Technische normen begrijpelijk en toepasbaar maken voor ondernemers

Kristel is communicatiespecialist en cybersecuritynorm-expert. Voor het NIS2 Quality Mark – bestaande uit drie niveaus, te weten NIS2-QM10, NIS2-QM20 en NIS2-QM30 – herschreef ze technische en juridische eisen die bij een cybersecurity keurmerk horen naar begrijpelijke taal.

Je hebt de formele Europese richtlijn-teksten van NIS2 omgezet naar begrijpelijke maatregelen, checklijsten en voorbeelddocumenten. Wat was voor jou hierin de grootste uitdaging?

Kristel: ’De grootste uitdaging zit in de combinatie van juridisch en technisch jargon. Juristen schrijven in termen die vanuit een wettelijke context vaak complex zijn, en cybersecurity-experts gebruiken technische taal die niet direct toegankelijk is voor een niet-IT’er. Mijn taak is om die twee werelden te vertalen naar iets waar ondernemers die weinig tot geen technische achtergrond hebben, direct iets mee kunnen. Daarbij moet ik ervoor zorgen dat niets van de juridische of technische precisie verloren gaat, maar dat het wel zo geschreven is dat ondernemers begrijpen wat ze moeten doen zonder dat het hen overweldigt.’

Veel mkb-ondernemers hebben hun IT-afdeling uitbesteed en kunnen moeite hebben om deze cybersecurity-normen te begrijpen. Hoe vereenvoudig je de taal zonder dat je de essentiële juridische en technische details verliest die nodig zijn voor naleving?

Kristel: ‘De truc is om de technische details om te zetten in concrete, praktische stappen. In plaats van te zeggen dat je ‘vulnerability scanners moet implementeren’, leg ik uit dat je ‘moet controleren of je systemen regelmatig worden gecontroleerd op beveiligingsrisico’s, net zoals je bijvoorbeeld je alarmsysteem thuis regelmatig test’. Ik gebruik zoveel mogelijk dagelijkse analogieën en vermijd vaktaal. Het moet voor mkb’ers direct duidelijk zijn wat ze moeten doen, zonder dat ze zich in technische of juridische termen verliezen.’

Je hebt samen met een team gewerkt, onder andere met experts zoals Cees van der Wens, de schrijver van het bekende ISO 27001 handboek. Hoe heeft deze samenwerking hierbij geholpen?

Kristel: ‘Het werken met experts zoals Cees helpt enorm omdat hij vanuit zijn ervaring meteen kan aangeven wat cruciale elementen zijn in een cybersecurity-context. Hij weet precies welke technische maatregelen belangrijk zijn, en dat maakt het makkelijker voor mij om te beslissen wat absoluut in de tekst moet staan en wat we op een meer begrijpelijke manier kunnen omschrijven.’

Toelichtingsdocumenten bij de maatregelen helpen om abstracte technische normen begrijpelijker te maken. Kun dat eens concreet maken waarbij het gebruik van een praktijkvoorbeeld een ondernemer kan helpen?

Kristel: ‘Zeker, toelichtingsdocumenten zijn ontzettend waardevol om technische normen begrijpelijk en toepasbaar te maken voor ondernemers. Ze vertalen abstracte richtlijnen naar duidelijke, uitvoerbare stappen. Neem bijvoorbeeld de beveiliging van de toeleveringsketen. Veel ondernemers weten dat dit belangrijk is, maar hoe pak je dat concreet aan? In de toelichtingsdocumenten vind je een volledige stap-voor-stap uitleg over hoe je je leveranciers kunt beoordelen op hun beveiliging, welke afspraken je moet vastleggen, en hoe je de keten continu kunt monitoren. Ook zijn er kant-en-klare checklists waarmee je direct kunt controleren of je alles goed hebt ingericht.

Een ander voorbeeld is een ICT-continuïteitsplan. In plaats van zelf alles te moeten bedenken, krijg je in het document een uitgewerkt voorbeeldplan dat je zo kunt overnemen en aanpassen aan je eigen bedrijfssituatie. Dit soort praktijkvoorbeelden en direct bruikbare tools helpen ondernemers om snel en zonder ingewikkelde technische kennis de juiste stappen te zetten om hun organisatie te beveiligen.’

Toen de teksten eenmaal in het Nederlands uitgewerkt waren, moesten ze naar het Engels worden vertaald. Hoe brengt dit weer nieuwe uitdagingen met zich mee, en hoe zorg je ervoor dat de nuances behouden blijven in beide talen?

Kristel: ‘Bij het vertalen naar het Engels moet je heel goed opletten dat de juridische en technische details correct blijven, maar ook dat de taal begrijpelijk blijft. Engels heeft bijvoorbeeld meer ruimte voor technische termen die voor een breder publiek begrijpelijk zijn, maar ik wil ervoor zorgen dat die toegankelijkheid die we in het Nederlands hebben bereikt, behouden blijft. Het is een kwestie van continu herlezen en afstemmen met native speakers, om er zeker van te zijn dat het in beide talen klopt.’

Nu de NIS2 normen geïmplementeerd worden, hoe zie je dat deze vertalingen zoals opgeschreven in NIS2-QM10, NIS2-QM20 en NIS2-QM30 mkb-bedrijven gaan helpen in hun cybersecurity-inspanningen?

Kristel: ‘Ik denk dat het mkb, juist door deze begrijpelijke vertalingen, veel minder schroom zal hebben om met cybersecurity aan de slag te gaan. Waar het voorheen vaak een ver-van-mijn-bed-show was, zien ze nu dat het om praktische, uitvoerbare maatregelen gaat die hen echt kunnen helpen om veiliger te opereren. Dat geeft ze het vertrouwen dat ze ook zonder diepgaande IT-kennis aan de wettelijke eisen kunnen voldoen.’