Mkb’ers op een praktische manier ondersteunen

Cees van der Wens is een expert op het gebied van informatiebeveiliging, vooral in het auditen en implementeren van de ISO/IEC 27001-standaard. Hij heeft tal van audits uitgevoerd bij verschillende organisaties, waaronder ziekenhuizen, en hen geholpen bij het behalen van certificeringen. Met een achtergrond in industriële automatisering ondersteunt hij voornamelijk kleine en middelgrote bedrijven bij het opzetten van informatieveiligheidsbeheersystemen.

Cees fungeert vaak als lead auditor en is auteur van boeken over de implementatie en audit van beveiligingsnormen. Zijn werk speelt een belangrijke rol in de cybersecuritywereld, vooral op het gebied van compliance en risicomanagement.

Je bent betrokken bij het NIS2 Quality Mark-project als adviseur. Wat houdt die betrokkenheid precies in en waarom dacht je: ‘Dit wil ik wel doen’?

Cees: ‘Ik hou me al vanaf 2007 actief bezig met de norm ISO 27001 en vanaf 2011 met de norm NEN 7510. In al die jaren, en vooral toen ik ging auditen, heb ik veel organisaties zien worstelen met deze materie. Ik werd sterk aangetrokken door het idee om bedrijven die moeite hebben met het in één keer voldoen aan de zware eisen van ISO 27001, stapsgewijs vooruit te helpen. Voor veel kleine en middelgrote bedrijven – het mkb – is het soms echt te belastend of te duur om direct volledig aan deze norm te voldoen. Zo ben ik op dit moment een zzp’er aan het helpen die een fantastische webapplicatie heeft gebouwd van zijn klanten een ISO-certificering moet halen. In z’n eentje dus. Er is gewoon een sterke behoefte aan een alternatief. In Nederland zijn er misschien wel honderdduizend mkb-bedrijven die waarschijnlijk nooit de volledige stap naar ISO 27001 zullen maken. Daarom is het belangrijk om hen op een praktische manier te ondersteunen.’

Wat is jouw specifieke bijdrage aan dit project om ervoor te zorgen dat het goed wordt uitgevoerd?

Cees: ‘Samen met het team achter het NIS2 Quality Mark kijk ik hoe we een aanpak kunnen ontwikkelen waarmee bedrijven stap voor stap richting goede informatiebeveiliging kunnen werken. Mijn rol is om de basisgedachten en goede ideeën uit de ISO 27001-norm en andere normen mee te nemen en op een nieuwe manier te verwerken. Een manier die beter aansluit op de behoeften van vaak kleinere mkb-bedrijven. Niet alle maatregelen zijn voor iedereen even relevant of noodzakelijk, dus ik onderzoek hoe we een goede balans kunnen vinden. We moeten ervoor zorgen dat het systeem niet te zwaar wordt, maar wel waardevol blijft voor de leveranciers en hun klanten. Het moet een niveau van zekerheid bieden dat begrijpelijk en toepasbaar is voor mkb’ers, maar ook erkend wordt door de markt en auditoren.’

Kun je wat meer vertellen over hoe je dit gaat borgen?

Cees: ‘Het is belangrijk dat we een duidelijk kader neerzetten zodat mkb-bedrijven hun digitale veiligheid kunnen verhogen en dat ze na een audit aan hun klanten kunnen bewijzen dat ze gecertificeerd zijn. Om dat te laten slagen, moeten bedrijven precies weten wat ze moeten doen en hoe ze dat moeten doen. Het systeem moet een bepaalde kwaliteitsstandaard vertegenwoordigen die herkenbaar en betrouwbaar is, zoals de NIS2 Quality Mark met drie niveaus: NIS2-QM10 Basic, NIS2-QM20 Substantial en NIS2-QM30 High. We willen ervoor zorgen dat bedrijven die hieraan voldoen, door de markt worden gewaardeerd en dat de norm duidelijk en consistent is.’

Wat is de grootste uitdaging bij het opstellen van deze norm?

Cees: ‘Taalgebruik is een grote uitdaging. In de huidige formulering van normen is de taal niet altijd consistent of duidelijk. Ik heb uit ervaring geleerd hoeveel verwarring er kan ontstaan door taal. Woorden als ‘leidinggevende’ of ‘systeem’ kunnen op verschillende manieren worden geïnterpreteerd, wat leidt tot onduidelijkheid over wat precies wordt bedoeld. Zulke onduidelijkheden kunnen grote verschillen veroorzaken in hoe maatregelen worden genomen of juist niet. En ook hoe ze worden geïnterpreteerd door een auditor. Daarom blijf ik me richten op het versimpelen en consistent maken van de formulering van de normen. Bovendien heb ik teksten ontwikkeld die het doel van de maatregelen beter duidelijk moeten maken. Zodat mensen snappen welk cyberrisico ze met welke maatregel eigenlijk aan het verlagen zijn.’

Gezien de hoeveelheid betrokken partijen en brancheorganisaties, denk je dat het gaat lukken? En wat zal het voordeel zijn voor mkb’ers?

Cees: ‘Bedrijven die een certificaat behalen, zijn altijd blij. In dit geval geeft het hun meer zekerheid dat ze digitaal veilig werken en dat kunnen ze aan hun grote klanten laten zien. Voor opdrachtgevers is het fijn om het bewijs te hebben dat hun leverancier digitaal veilig werkt. Daarnaast biedt NIS2 Quality Mark een laagdrempelige instap met de mogelijkheid om stapsgewijs te groeien. Het NIS2 Quality Mark heeft drie niveaus—QM10, QM20 en QM30—en bedrijven kunnen instappen op een niveau dat bij hen past. Het idee is dat bedrijven op een lager niveau kunnen beginnen en geleidelijk kunnen doorgroeien. Dat maakt het toegankelijk voor mkb’ers die anders nooit aan een zware norm zouden kunnen voldoen.’

In landen als België en Engeland zijn er al pogingen gedaan met een getrapt model voor cybersecurity, maar daar is het nog niet echt van de grond gekomen. Wat maakt dit project anders?

Cees: ‘Ik ben op de hoogte van die initiatieven, maar niet van alle details. In België hebben ze een trapsgewijs model geïntroduceerd dat vanuit de overheid komt. Dat loopt nog niet echt, omdat de overheid een vreemde partij is om zich met normering te bemoeien; ze zou zich eigenlijk alleen met wetgeving moeten bezighouden. In Engeland is het anders. Daar zijn veel bedrijven met een hele kleine norm—die hebben wel grote aantallen gebruikers—en een hele hoge norm met heel weinig gebruikers. Daar ontbreekt dus het groeimodel. Dit project prikkelt mij omdat we lessen hebben kunnen trekken voor Nederland. De markt zal uiteindelijk een grote rol spelen. Als de markt bijvoorbeeld de QM10-norm voldoende vindt, zullen mkb’ers niet snel naar QM20 of QM30 overstappen. Met het NIS2 Quality Mark hebben we gekozen voor een dynamische, groeiende norm, dus bedrijven zullen wellicht steeds iets moeten doen, en mogelijk komt er ook een prikkel vanuit de markt om naar een hoger niveau te gaan.’

Denk je dat bedrijven het idee van een trapsgewijs model omarmen, of zullen ze dit zien als ‘weer een set regels’? 

Cees: ‘Ik verwacht dat veel bedrijven het als een kans zien. Er zijn zeker bedrijven die met QM10 beginnen en dat voldoende vinden, maar er zijn ook genoeg bedrijven die direct op een hoger niveau kunnen instappen, zoals QM20 of QM30. Het systeem is flexibel, waardoor bedrijven in hun eigen tempo kunnen groeien. Het biedt een haalbare route voor mkb’ers die aan hun grote klanten willen laten zien dat ze een certificering hebben verkregen via een audit.’

Denk je dat het NIS2 Quality Mark voldoende is voor grote opdrachtgevers?

Cees: ‘Ja, dat denk ik wel. Opdrachtgevers willen hun leveranciers niet wegjagen en kunnen dus blijven samenwerken met leveranciers die over het NIS2 QM beschikken. Ze zullen ook waarderen dat er meer keuze is dan alleen tussen bedrijven met of zonder ISO27001- of NEN7510-certificaat. Zoals het nu is, hebben sommige opdrachtgevers maar weinig opties; ze moeten kiezen uit een paar partijen die een norm hebben. Straks zijn er dus meer opties. Hoe dan ook, het kan een oplossing zijn voor zowel opdrachtgevers als kleinere bedrijven, die dan niet gedwongen worden de zware lasten van een zware certificering te dragen.’

Je schrijft zelf boeken over dit onderwerp. Je ‘Handboek ISO27001’ is het meest bekende cyberboek van Nederland. Hoe komt het dat het succes nog niet naar je hoofd is gestegen?

Cees: ‘Ik hou van mijn vak. Mijn passie zit in normen en audits. Dat probeer ik zo goed mogelijk te doen. Door het op te schrijven help ik ook anderen met mijn kennis en inzichten. Wat mij betreft moet NIS2 Quality Mark leiden tot een nog betere bescherming van de beschikbaarheid, integriteit en vertrouwelijkheid van informatie, waaronder informatie van mensen zoals jij en ik die dagelijks door talloze mkb’ers verwerkt wordt. Uiteindelijk profiteert dus iedereen van deze aanpak.’