Niet alle bedrijven zijn gelijk; goed dat er verschillende risiconiveaus
binnen het NIS2 Quality Mark
bestaan

Kaseya is een wereldwijde leverancier van IT- en beveiligingsbeheeroplossingen voor Managed Service Providers (MSP’s) en middelgrote ondernemingen. Het bedrijf biedt een geïntegreerd platform waarmee IT-professionals hun infrastructuur efficiënt kunnen beheren en beveiligen. In juni 2022 heeft Kaseya Datto overgenomen, een aanbieder van beveiligings- en cloudgebaseerde softwareoplossingen die speciaal zijn ontwikkeld voor MSP’s. Wij spreken met expert Hans ten Hove.

Preventie en herstel zijn de twee kernpunten van de (aankomende) NIS2. Hoe belangrijk is het om die goed uit te leggen?

Hans: “Heel belangrijk. Veel bedrijven zien cybersecurity nog steeds als een kwestie van ‘ik koop een antiviruspakket en dan ben ik veilig’. Maar NIS2 gaat over een bredere aanpak:

• Preventie: wat moet je als onderneming doen om je zo goed mogelijk te beschermen
• Herstel: wat doe je als het tóch misgaat? Heb je een noodplan? Hoe snel kun je operationeel zijn na een cyberaanval?

Het probleem met wetgeving is vaak dat het wordt opgelegd zonder dat er een begrijpelijke vertaalslag wordt gemaakt naar ondernemers. Dat is waarom het NIS2 Quality Mark zo’n goed initiatief is. Het helpt bedrijven om te begrijpen wat ze moeten doen en geeft MSP’s handvatten om hun klanten hierin te begeleiden.”

Hoe kijk jij vanuit jouw expertise naar het NIS2 Quality Mark?

Hans: “Nou, ten eerste bestond het nog niet, en ik denk dat het echt noodzakelijk is. De wetgeving rondom NIS2 is vrij abstract en geeft ondernemers niet concreet aan wat ze moeten doen en waarom. Het NIS2 Quality Mark helpt om die vertaalslag te maken, en dat is cruciaal.

Daarnaast zijn niet alle bedrijven gelijk, en het is goed dat er verschillende niveaus binnen het keurmerk bestaan. Dat maakt het toegankelijker voor mkb’ers en helpt hen samen met hun MSP naar een gedeeld dashboard te kijken: hoe staan we ervoor, wat hebben we geregeld en waar moeten we nog aan werken? Zo’n referentiekader is essentieel. Zonder dit soort frameworks blijven de implementatie en naleving van NIS2 achter. Ik juich dit initiatief daarom enorm toe.”

Het keurmerk is expliciet in begrijpelijke taal geschreven. Hoe belangrijk is dat?

Hans: “Ontzettend belangrijk. Niet omdat ondernemers niet slim genoeg zijn, maar omdat cybersecurity vaak in een technische taal wordt uitgelegd die voor veel ondernemers onbegrijpelijk is. Maar uiteindelijk gaat het niet om de techniek, maar om de business impact. IT is allang geen losstaand cluster meer binnen een bedrijf—het is integraal onderdeel van de bedrijfsvoering. Daarom moet je ook in business-termen praten, niet alleen in technische specificaties.”

Sommigen omschrijven het NIS2 Quality Mark als een ‘license to operate’. Terecht?

Hans: “Absoluut. Steeds vaker vragen grotere bedrijven aan hun leveranciers hoe ze cybersecurity hebben geregeld. Sommigen denken dat ze niet hoeven te voldoen aan NIS2, maar dat is een misvatting. Hackers kijken niet naar regelgeving—ze zoeken kwetsbare doelwitten. En als klein bedrijf ben je niet alleen verantwoordelijk voor je eigen cybersecurity, maar ook een potentiële zwakke schakel in de keten. Als jouw bedrijf wordt aangevallen en daardoor een grote klant geraakt wordt, dan is de impact veel groter dan alleen jouw onderneming. Dit is geen keuze, dit is een verplichting.”

Wat is bepalend voor het succes van het NIS2 Quality Mark in jouw optiek?

Hans: “De vertaalslag van risico-inventarisatie naar concrete technische maatregelen moet zo helder mogelijk zijn. NIS2 zegt bijvoorbeeld dat je kwetsbaarheden op het gebied van mensen, processen en technologie moet inventariseren. Maar wat betekent dat concreet? Welke tooling heb je nodig? Hoe ver moet je gaan?
Het keurmerk moet ondernemers duidelijk maken wat het minimale niveau van beveiliging is en welke vragen ze aan hun MSP moeten stellen. Zonder die praktische vertaalslag denken bedrijven misschien dat een antivirusprogramma voldoende is, terwijl dat totaal onvoldoende is.”

Jij zegt feitelijk; cybersecurity draait niet alleen om technologie, maar ook om mensen.

Hans: “Absoluut. De menselijke factor is een van de grootste risico’s. Het maakt niet uit hoe goed je technische beveiliging is—als een medewerker op een verkeerde link klikt of een phishing-mail opent, kan de schade enorm zijn. Daarom zijn cyberweerbaarheidstrainingen en simulaties essentieel. Elke ondernemer zou hier aandacht aan moeten besteden, en MSP’s zouden dit standaard aan hun klanten moeten aanbieden. Dat gebeurt nog te weinig.”