Achtergrond NIS2 Quality Mark

In het najaar van 2022, toen het waarschijnlijk werd dat de NIS2-richtlijn op Europees niveau vanaf 17 oktober 2024 geïmplementeerd zou worden, begonnen brancheorganisaties proactief na te denken over de uitdaging in artikel 21.2d van de NIS2-richtlijn. Via dit artikel moeten NIS2 organisaties verplicht gaan samenwerken met hun directe leveranciers om samen de leveringsketen te beveiligen. Het was direct duidelijk dat dit artikel een uitdaging zou worden voor de cybersecurity van mkb-bedrijven.

Uit een reeks gesprekken met belanghebbenden bleek dat de uitdaging enorm is. Het ontbrak op dat moment aan een goede norm om de juiste cybersecuritymaatregelen te laten aansluiten op het juiste risiconiveau – en dat terwijl er over meerdere risiconiveaus moet worden gesproken. Het feit dat die maatregelen geschikt moeten zijn voor mkb-bedrijven komt daar nog eens bovenop.

We zijn gestart met de definiëren van de parameters waaraan de oplossing moet gaan voldoen:

  1. De oplossing moet voor beide partijen acceptabel zijn; de norm moet dus voor beide partijen gelden, anders is er geen draagvlak en geen evenredigheid.
  2. De oplossing moet bestaan uit meerdere levels van veiligheid. Klein, medium en hoog moeten allen passen bij de risico-inventarisatie.
  3. De oplossing moet kunnen rekenen op draagvlak bij mkb-bedrijven en grote bedrijven, bij juristen en inkopers en bij cybersecurityexperts. 
  4. Elke maatregel in de oplossing moet zo kunnen worden uitgelegd en zo worden toegelicht dat ook de vele mensen die cybersecurity ingewikkeld vinden volgbaar is. En bij gebrek aan cybersecurityspecialisten en een korte tijd om alles in te voeren, wordt het helemaal belangrijk dat ook niet-specialisten een goede uitleg krijgen. Als niet iedereen meewerkt, ontstaat er een enorme bottleneck in de aanloop naar 17 oktober 2024.
  5. De kosten moeten zo laag mogelijk blijven en tegelijkertijd mogen de investeringen niet zo laag zijn dat de veiligheid van het te nemen cybersecuritymaatregelen tekortschiet. Een risico-inventarisatie zonder bijpassende maatregelen gaat niet werken.
  6. Waar mogelijk moet worden aangesloten op toekomstige Euro Space cybersecurity normen en daarbij horende uitleg en hulpmiddelen.
  7. De nieuwe norm moet onafhankelijk worden vastgesteld. De belangen van grote bedrijven en mkb-bedrijven zijn niet altijd gelijklopend. Er komen geen werkbare ketens tot stand als de maatregelen In de norm niet in balans zijn. 


Er is eerst gekeken naar bestaande producten, tools en aanbieders in de markt. Hier bleek toch te weinig overlap te zijn tussen onze parameters en hun oplossing.

Risico­beheer gaat vmakkelijker via een cybersecurity­norm

Gelukkig is er een oplossing gekomen. Een aantal van de bij het project betrokken brancheorganisaties heeft zelf een eigen keurmerk ontwikkeld voor hun leden. Een groot aantal daarvan zijn mkb-bedrijven. Bij verder onderzoek bleek dat er honderden keurmerken zijn in Nederland die allemaal gemaakt zijn om aan wetten of een deel van een wet te voldoen. Toen de hoeveelheid werk om zelf een norm te maken via een proces en een einduitkomst passend aan de zeven vooropgestelde criteria inzichtelijk werd, is besloten om het maken van de norm in eigen hand te nemen. Het belang van de tienduizenden mkb-bedrijven weegt namelijk te zwaar om dat niet te doen.

De oplossing: het NIS2 Quality Mark. Een normenstelsel met 3 levels. Geschikt voor grote bedrijven en mkb-bedrijven. Een manier, een hulpmiddel, voor alle betrokken stakeholders om aan de wet te voldoen en de impact op de inkoop en supply chain te minimaliseren en tegelijkertijd aan de wet te voldoen. Een norm waarbij rekening is gehouden met alle belangrijke onderdelen die nodig zijn voor landelijke acceptatie en online uitrol naar alle betrokken sectoren en bedrijven.

Leuk detail: het DTC en NCSC hebben richtlijnen en basisprincipes waarvan al snel bleek dat die zeer passend zijn voor het instapniveau van de nieuwe norm. Daar is dus nadrukkelijk rekening mee gehouden bij het vaststellen van de NIS2 Quality Mark Basic norm.

Na de audit, die door erkende auditbureaus zal worden gedaan, wordt de NIS2 Quality Mark verstrekt en heeft de klant het certificaat om te bewijzen dat alles goed is geregeld.