Vanaf 1 juli kan een ransomware-aanval in de bouw niet alleen een project stilleggen, maar ook direct gevolgen hebben voor de directie of eigenaar. Met de komst van NIS2 wordt cyberhygiëne nadrukkelijk een verantwoordelijkheid op bestuursniveau terwijl veel organisaties daar in de praktijk nog stappen in te zetten hebben.
In de vergaderruimte van een Nederlands bouwbedrijf staan gebruikersnamen en wachtwoorden met marker op een whiteboard, zichtbaar voor iedereen die binnenloopt. In hetzelfde gebouw wordt gesproken over digitalisering, BIM en cybersecurity. De directeur ziet het risico niet direct: het bedrijf lijkt immers geen interessant doelwit.
Interview met Koen van Besouw (managing director, LOSNING ICT).
Het is een anekdote die Koen van Besouw zonder bravoure vertelt. Niet als uitzondering, maar als herkenbaar voorbeeld. Want het onderliggende patroon beperkt zich niet tot één organisatie. In verschillende vormen komt het terug in een groot deel van de Nederlandse bouw- en architectuursector.
Er wordt geïnvesteerd in software, maar minder in de onderliggende verandering. In tools, maar minder in beleid. In techniek, maar minder in besluitvorming.
En juist daar komt vanaf 1 juli een juridisch prijskaartje aan te hangen.
De wet die de bestuurskamer binnenkomt
NIS2, de Europese richtlijn voor het versterken van digitale en economische weerbaarheid, wordt in Nederland vertaald naar de Cyberbeveiligingswet. Met de inwerkingtreding deze zomer verandert er voor bouwbedrijven die werken voor overheden, woningcorporaties of grote opdrachtgevers iets fundamenteels.
Organisaties krijgen te maken met een duidelijke zorgplicht voor hun eigen cyberhygiëne: zij moeten aantoonbaar passende maatregelen nemen om risico's te beheersen. Tegelijkertijd groeit de verantwoordelijkheid in de keten. Bedrijven worden geacht ook kritisch te kijken naar de digitale weerbaarheid van leveranciers en partners.
Daarbij ligt de verantwoordelijkheid nadrukkelijk op directie- en bestuursniveau. Wanneer die zorgplicht niet aantoonbaar is ingericht, kan dat leiden tot persoonlijke aansprakelijkheid.
Veel organisaties leunen nog op een cyberverzekering en gaan ervan uit dat daarmee het risico is afgedekt. In de praktijk ligt dat genuanceerder.
"Een verzekering keert geen schade uit als je aan de voorkant niets hebt gedaan. Vergelijk het met een inboedelverzekering. Als je voordeur openstaat en iemand loopt naar binnen en neemt spullen mee, wordt schade simpelweg niet vergoed."
De vergelijking is bewust gekozen en maakt iets wezenlijks zichtbaar: goede beveiliging begint bij het op orde brengen van de 'digitale voordeur'. In de praktijk blijkt juist die basis nog niet overal op orde.
Wat er gebeurt als beveiliging wel werkt
"Het gaat er niet meer om of je gehackt wordt, maar wanneer. En dan?"
Een directeur van een architectenbureau logt aan het einde van zijn werkdag uit en gaat naar huis. Een uur later wordt er namens zijn account geprobeerd in te loggen vanaf een IP-adres in Brazilië. Een fysieke verplaatsing die onmogelijk is en precies het soort afwijking dat moderne detectie herkent.
Het account wordt direct geblokkeerd, nog voordat er daadwerkelijk toegang is verkregen. De directeur merkt er zelf weinig van; hij wordt achteraf geïnformeerd. Zijn werkplek blijft veilig, de data blijft beschermd mogelijke schade richting klanten en ketenpartners wordt voorkomen, gewoon een concreet voorbeeld uit de praktijk.
Dit is geen toekomstbeeld, maar dagelijkse praktijk in omgevingen waar detectie, monitoring en automatische respons goed zijn ingericht. Tegelijk laat het zien hoe groot het verschil kan zijn met situaties waarin die basis nog ontbreekt. En juist tussen de uitersten bevindt zich een groot deel van de sector zich vandaag de dag.
De economische logica achter digitale keuzes
"IT moet niet op afstand blijven, maar actief aansluiten bij de visie van de organisatie."
In de praktijk is IT binnen veel bouwbedrijven en architectenbureaus historisch gegroeid als ondersteunende functie. Zeker bij kleinere en middelgrote organisaties ligt de verantwoordelijkheid vaak bij een beperkte interne rol. Strategische keuzes over infrastructuur, beveiliging en compliance worden daardoor niet altijd integraal meegenomen in bredere bedrijfsbeslissingen.
Die inrichting heeft lange tijd goed gefunctioneerd. Maar de context is veranderd.
Een grafische werkplek voor BIM-software zoals Revit of Solibri kost inmiddels tussen de 4.000 en 5.000 euro per stuk. Bij een architectenbureau met 60 medewerkers loopt dat op tot ongeveer 300.000 euro aan hardware, die elke vier à vijf jaar vervangen moet worden. Tegelijk zijn prijzen van laptops, geheugenchips en grafische processors fors gestegen, mede door de wereldwijde vraag naar AI-infrastructuur.
Daar komt bij dat de projectstroom in de sector steeds minder voorspelbaar is. Factoren zoals stikstof, vergunningstrajecten en geopolitieke ontwikkelingen zorgen voor pieken en dalen. Een organisatie die net heeft geïnvesteerd in capaciteit voor groei, kan een halfjaar later geconfronteerd worden met krimp. Investeringen blijven op de balans staan, terwijl de bezetting terugloopt.
Daartegenover staat een ander model dat de afgelopen jaren aan volwassenheid heeft gewonnen: de grafische cloud. In dit model verschuift de investering van kapitaalintensieve hardware (CAPEX) naar een schaalbare operationele kostenstructuur (OPEX). Werkplekken draaien vanuit het datacenter, capaciteit kan meebewegen met de organisatie en beheer, security en compliance worden centraal ingericht.
LOSNING ICT richt zich als specialist op deze grafische werkplekken binnen bouw en architectuur. Daarbij gaat de afweging verder dan techniek alleen. Vragen als waar data wordt opgeslagen, onder welke wetgeving deze valt en wie er toegang toe heeft, worden steeds nadrukkelijker onderdeel van de besluitvorming.
Datasoevereiniteit als bestuurlijke vraag
Voor architectenbureaus is data geen theoretische discussie. Hun ontwerpen, hun handtekening, hun decennialange bibliotheek aan oplossingen. Dát is het bedrijf.
Wanneer die data onder buitenlandse jurisdictie valt, verschuift ook de zeggenschap. Beslissingen over toegang, bewaartermijnen of in het uiterste geval inbeslagname liggen dan niet langer volledig binnen de Nederlandse context. De vraag die daaronder ligt is fundamenteel: ben je in die situatie nog volledig in controle over je eigen data en daarmee je organisatie?
Sommige aanbieders maken die soevereiniteit concreet en inzichtelijk voor hun klanten.
"Dan laten we zien waar de data daadwerkelijk staat. In ons datacenter kunnen we de infrastructuur aanwijzen: hier draait jouw omgeving, hier staat jouw data. Dat geeft vertrouwen."
Het is een gesprek dat in veel bestuurskamers nog beperkt wordt gevoerd. Niet omdat het complex is, maar omdat het vaak nog als een technische keuze wordt gezien. Terwijl het in de kern een strategische afweging is over eigenaarschap, risico en continuïteit.
Het echte vraagstuk zit niet in de techniek
De technologie is er. Cloud werkt. BIM werkt. Samenwerken in gedeelde modellen is de standaard. De uitdaging zit in hoe organisaties dit inrichten.
In veel bouwbedrijven en architectenbureaus kiezen teams hun eigen tools, waardoor versnippering ontstaat. Systemen blijven naast elkaar bestaan en basismaatregelen zoals multifactor-authenticatie en toegangsbeheer zijn niet altijd consequent ingericht.
Tegelijk ligt de verantwoordelijkheid voor digitale keuzes nog vaak op operationeel niveau, terwijl de impact juist strategisch is.
Het resultaat is een sector die digitaal ver ontwikkeld lijkt, maar in de praktijk kwetsbaar kan zijn, juist op het moment dat die kwetsbaarheid ook bestuurlijk en juridisch telt.
Drie vragen voor de bestuurskamer
Het zijn ongemakkelijke vragen juist omdat de antwoorden niet altijd geruststellend zijn.
Eén. Als vannacht een account wordt overgenomen en er namens onze organisatie facturen of betaalverzoeken naar klanten en onderaannemers worden verstuurd, merken we dat dan binnen een uur of pas dagen later en daarmee de schade is geleden?
Twee. Onder welke wetgeving valt onze data, wie is juridisch eigenaar van onze data en wie heeft daar op dit moment toegang toe?
Drie. Als we per 1 juli verantwoordelijk worden gehouden voor de cyberhygiëne in onze keten, kunnen we dan aantoonbaar maken wat we hebben ingericht en voldoen we hiermee aan onze ketenverantwoordelijkheid?
Wie op deze vragen geen scherp antwoord heeft, staat voor een bredere uitdaging. Niet alleen technisch, maar vooral bestuurlijk. Want waar een technisch vraagstuk vaak oplosbaar is met de juiste expertise, vraagt dit om keuzes, sturing en eigenaarschap op organisatieniveau.
Daar ligt het werkelijke risico voor de sector. Niet in de technologie, maar in het idee dat digitalisering primair een IT-aangelegenheid is terwijl het in de kern een strategisch vraagstuk is.
