Het NIS2 Quality Mark biedt een overzichtelijke en haalbare basis

Bluebird & Hawk is een Nederlands cybersecuritybedrijf gespecialiseerd in informatiebeveiliging, risicomanagement en security testing. Ze bieden diensten zoals quickscans, trainingen, ISMS-implementaties en hacktests om organisaties digitaal weerbaarder te maken. Wij spreken met expert Julian van Sijp.

Kun je jezelf even voorstellen?
Julian: “Ik ben Julian van Sijp, algemeen directeur van Bluebird & Hawk. Ik heb een achtergrond in informatiebeveiliging en werk al zo’n tien jaar in dit vakgebied. Het grootste deel van die tijd heb ik gewerkt bij De Nederlandsche Bank in Amsterdam.”

Welke rollen heb je bij De Nederlandsche Bank vervuld?
Julian: “Ik heb verschillende rollen gehad, onder andere als ambassadeur voor Nederland, waarbij ik andere centrale banken wereldwijd hielp met hun volwassenheidsniveau op het gebied van informatiebeveiliging. Daarnaast ben ik trainer geweest voor risicomanagement bij Europese centrale banken en heb ik me beziggehouden met risicomanagement voor informatiebeveiliging voor De Nederlandsche Bank zelf.”

Hoe is Bluebird & Hawk ontstaan?
Julian: “Samen met Ewoud en Maurice, de huidige andere partners, hebben we besloten een nieuw bedrijf op te zetten; een security consultancybureau. We richten ons voornamelijk op informatiebeveiliging en privacy.”

Wat voor type bedrijven bedienen jullie?
Julian: “Dat is heel divers. We bedienen overheden, de financiële sector, de agrarische sector, de zorg en meer. We richten ons op tactisch-strategische informatiebeveiliging en kijken naar governance, organisatiestructuur en hoe bedrijven informatiebeveiliging inrichten. We zitten niet aan de knoppen, zoals bedrijven die doorgaans een meer technisch oriëntatie hebben. Wij helpen juist bedrijven met de bovenliggende strategische keuzes: waar begin je en wat is prioriteit? Hoe maak je de juiste keuzes en hoe breng je management en IT in lijn met elkaar?”

Dus jullie doen geen 24/7 monitoring of incident response?
Julian: “Nee, wij doen inderdaad geen 24/7 monitoring en bieden geen speciale software of incident response aan. Wij zitten op een ander niveau in het traject, bij de strategische en tactische keuzes. Het mooiste voorbeeld is dat wij bedrijven helpen met kiezen van de vorm van monitoring of helpen met de inrichting van het incident response proces dat het beste past bij de organisatie.”

Wat is jouw kijk op de nieuwe Cyberbeveiligingswet en de NIS2 richtlijn?
Julian: “Er is veel verwarring over de terminologie. Mensen zijn de afgelopen twee jaar overspoeld met de term NIS2. In Europa heet de wetgeving ook gewoon NIS2, maar in Nederland is dit de Cyberbeveiligingswet; feitelijk de Nederlandse uitvoering van die Europese wetgeving.

Wij hebben, samen met DTX, een toolkit ontwikkeld om bedrijven sneller te laten voldoen aan de NIS2 richtlijn. Deze toolkit bevat zowel technische als governance-gerichte componenten en helpt bedrijven om compliance te versnellen.”

Is deze toolkit geschikt voor het mkb?
Julian: “Voor veel mkb-bedrijven is de huidige toolkit nog te groot en misschien niet per se nodig. Daarom hebben we nu een samenwerking met het NIS2 Quality Mark. Dit keurmerk is juist gericht op bedrijven die niet direct op het hoogste niveau van compliance hoeven te zitten. Samen met DTX passen we onze toolkit nu aan, zodat deze aansluit bij de eisen van het Quality Mark en toegankelijker wordt voor mkb-bedrijven.”

Betekent dit dat jullie het NIS2 Quality Mark integreren in jullie toolkit?
Julian: “Ja, we gebruiken het Quality Mark als norm. Onze toolkit is nu gebaseerd op ISO 27001, Microsoft best practices en de CIS baselines. Daar voegen we nu de basisnorm van het Quality Mark aan toe, zodat mkb-bedrijven een gestandaardiseerde en haalbare aanpak kunnen volgen.”

Wat was je eerste indruk van het NIS2 Quality Mark?
Julian: “Wat ik er sterk aan vind, is dat het keurmerk erin geslaagd is om een selectie te maken van relevante maatregelen die kleinere bedrijven wél kunnen implementeren. Er zijn talloze maatregelen mogelijk om risico’s te verkleinen, maar kleine bedrijven kunnen niet alles tegelijk doen en hebben daar vaak niet de middelen voor. Het keurmerk biedt een overzichtelijke en haalbare basis.”

Waarom is dit keurmerk belangrijk voor bedrijven zoals Bluebird & Hawk?
Julian: “Het biedt ons een standaard waar we op kunnen terugvallen. Voorheen moesten we altijd per bedrijf uitzoeken welke risico’s er waren en welke maatregelen nodig waren. Met het NIS2 Quality Mark kunnen we een meer gestandaardiseerde aanpak hanteren, wat efficiëntie brengt. Bovendien hebben veel mkb-bedrijven niet de mankracht om uitgebreid onderzoek te doen naar alle mogelijke risico’s. Het keurmerk helpt hen daarbij en maakt het voor ons makkelijker om hen te ondersteunen met een praktische en effectieve aanpak.

Hoe ging dat vroeger? Stel, je bent een bedrijf met 15 man in dienst. Hoe zou dat proces zonder het NIS2 Quality Mark verlopen?
Julian: “‘Vroeger adviseerden we elk bedrijf in principe de ISO-norm (in meer of mindere mate) te volgen. Die vereist dat je risico’s inventariseert en op basis daarvan de juiste maatregelen neemt. Dat was de standaard aanpak maar zou voor een dergelijk type bedrijf vaak te zwaar zijn. Je moest dus zelf goed in kaart brengen welke risico’s je had en specifiek kijken naar NIS2: wat voor type klanten bedien ik?

Stel, je levert gesteriliseerde bakjes en potjes aan een groot ziekenhuis, dan ben je een leverancier voor een essentieel bedrijf en draag je een bepaalde zorgplicht. Je moet er dan voor zorgen dat een cyberaanval je dienstverlening niet verstoort. Eerder zou je dan zelf de risico’s in kaart moeten brengen, eventueel met onze hulp. Nu kan je beginnen met de NIS2 Quality Mark, die tevens op onderdelen vereist dat je risico’s inventariseert, maar ook een set aan basis maatregelen voorschrijft. De lijst met overgebleven risico’s wordt hierdoor veel overzichtelijker. “

Waarom is de ISO-norm lastig voor kleinere bedrijven?
Julian: “Veel kleine bedrijven hebben niet de kennis of de middelen om ’alle vereisten uit de norm. Denk aan looptijd om te komen tot certificering, certificerings- en audit kosten, veel procesmatige inrichtingen die niet passend zijn voor kleine mkb-bedrijven; het uitvoeren van een risicoanalyse en ga zo maar door. Dan moet je een extern bedrijf inhuren, wat in de ogen van kleine bedrijven soms veel geld kost. Hierdoor werd cybersecurity vaak als een dure en complexe verplichting gezien, iets wat zonder directe urgentie op de lange baan werd geschoven.”

Hoe verandert het NIS2 Quality Mark dit proces?
Julian: “Het geeft bedrijven een set handvatten: een duidelijke richtlijn over wat minimaal nodig is, zonder dat elk bedrijf zelf alles hoeft uit te zoeken. Dit maakt het veel beter behapbaar, vooral voor mkb’ers. Het ontslaat je overigens niet tot het vaststellen van je risico’s en het blijven nemen van de juiste maatregelen, maar het verhoogd algemene veiligheidsniveau binnen het mkb. Vanuit die positie is het makkelijker om door te gaan met verbeteren.”

Afhankelijk van het risico dat een bedrijf loopt in de keten, bestaat het keurmerk uit drie niveaus. QM10, QM20 en QM30. Jullie richten je op QM20 en QM30. Bewust niet op QM10?
Julian: “We vinden QM10 mogelijk te licht om onze toolkit op te laten aansluiten. Dat onderzoek loopt nu. Misschien blijkt dat het toch zinvol is, dan nemen we deze variant ook op, maar voorlopig richten we ons op QM20 en QM30.”

Wat is het voordeel van certificering met het NIS2 Quality Mark volgens jou?
Julian: “Je kunt er een audit op laten uitvoeren en het NIS2 Quality Mark certificaat ontvangen. Hoewel het NIS2 Quality Mark voornamelijk nog in Nederland wordt toegepast, biedt het wel een manier om te laten zien aan je nationale en internationale partners dat je cybersecurity serieus neemt. Dit helpt bij verantwoording naar klanten en leveranciers: je kunt aantonen dat een onafhankelijke partij je processen heeft beoordeeld en goedgekeurd.”