten in een beheersbaar managementsysteem.

Legacy IT is niet langer alleen technische schuld

Jarenlang is legacy IT vaak omschreven als technische schuld. Die term is nuttig, maar kan het probleem ook te eng doen klinken.

Legacy IT gaat niet alleen over verouderde technologie. Het gaat over organisatorische kwetsbaarheid.

Het creëert risico wanneer:

• niemand is duidelijk eigenaar van een systeem
• documentatie is verouderd of ontbreekt
• de belangrijkste kennis ligt bij een paar individuen
• leveranciers zijn kritisch, maar worden niet goed beheerd
• handmatige workarounds houden processen in leven
• beveiligingscontroles zijn inconsistent
• herstelprocedures zijn niet getest
• gegevensstromen zijn onduidelijk
• bedrijfscontinuïteit is afhankelijk van aannames

In een rustige omgeving kunnen organisaties dit tolereren. In een meer volatiele omgeving lopen de kosten van deze kwetsbaarheid snel op.

NIS2 maakt die kwetsbaarheid moeilijker te negeren.

De vraag is niet alleen of legacy systemen vervangen moeten worden. De eerste vraag is of de organisatie de risico’s die ze creëren begrijpt en beheerst.

Conclusie

De waarschuwing achter Hoe het bedrijf repareren voordat het failliet gaat gaat niet alleen over geopolitieke schokken of economische druk. Het gaat over organisatorische gereedheid.

Bedrijven die hun kritieke systemen begrijpen, hun leveranciers beheren, hun technische schuld verminderen en hun risico’s beheersen, zullen beter gepositioneerd zijn dan bedrijven die blijven vertrouwen op gefragmenteerde legacy-omgevingen en informele controles.

NIS2 maakt dit nog urgenter. Digitale veerkracht is niet langer alleen een interne IT-prioriteit. Het wordt een juridische, operationele en bestuurlijke verantwoordelijkheid.

ISO 27001 is niet het complete antwoord op legacymodernisering of NIS2-compliance. Maar het is wel een van de meest praktische raamwerken voor het creëren van controle, eigenaarschap, bewijs en voortdurende verbetering die nodig zijn om de juiste richting in te slaan.

Voor CIO’s, CFO’s en directieteams is de vraag niet langer of legacy IT moet worden aangepakt.

De echte vraag is of de organisatie kan aantonen dat ze de touwtjes in handen heeft.

Hoe Oosterwal Consultancy kan helpen

Oosterwal Consultancy helpt organisaties structuur, controle en momentum te brengen in complexe initiatieven rondom digitale transformatie, ISO gereedheid en NIS2 gereedheid.

Wij -via ISO-ready.nl ondersteunen bedrijven met:

• ISO 27001 voorbereiding en implementatie
• NIS2-hiaatanalyse en verbeteringsplanning
• beheer van digitale transformatie
• stappenplannen voor modernisering van legacy
• risico- en controleraamwerken
• analyse van leveranciers- en technologieafhankelijkheid
• portefeuille- en programmabeheer
• praktische beheersystemen voor auditgereedheid

Onze aanpak is pragmatisch: geen onnodige complexiteit, geen papieren nalevingstheater, maar een duidelijke route van risico naar actie, bewijs en meetbare vooruitgang.

Voor organisaties die te maken hebben met NIS2 kan ISO 27001 een solide basis bieden. Het helpt om abstracte regeldruk om te zetten in een beheersbaar systeem van risico’s, controles, eigenaren, acties en bewijs.

Wil je weten waar je organisatie nu staat?
Begin met een gestructureerde ISO/NIS2-klaarheidsbeoordeling en zet onzekerheid om in een praktische routekaart voor verbetering.

FAQ

Maakt ISO 27001 een organisatie NIS2-compliant?

Niet automatisch. ISO 27001 en NIS2 zijn niet hetzelfde. NIS2 is een wettelijk kader, terwijl ISO 27001 een managementsysteemnorm voor informatiebeveiliging is.

ISO 27001 biedt echter een sterke praktische basis voor veel NIS2-eisen, vooral rond risicobeheer, leverancierscontrole, incidentbeheer, bedrijfscontinuïteit en bewijsvoering.

Waarom is NIS2 relevant voor legacy IT?

NIS2 verhoogt de druk op organisaties om cyber- en continuïteitsrisico’s te begrijpen en te beheren. Legacy IT creëert vaak precies het soort risico’s waar NIS2 zich op richt: onduidelijk eigenaarschap, zwakke documentatie, verouderde systemen, afhankelijkheid van leveranciers, slechte herstelbaarheid en beperkte monitoring.

Is NIS2 alleen relevant voor IT-afdelingen?

Nee. NIS2 is relevant voor senior management, risicobeheer, juridische zaken, inkoop, bedrijfsvoering en bedrijfsleiding.

Cyberweerbaarheid hangt af van de organisatie als geheel, niet alleen van de IT-afdeling. Beslissingen over leveranciers, investeringen, continuïteit, risicobereidheid en verantwoordelijkheid gaan verder dan IT alleen.

Hoe kan een organisatie zich voorbereiden op NIS2?

Een praktisch startpunt is het in kaart brengen van kritieke processen, systemen, leveranciers en gegevensstromen. Beoordeel vervolgens de belangrijkste risico’s, definieer hiaten in de controle, wijs eigenaarschap toe en maak een routekaart met verbeterprioriteiten.

ISO 27001 kan de managementstructuur bieden om dit proces beheersbaar, op bewijs gebaseerd en controleerbaar te houden.

Wat is het verband tussen legacymodernisering en ISO 27001?

ISO 27001 schrijft geen specifieke moderniseringsstrategie voor. Maar het helpt organisaties wel bij het identificeren en beheren van de risico’s die legacysystemen met zich meebrengen.

Dit maakt modernisering gerichter. In plaats van systemen te vervangen op basis van alleen de technische leeftijd, kunnen organisaties prioriteiten stellen op basis van bedrijfskriticiteit, beveiligingsrisico, leveranciersafhankelijkheid, continuïteitsrisico en relevantie voor regelgeving.