Spring naar content

Onze experts
aan het woord

Dr. Michel A. Dutrée

Voorzitter, Stichting Kwaliteitsinnovatie

Lees meer

Dr. Michel A. Dutrée

Voorzitter, Stichting Kwaliteitsinnovatie

De NIS2 wet en NIS2 Quality Mark, de gamechangers

De uitdaging van ons allemaal, een veilig digitaal fundament

Digitale veiligheid is in het bedrijfsleven van het grootste belang. De nieuwe NIS2 wetgeving brengt nieuwe uitdagingen met zich mee voor het bedrijfsleven. Zoals we allemaal weten, is de digitale wereld waarin we leven constant in beweging en biedt zowel kansen als bedreigingen. Daarom is het van essentieel belang dat we met elkaar een solide fundament voor digitale veiligheid creëren, zodat organisaties zonder grote risico’s kunnen samenwerken.

Onze missie

Ons doel is dat alle bedrijven en organisaties in Europa een minimale maar stevige basis van cybersecurity-normen hanteren en voldoen aan de NIS2 Cybersecuritywet. We bieden een groeimodel dat begint bij de basis: een minimum aan cyberhygiëne. Dit fundament, bekend als de QM10-norm, is wat wij van elkaar mogen verwachten voor veilig samenwerken. Wij streven ernaar dat elk bedrijf in Europa ten minste deze basis cybernorm behaalt. Wij vinden dat als bedrijven samenwerken en een langdurige relatie willen bouwen, er een minimaal digitaal fundament moet zijn voor die afspraak, waardoor digitaal samenwerken in vertrouwen kan gebeuren.

NIS2, de gamechanger, als katalysator

De introductie van NIS2 (Network and Information Security Directive) is een gamechanger voor cybersecurity. Hiermee zetten we een belangrijke stap in het verbeteren van onze digitale veiligheid. Deze richtlijn verplicht meer dan 100.000 grote organisaties in Europa om actief met cybersecurity aan de slag te gaan, wat een mijlpaal en gamechanger is in dit domein. Waar cybersecurity voorheen vaak vrijwillig werd aangepakt, is het nu een verplichte maatregel geworden. Dit is de katalysator voor een structurele verandering in denken over hoe organisaties hun digitale veiligheid dienen te benaderen.

De ketenreactie

NIS2 beperkt zich niet alleen tot grote organisaties. Via de keten worden ook ruim 400.000 leveranciers, organisaties en bedrijven van allerlei formaat betrokken bij de ketenverplichting. Dit betekent dat veel organisaties in Europa voor een enorme uitdaging staan. De implementatie van effectieve cybersecuritymaatregelen is niet langer een optie, maar een noodzaak. Elke schakel in de keten moet zijn verantwoordelijkheid nemen om de algehele veiligheid te waarborgen daar waar een risicocomponent aanwezig is. Met elkaar afspreken dat er bij elke samenwerking een aantoonbaar niveau is van minimale cybersecurity, een minimum aan cyberhygiëne, is essentieel. Voor elke samenwerking is NIS2-QM10 de minimale norm.

Differentiatie in cybersecuritybehoeften

Onze missie is mogelijk omdat de Europese Unie erkent dat de cybersecuritybehoeften en te nemen maatregelen variëren per organisatiegrootte en complexiteit. Wij hebben een aangepast normstelsel in drie niveaus gecreëerd, ontwikkeld samen met tientallen experts en brancheorganisaties. Deze aanpak maakt cybersecurity schaalbaar en daardoor de NIS2 haalbaar voor elke organisatie, en stelt ons in staat om samen te groeien in veiligheid.

Onze norm, bekend als het NIS2 Quality Mark, is een flexibel en schaalbaar raamwerk dat bedrijven van verschillende groottes en sectoren helpt om aan de vereisten van NIS2 te voldoen. Het biedt een stapsgewijze aanpak, waarbij bedrijven hun cybersecuritymaatregelen kunnen opschalen naarmate hun behoeften groeien. Dit zorgt ervoor dat zelfs de kleinste bedrijven, door NIS2-QM10 te halen, een goed niveau van bescherming kunnen bereiken zonder onnodige complexiteit of te zware investeringen. Met NIS2-QM10 hebben wij samen een mooie norm die voldoet aan de minimale cyberhygiëne-eisen die we als samenwerkende organisaties van elkaar mogen verwachten. Het vaststellen van de norm was eigenlijk eenvoudig. De overheid heeft ons geholpen door diverse richtlijnen en adviezen online te publiceren, en verder hebben wij goed gekeken naar de minimumnorm om een cybersecurityverzekering te halen. Deze facetten samen leiden tot een lijst waar wij de minimumnorm van hebben gemaakt: NIS2-QM10.

Bedrijven met een zwaarder risicoprofiel kiezen voor NIS2-QM20 of NIS2-QM30. De NIS2-QM30 bevat alle componenten uit de NIS2 en heeft ook IT- en OT-componenten in zich die noodzakelijk zijn om 360 graden security te krijgen in complexe productieomgevingen.

Peter Noordhoek

Directeur-Secretaris van de Stichting Kwaliteitsinnovatie

Lees meer

Peter Noordhoek

Directeur-Secretaris van de Stichting Kwaliteitsinnovatie

Aantoonbaar aan nationale en internationale cybersecurityeisen voldoen

 

Met de invoering van de nieuwe Europese NIS2-richtlijn komt er een nieuwe cybersecuritynorm voor mkb-bedrijven: het NIS2 Quality Mark. Dr. Peter Noordhoek, directeur-secretaris van de Stichting Kwaliteitsinnovatie, stond aan de basis van deze ontwikkeling.

Wat is het basisidee achter het NIS2 Quality Mark?

Peter: ‘De NIS2 is een wet die heel veel bedrijven en sectoren raakt. Wetten zijn er veel, kunnen lastig zijn voor bedrijven. Brancheorganisaties zijn gewend aan wetten, normen en keurmerken. In dit geval bleek dat er behoefte was aan een vertaling van de wet in een norm. In Nederland alleen al krijgen naar schatting 50.000 tot 70.000 bedrijven direct of indirect te maken met de NIS2. Dat is een gigantisch aantal, en onze uitdaging was om een norm te ontwikkelen die niet alleen effectief, maar ook betaalbaar en toegankelijk is voor al deze bedrijven, ongeacht hun omvang.’

Hou zou u het NIS2 Quality Mark omschrijven?

Peter: ‘Het NIS2 Quality Mark is vorig jaar gelanceerd voor Nederland en nu verder ontwikkeld. Internationaal gaan was altijd het plan, en nu is het zover. Nederlandse bedrijven zijn sterk internationaal georiënteerd, en als vijfde exportland en achtste importland ter wereld is het essentieel dat onze bedrijven voldoen aan de cybersecurity-eisen van internationale partners. NIS2 Quality Mark-certificering helpt bedrijven om aantoonbaar aan cybersecurity te voldoen. Dat is essentieel voor onze internationale concurrentiepositie.’

Slaat het aan? 

Peter: ‘Jazeker, het gaat heel erg goed. We hebben een samenwerking met Samen Digitaal Veilig. Inmiddels wordt dit door 64 brancheorganisaties (met een bereik van meer dan 100.000 bedrijven) naar hun leden gecommuniceerd als norm. Er zijn al heel veel bedrijven bezig om het te halen. Daar zijn we heel blij mee.’

Er zijn diverse niveaus, hoe zit dat?

Peter: ‘In de markt zijn er zeer goede, maar best wel zware frameworks en normeringen (zoals NIST, ISO27001 en NEN7510) die geschikt zijn voor grote, complexere organisaties. Daaronder was er niets. Nu wel. Wij hebben drie niveaus als ladder naar hogere normen gemaakt. Dat kan, want NIS2 draait om risico en niet ieder bedrijf vormt een even zwaar risico. Dus is daar ruimte. Die hebben we benut. ENISA, het Europese cyberagentschap, heeft enkele jaren geleden met de aankondiging van getrapte normeringen voor wetten de deur opengezet. Heel fijn. Daar plukken we nu de vruchten van.

De basisnorm NIS2-QM10 biedt bedrijven de mogelijkheid om met een basisniveau van beveiliging te beginnen. Deze standaard ligt op hetzelfde niveau zoals de NCSC op hun website heeft staan en helpt bedrijven direct op weg met de eerste cruciale stappen.

In de NIS2 staat de verplichting voor de beveiliging van de toeleveringsketen. Dus NIS2-organisaties moeten hun leveranciers controleren als er een risico is. Weinig risico? Dan is een lage normering voldoende. Meer risico, zoals bijvoorbeeld bij IT-bedrijven, dan kunnen bedrijven, afhankelijk van hun risicoprofiel en behoefte, doorgroeien naar QM20 en QM30. Dit getrapte model is bewust schaalbaar en flexibel ontworpen, zodat zowel kleine als grotere bedrijven het kunnen implementeren. Hierdoor wordt de drempel om te beginnen met cybersecurity significant verlaagd.

Wat belangrijk is, is dat we niet willen dat bedrijven certificering zien als het einddoel. Het doel is dat bedrijven daadwerkelijk veilig worden en blijven. Certificeren is slechts een middel om dat doel te bereiken.’

Wat zijn de belangrijkste voordelen van het NIS2 Quality Mark?

‘Het grootste voordeel is de eenvoud en begrijpelijkheid van de norm. Daarnaast is de norm kosteloos te downloaden op onze website. We hebben een structuur gecreëerd die bedrijven snel kunnen implementeren, zonder vast te lopen in complexe certificeringstrajecten die veel tijd en geld kosten.

Daarnaast is ons model schaalbaar. Dit getrapte model is geschikt voor zowel kleine als grote bedrijven. Ook voorkomen we dubbelingen in de toepassing van de normen: per norm wordt beschreven waar deze aan andere normen raakt. Is die norm al getoetst, dan hoeft dat bij ons niet meer. We willen geen dubbel werk opleggen. Dat zou alleen amar frustreren.’

Hoe ondersteunt deze norm bedrijven internationaal?

‘De norm helpt bedrijven niet alleen om te voldoen aan de nieuwe Europese wet- en regelgeving, maar laat mkb-bedrijven samenwerken met hun buitenlandse klanten en leveranciers. De eisen vanuit de NIS2 met betrekking tot de toeleveringsgketen zijn glashelder. Bedrijven moeten daaraan voldoen om zaken te kunnen blijven doen. Met het NIS2 Quality Mark zorgen we ervoor dat Nederlandse bedrijven klaar zijn om te voldoen aan de cybersecurity-eisen van hun internationale partners.’

 

Hans ten Hove

Area Vice President voor Continentaal Europa bij Kaseya

Lees meer

Hans ten Hove

Area Vice President voor Continentaal Europa bij Kaseya

Niet alle bedrijven zijn gelijk; goed dat er verschillende risiconiveaus
binnen het NIS2 Quality Mark bestaan

Kaseya is een wereldwijde leverancier van IT- en beveiligingsbeheeroplossingen voor Managed Service Providers (MSP’s) en middelgrote ondernemingen. Het bedrijf biedt een geïntegreerd platform waarmee IT-professionals hun infrastructuur efficiënt kunnen beheren en beveiligen. In juni 2022 heeft Kaseya Datto overgenomen, een aanbieder van beveiligings- en cloudgebaseerde softwareoplossingen die speciaal zijn ontwikkeld voor MSP’s. Wij spreken met expert Hans ten Hove.

Preventie en herstel zijn de twee kernpunten van de (aankomende) NIS2. Hoe belangrijk is het om die goed uit te leggen?

Hans: “Heel belangrijk. Veel bedrijven zien cybersecurity nog steeds als een kwestie van ‘ik koop een antiviruspakket en dan ben ik veilig’. Maar NIS2 gaat over een bredere aanpak:

  • Preventie: wat moet je als onderneming doen om je zo goed mogelijk te beschermen
  • Herstel: wat doe je als het tóch misgaat? Heb je een noodplan? Hoe snel kun je operationeel zijn na een cyberaanval?

Het probleem met wetgeving is vaak dat het wordt opgelegd zonder dat er een begrijpelijke vertaalslag wordt gemaakt naar ondernemers. Dat is waarom het NIS2 Quality Mark zo’n goed initiatief is. Het helpt bedrijven om te begrijpen wat ze moeten doen en geeft MSP’s handvatten om hun klanten hierin te begeleiden.”

Hoe kijk jij vanuit jouw expertise naar het NIS2 Quality Mark?

Hans: “Nou, ten eerste bestond het nog niet, en ik denk dat het echt noodzakelijk is. De wetgeving rondom NIS2 is vrij abstract en geeft ondernemers niet concreet aan wat ze moeten doen en waarom. Het NIS2 Quality Mark helpt om die vertaalslag te maken, en dat is cruciaal.

Daarnaast zijn niet alle bedrijven gelijk, en het is goed dat er verschillende niveaus binnen het keurmerk bestaan. Dat maakt het toegankelijker voor mkb’ers en helpt hen samen met hun MSP naar een gedeeld dashboard te kijken: hoe staan we ervoor, wat hebben we geregeld en waar moeten we nog aan werken? Zo’n referentiekader is essentieel. Zonder dit soort frameworks blijven de implementatie en naleving van NIS2 achter. Ik juich dit initiatief daarom enorm toe.”

Het keurmerk is expliciet in begrijpelijke taal geschreven. Hoe belangrijk is dat?

Hans: “Ontzettend belangrijk. Niet omdat ondernemers niet slim genoeg zijn, maar omdat cybersecurity vaak in een technische taal wordt uitgelegd die voor veel ondernemers onbegrijpelijk is. Maar uiteindelijk gaat het niet om de techniek, maar om de business impact. IT is allang geen losstaand cluster meer binnen een bedrijf—het is integraal onderdeel van de bedrijfsvoering. Daarom moet je ook in business-termen praten, niet alleen in technische specificaties.”

Sommigen omschrijven het NIS2 Quality Mark als een ‘license to operate’. Terecht?

Hans: “Absoluut. Steeds vaker vragen grotere bedrijven aan hun leveranciers hoe ze cybersecurity hebben geregeld. Sommigen denken dat ze niet hoeven te voldoen aan NIS2, maar dat is een misvatting. Hackers kijken niet naar regelgeving—ze zoeken kwetsbare doelwitten. En als klein bedrijf ben je niet alleen verantwoordelijk voor je eigen cybersecurity, maar ook een potentiële zwakke schakel in de keten. Als jouw bedrijf wordt aangevallen en daardoor een grote klant geraakt wordt, dan is de impact veel groter dan alleen jouw onderneming. Dit is geen keuze, dit is een verplichting.”

Wat is bepalend voor het succes van het NIS2 Quality Mark in jouw optiek?

Hans: “De vertaalslag van risico-inventarisatie naar concrete technische maatregelen moet zo helder mogelijk zijn. NIS2 zegt bijvoorbeeld dat je kwetsbaarheden op het gebied van mensen, processen en technologie moet inventariseren. Maar wat betekent dat concreet? Welke tooling heb je nodig? Hoe ver moet je gaan?
Het keurmerk moet ondernemers duidelijk maken wat het minimale niveau van beveiliging is en welke vragen ze aan hun MSP moeten stellen. Zonder die praktische vertaalslag denken bedrijven misschien dat een antivirusprogramma voldoende is, terwijl dat totaal onvoldoende is.”

Jij zegt feitelijk; cybersecurity draait niet alleen om technologie, maar ook om mensen.

Hans: “Absoluut. De menselijke factor is een van de grootste risico’s. Het maakt niet uit hoe goed je technische beveiliging is—als een medewerker op een verkeerde link klikt of een phishing-mail opent, kan de schade enorm zijn. Daarom zijn cyberweerbaarheidstrainingen en simulaties essentieel. Elke ondernemer zou hier aandacht aan moeten besteden, en MSP’s zouden dit standaard aan hun klanten moeten aanbieden. Dat gebeurt nog te weinig.”

Cees van der Wens

ISO/IEC 27001 en NEN7510 auditor, consultant

Lees meer

Cees van der Wens

ISO/IEC 27001 en NEN7510 auditor, consultant

Mkb’ers op een praktische manier ondersteunen

Cees van der Wens is een expert op het gebied van informatiebeveiliging, vooral in het auditen en implementeren van de ISO/IEC 27001-standaard. Hij heeft tal van audits uitgevoerd bij verschillende organisaties, waaronder ziekenhuizen, en hen geholpen bij het behalen van certificeringen. Met een achtergrond in industriële automatisering ondersteunt hij voornamelijk kleine en middelgrote bedrijven bij het opzetten van informatieveiligheidsbeheersystemen.

Cees fungeert vaak als lead auditor en is auteur van boeken over de implementatie en audit van beveiligingsnormen. Zijn werk speelt een belangrijke rol in de cybersecuritywereld, vooral op het gebied van compliance en risicomanagement.

Je bent betrokken bij het NIS2 Quality Mark-project als adviseur. Wat houdt die betrokkenheid precies in en waarom dacht je: ‘Dit wil ik wel doen’?

Cees: ‘Ik hou me al vanaf 2007 actief bezig met de norm ISO 27001 en vanaf 2011 met de norm NEN 7510. In al die jaren, en vooral toen ik ging auditen, heb ik veel organisaties zien worstelen met deze materie. Ik werd sterk aangetrokken door het idee om bedrijven die moeite hebben met het in één keer voldoen aan de zware eisen van ISO 27001, stapsgewijs vooruit te helpen. Voor veel kleine en middelgrote bedrijven – het mkb – is het soms echt te belastend of te duur om direct volledig aan deze norm te voldoen. Zo ben ik op dit moment een zzp’er aan het helpen die een fantastische webapplicatie heeft gebouwd van zijn klanten een ISO-certificering moet halen. In z’n eentje dus. Er is gewoon een sterke behoefte aan een alternatief. In Nederland zijn er misschien wel honderdduizend mkb-bedrijven die waarschijnlijk nooit de volledige stap naar ISO 27001 zullen maken. Daarom is het belangrijk om hen op een praktische manier te ondersteunen.’

Wat is jouw specifieke bijdrage aan dit project om ervoor te zorgen dat het goed wordt uitgevoerd?

Cees: ‘Samen met het team achter het NIS2 Quality Mark kijk ik hoe we een aanpak kunnen ontwikkelen waarmee bedrijven stap voor stap richting goede informatiebeveiliging kunnen werken. Mijn rol is om de basisgedachten en goede ideeën uit de ISO 27001-norm en andere normen mee te nemen en op een nieuwe manier te verwerken. Een manier die beter aansluit op de behoeften van vaak kleinere mkb-bedrijven. Niet alle maatregelen zijn voor iedereen even relevant of noodzakelijk, dus ik onderzoek hoe we een goede balans kunnen vinden. We moeten ervoor zorgen dat het systeem niet te zwaar wordt, maar wel waardevol blijft voor de leveranciers en hun klanten. Het moet een niveau van zekerheid bieden dat begrijpelijk en toepasbaar is voor mkb’ers, maar ook erkend wordt door de markt en auditoren.’

Kun je wat meer vertellen over hoe je dit gaat borgen?

Cees: ‘Het is belangrijk dat we een duidelijk kader neerzetten zodat mkb-bedrijven hun digitale veiligheid kunnen verhogen en dat ze na een audit aan hun klanten kunnen bewijzen dat ze gecertificeerd zijn. Om dat te laten slagen, moeten bedrijven precies weten wat ze moeten doen en hoe ze dat moeten doen. Het systeem moet een bepaalde kwaliteitsstandaard vertegenwoordigen die herkenbaar en betrouwbaar is, zoals de NIS2 Quality Mark met drie niveaus: NIS2-QM10 Basic, NIS2-QM20 Substantial en NIS2-QM30 High. We willen ervoor zorgen dat bedrijven die hieraan voldoen, door de markt worden gewaardeerd en dat de norm duidelijk en consistent is.’

Wat is de grootste uitdaging bij het opstellen van deze norm?

Cees: ‘Taalgebruik is een grote uitdaging. In de huidige formulering van normen is de taal niet altijd consistent of duidelijk. Ik heb uit ervaring geleerd hoeveel verwarring er kan ontstaan door taal. Woorden als ‘leidinggevende’ of ‘systeem’ kunnen op verschillende manieren worden geïnterpreteerd, wat leidt tot onduidelijkheid over wat precies wordt bedoeld. Zulke onduidelijkheden kunnen grote verschillen veroorzaken in hoe maatregelen worden genomen of juist niet. En ook hoe ze worden geïnterpreteerd door een auditor. Daarom blijf ik me richten op het versimpelen en consistent maken van de formulering van de normen. Bovendien heb ik teksten ontwikkeld die het doel van de maatregelen beter duidelijk moeten maken. Zodat mensen snappen welk cyberrisico ze met welke maatregel eigenlijk aan het verlagen zijn.’

Gezien de hoeveelheid betrokken partijen en brancheorganisaties, denk je dat het gaat lukken? En wat zal het voordeel zijn voor mkb’ers?

Cees: ‘Bedrijven die een certificaat behalen, zijn altijd blij. In dit geval geeft het hun meer zekerheid dat ze digitaal veilig werken en dat kunnen ze aan hun grote klanten laten zien. Voor opdrachtgevers is het fijn om het bewijs te hebben dat hun leverancier digitaal veilig werkt. Daarnaast biedt NIS2 Quality Mark een laagdrempelige instap met de mogelijkheid om stapsgewijs te groeien. Het NIS2 Quality Mark heeft drie niveaus—QM10, QM20 en QM30—en bedrijven kunnen instappen op een niveau dat bij hen past. Het idee is dat bedrijven op een lager niveau kunnen beginnen en geleidelijk kunnen doorgroeien. Dat maakt het toegankelijk voor mkb’ers die anders nooit aan een zware norm zouden kunnen voldoen.’

In landen als België en Engeland zijn er al pogingen gedaan met een getrapt model voor cybersecurity, maar daar is het nog niet echt van de grond gekomen. Wat maakt dit project anders?

Cees: ‘Ik ben op de hoogte van die initiatieven, maar niet van alle details. In België hebben ze een trapsgewijs model geïntroduceerd dat vanuit de overheid komt. Dat loopt nog niet echt, omdat de overheid een vreemde partij is om zich met normering te bemoeien; ze zou zich eigenlijk alleen met wetgeving moeten bezighouden. In Engeland is het anders. Daar zijn veel bedrijven met een hele kleine norm—die hebben wel grote aantallen gebruikers—en een hele hoge norm met heel weinig gebruikers. Daar ontbreekt dus het groeimodel. Dit project prikkelt mij omdat we lessen hebben kunnen trekken voor Nederland. De markt zal uiteindelijk een grote rol spelen. Als de markt bijvoorbeeld de QM10-norm voldoende vindt, zullen mkb’ers niet snel naar QM20 of QM30 overstappen. Met het NIS2 Quality Mark hebben we gekozen voor een dynamische, groeiende norm, dus bedrijven zullen wellicht steeds iets moeten doen, en mogelijk komt er ook een prikkel vanuit de markt om naar een hoger niveau te gaan.’

Denk je dat bedrijven het idee van een trapsgewijs model omarmen, of zullen ze dit zien als ‘weer een set regels’? 

Cees: ‘Ik verwacht dat veel bedrijven het als een kans zien. Er zijn zeker bedrijven die met QM10 beginnen en dat voldoende vinden, maar er zijn ook genoeg bedrijven die direct op een hoger niveau kunnen instappen, zoals QM20 of QM30. Het systeem is flexibel, waardoor bedrijven in hun eigen tempo kunnen groeien. Het biedt een haalbare route voor mkb’ers die aan hun grote klanten willen laten zien dat ze een certificering hebben verkregen via een audit.’

Denk je dat het NIS2 Quality Mark voldoende is voor grote opdrachtgevers?

Cees: ‘Ja, dat denk ik wel. Opdrachtgevers willen hun leveranciers niet wegjagen en kunnen dus blijven samenwerken met leveranciers die over het NIS2 QM beschikken. Ze zullen ook waarderen dat er meer keuze is dan alleen tussen bedrijven met of zonder ISO27001- of NEN7510-certificaat. Zoals het nu is, hebben sommige opdrachtgevers maar weinig opties; ze moeten kiezen uit een paar partijen die een norm hebben. Straks zijn er dus meer opties. Hoe dan ook, het kan een oplossing zijn voor zowel opdrachtgevers als kleinere bedrijven, die dan niet gedwongen worden de zware lasten van een zware certificering te dragen.’

Je schrijft zelf boeken over dit onderwerp. Je ‘Handboek ISO27001’ is het meest bekende cyberboek van Nederland. Hoe komt het dat het succes nog niet naar je hoofd is gestegen?

Cees: ‘Ik hou van mijn vak. Mijn passie zit in normen en audits. Dat probeer ik zo goed mogelijk te doen. Door het op te schrijven help ik ook anderen met mijn kennis en inzichten. Wat mij betreft moet NIS2 Quality Mark leiden tot een nog betere bescherming van de beschikbaarheid, integriteit en vertrouwelijkheid van informatie, waaronder informatie van mensen zoals jij en ik die dagelijks door talloze mkb’ers verwerkt wordt. Uiteindelijk profiteert dus iedereen van deze aanpak.’

Ivar van Duuren

Medeoprichter van ISOPlanner

Lees meer

Ivar van Duuren

Medeoprichter van ISOPlanner

Een laagdrempelige manier om te beginnen met security

ISOPlanner is een gebruiksvriendelijke Software-as-a-Service (SaaS) oplossing die organisaties helpt bij het beheren van ISO-compliance binnen de Microsoft 365-omgeving. Door integratie met tools zoals SharePoint, Outlook en Teams kunnen bedrijven efficiënt voldoen aan normen zoals ISO 27001, NEN en het NIS2 Quality Mark.

Ivar, kun je heel kort vertellen wat jullie precies doen?

Ivar: ‘Met onze ISOPlanner software helpen we klanten om normen en frameworks te implementeren. We bieden een soort kapstok: klanten krijgen toegang tot normeisen en maatregelen. Dat doen we voor verschillende normen, zoals ISO-normen en NEN-normen, maar ook voor andere frameworks die niet uit ISO of NEN komen.’

Jullie slogan is “Effortless Compliance Management in Microsoft 365.” Wat maakt jullie aanpak uniek?

Ivar: ‘Onze software is de énige die volledig integreert met Microsoft 365 voor het beheren van ISO-normen. ISOPlanner fungeert als een laag bovenop de bestaande Microsoft 365-omgeving. Gebruikers loggen in met hun Microsoft-account, zonder extra wachtwoorden. Documentatie blijft in SharePoint, en ISOPlanner biedt de mogelijkheid om documenten en taken daar direct aan te koppelen. Daarnaast is er een koppeling met Outlook, zodat taken vanuit ISOPlanner automatisch in de Outlook-agenda verschijnen. Medewerkers kunnen die taken zelfs volledig afhandelen vanuit Outlook, inclusief checklists en documentkoppelingen. Dat maakt het heel laagdrempelig.’

Wat is de meest gebruikte norm die jullie helpen implementeren?

Ivar: ‘Binnen ISOPlanner is ISO 27001 de meest gebruikte norm. Wereldwijd is ISO 9001 nog populairder, maar ISO 27001 groeit snel.’

NIS2 en de bijbehorende ketenzorgplicht zijn erg actueel. Hoe past het NIS2 Quality Mark hierin, en hoe zien jullie dat als bedrijf?

Ivar: ‘Het NIS2 Quality Mark is specifiek ontwikkeld voor kleinere mkb’ers die de eisen van ISO 27001 te zwaar vinden. Wij zien dat niet als concurrentie, maar als een aanvulling. Het maakt cybersecurity toegankelijker voor bedrijven die niet klaar zijn voor de complexiteit van een ISO-certificering. Vanuit onze samenwerking met Samen Digitaal Veilig merken we dat er veel vraag is naar concrete oplossingen zoals dit keurmerk.’

Het NIS2 Quality Mark richt zich sterk op het mkb en biedt basisoplossingen. Zien jullie dat als een bedreiging voor jullie werk met ISO 27001?

Ivar: ‘Nee, we zien het eerder als een andere aanpak voor een ander type klant. Voor bedrijven die ISO 27001 te zwaar vinden, is het NIS2 Quality Mark een laagdrempelige oplossing. Voor ons is het belangrijk om klanten passende opties te bieden, of dat nu via ISO 27001 of dit keurmerk is.’
‘Het is logisch omdat ISO 27001 voor veel organisaties te groot of te complex is. Het NIS2 Quality Mark biedt een laagdrempelige manier om te beginnen. Zo kunnen bedrijven kleine stappen zetten, bijvoorbeeld van 10% naar 20% compliance, en uiteindelijk doorgroeien naar ISO 27001.’

Jullie zijn neutraal, maar ik neem aan dat klanten soms advies vragen. Bijvoorbeeld: ‘Moet ik een NIS 2 Quality Mark nemen of toch kiezen voor ISO 27001?’ Hoe gaan jullie daarmee om?

Ivar: ‘Klopt, wij zijn vooral een uitvoerende partij en doen zelf geen audits. Maar als klanten ons om advies vragen, proberen we wel eerlijk mee te denken. Toch geven we nooit een hard advies, omdat het afhankelijk is van veel factoren, zoals wat hun klanten van hen vragen of wat ze nodig hebben voor hun branche.’

‘Vaak leggen we de verschillen tussen de opties uit. Bijvoorbeeld: als geen van je klanten vraagt om ISO 27001, kun je dat overslaan. Maar als je verwacht dat klanten onder NIS2 gaan vallen en je vragen gaan stellen over je beveiliging, is het slim om klein te beginnen met een Quality Mark. Daarmee leg je een basis, en later kun je altijd opschalen naar meer uitgebreide normen. Het draait dus om een pragmatische aanpak.’

Er is dus behoefte aan een praktisch toepasbaar framework?

Ivar: ‘Absoluut. Veel organisaties willen weten: “Wat moet ik nou doen?” De NIS2 Quality Marks bieden daar een antwoord op. Je kunt het zien als een mooie vertaling van de wetgeving naar een praktisch uitvoerbare set maatregelen. Als je dat accepteert, kun je ermee aan de slag.’

Hoe zien jullie de relatie tussen ISO 27001 en NIS2?

Ivar: ‘ISO 27001 dekt al veel gebieden af, maar NIS2 voegt nieuwe elementen toe, zoals de ketenzorgplicht. Dit betekent dat toeleveranciers van een NIS 2-bedrijf extra verantwoordelijkheden hebben. Die aspecten zijn nog niet volledig verankerd in de oude versie van ISO 27001, dus er is wel overlap, maar ook aanvullende eisen.’

Kunnen klanten bij jullie terecht voor ondersteuning met NIS2?

Ivar: ‘Zeker. Klanten kunnen ISOPlanner gebruiken om normen eenvoudiger in hun Microsoft 365-omgeving te implementeren. Als ze vragen hebben over NIS2, kunnen we hen wijzen op de NIS2 Quality Marks. Die zijn in ISOPlanner beschikbaar als het eerste framework voor NIS2. Dat is een belangrijke stap, en misschien volgen er in de toekomst meer opties.’

Waarom hebben jullie besloten om de NIS2 Quality Marks te ondersteunen?

Ivar: ‘Eerlijk gezegd is dat vraag gestuurd. Onze klanten en partners geven aan dat er behoefte is aan een oplossing voor NIS2. Partners die hun eigen klanten ondersteunen met informatiebeveiliging trekken ook bij ons aan de bel en vragen om frameworks in te voeren. De NIS2 Quality Marks zijn de eerste oplossing die we op dit gebied beschikbaar maken.’

Wat vind je tenslotte nog belangrijk om te noemen?

Ivar: ‘Veel bedrijven vragen zich nu af: “Word ik geraakt door NIS2? Val ik zelf onder deze wet? Of heb ik een klant die onder de wet valt en die mij gaat aanspreken?” Vanuit dat perspectief kijken ze: “Moet ik er iets mee?” Persoonlijk vind ik dat elk bedrijf serieus naar informatiebeveiliging moet kijken.’

‘Het is vergelijkbaar met een fietsenmaker die vindt dat je je fiets goed moet onderhouden, terwijl anderen denken: “Het is maar een fiets.” Maar ik vind het raar als een bedrijf geen managementsysteem heeft voor informatiebeveiliging. Hoe kun je geen processen hebben voor het melden van incidenten, geen focus op leren van fouten, of geen aandacht voor risico’s en de maatregelen die daarbij horen? Dat zou standaard moeten zijn.’

Dus jouw advies is om er altijd iets mee te doen, ook als bedrijven twijfelen?

Ivar: ‘Precies. Als je twijfelt, doe er gewoon wat mee. En als je besluit ermee te starten, dan zijn de NIS 2 Quality Marks een heel mooi en laagdrempelig beginpunt. Zelfs als je denkt dat de wet jou niet direct raakt, zou ik zeggen: doe het toch. Je hebt namelijk altijd informatie—of dat nu van klanten, medewerkers, leveranciers of aandeelhouders is. Die informatie zit in jouw systemen, en je bent verantwoordelijk voor de veiligheid daarvan. Dat gaat niet vanzelf; daar moet je actief iets voor doen.’

 

Lennart Pikaart

Strategic & Key Accounts Bitsight

Lees meer

Lennart Pikaart

Strategic & Key Accounts Bitsight

Een Centraal Bureau voor cybersecurity prestaties van bedrijven wereldwijd

Bitsight is een internationaal bedrijf met hoofdkantoren in de Verenigde Staten, Lissabon en de Asia-Pacific-regio. Hun klanten komen uit zeer uiteenlopende sectoren: overheden zoals het Centrum voor Cybersecurity België, maar ook bedrijven in de maakindustrie, banken, transportbedrijven en hightech bedrijven. Lennart Pikaart, Strategic & Key Accounts bij Bitsight licht de unieke aanpak van het bedrijf toe.

Kun je kort uitleggen wat Bitsight doet?

Lennart: ‘Bitsight is een soort Centraal Bureau voor de Statistiek, maar dan voor de cybersecurity prestaties van bedrijven wereldwijd. We bieden organisaties inzicht in hun eigen securitypositie en die van hun leveranciers. Daarnaast kunnen bedrijven zichzelf vergelijken met hun peers op het gebied van cybersecurity.’

Hoe helpen jullie organisaties precies?

Lennart: ‘We lossen eigenlijk twee belangrijke problemen op met ons platform en onze data. Ten eerste helpen we organisaties met het beheren van security risico’s in hun supply chain. Ten tweede kunnen bedrijven visualiseren hoe een hacker van buiten hun organisatie ziet. Soms komt de vraag vanuit het bestuur: “Hoe doen wij het dan vergeleken met onze concurrenten?” Dat antwoord kunnen wij volledig datagedreven geven.’

Wat is jullie aanpak?

Lennart: ‘Dertien jaar geleden hadden we het idee om een soort credit rating te creëren, maar dan op het gebied van cybersecurity. Dat concept werkt alleen als je wereldwijd elke organisatie op exact dezelfde manier kunt beoordelen. Dat betekent dat we alleen waarnemingen van buitenaf doen. Als je toestemming nodig hebt om systemen te scannen, zal de helft nee zeggen. Dus we hebben we gekozen  om het van buitenaf te doen. We zeggen wel eens dat we de “Criminal’s Eye View” bieden op twee miljoen organisaties wereldwijd, en we scannen, monitoren en updaten die informatie dagelijks.’

Hoe verzamelen en verwerken jullie die data?

Lennart: ‘We hebben een platform ontwikkeld waarmee we wereldwijd data verzamelen via ons eigen scanningsplatform en een groot aantal externe bronnen. We richten ons op verschillende bedrijven, zoals bijvoorbeeld de Nederlandse High Tech Sector, die over de hele wereld actief zijn. De data moet consistent zijn en van dezelfde kwaliteit. Vervolgens verpakken we die informatie in 25 security deelgebieden van. Het interessante is dat we deze data oprollen tot KPI’s, zodat organisaties zichzelf kunnen benchmarken ten opzichte van hun peers of intern.’

Hoe leiden deze KPI’s tot een security rating?

Lennart: ‘We rollen al deze data en KPI’s op tot een algemene security rating. Deze rating is gebaseerd op het Amerikaanse credit ratingsysteem en loopt van 300 tot 850. Het geeft een eenvoudig te begrijpen cijfer dat de algehele cybersecurityprestaties van een organisatie weergeeft.’

Stel dat je bij een organisatie komt met een rating van 600. Ze zitten boven het gemiddelde en doen het relatief goed. Willen de meeste klanten dan streven naar die 850-rating, of zijn ze tevreden met een voldoende?

Lennart: ‘Dat hangt sterk af van de security awareness en maturiteit van de organisatie. Meestal is de eerste reactie: ‘Laat maar zien dan.’ Iedereen wil natuurlijk verbeteren, maar het is ook belangrijk om te realiseren dat niet elke organisatie dezelfde middelen heeft. Daarom is het zo belangrijk om dit in de supply chain te bekijken. Security gaat niet alleen over willen en ambitie, maar ook over of je de middelen hebt om het te realiseren. Banken investeren bijvoorbeeld al tientallen jaren in security en presteren daarom vaak beter. Middelgrote bedrijven hebben die mogelijkheden misschien niet.’

Grote corporates zijn vaak ISO 27001-gecertificeerd, maar dat betekent niet dat ze per se een rating van 850 halen, toch?

Lennart: ‘Dat klopt. Veel mensen denken: “Ik heb mijn ISO 27001-certificaat behaald      ,dus ik ben veilig”. Maar zo werkt het niet helemaal. Je kunt het vergelijken met een voetballer die een jaar geleden bij het eerste elftal is aangenomen en daarna dacht dat hij niet meer zo hard hoefde te trainen. In cybersecurity kunnen dingen heel snel veranderen. Het kan zijn dat tijdens de audit alles op orde was, maar als er daarna mensen vertrekken of processen veranderen, kunnen er snel gaten ontstaan. Daarom benadrukken regelgevers steeds meer het belang van continu monitoren. Je moet met je leveranciers afspraken maken over je security-eisen, deze vastleggen in KPI’s en die vervolgens actief monitoren.’

Dus jullie helpen organisaties niet alleen inzicht te krijgen in hun eigen securitypositie, maar ook die van hun leveranciers?

Lennart: ‘Precies. Door een continu en objectief beeld te geven van de securityprestaties in de hele keten, kunnen organisaties beter risico’s beheren en samenwerken met leveranciers om verbeteringen door te voeren. Met de groeiende complexiteit van digitale ecosystemen en strengere regelgeving is het essentieel om continu inzicht te hebben in je eigen securitypositie én die van je ketenpartners. We blijven ons platform ontwikkelen om nog meer waarde te bieden aan onze klanten en om hen te helpen bij het navigeren door het steeds veranderende cybersecuritylandschap.’

Waarom heeft Bitsight besloten het NIS2 Quality Mark te omarmen?

Lennart: ‘De Stichting Kwaliteitsinnovatie heeft een gedegen framework ontworpen waarmee bedrijven zich kunnen laten auditen en certificeren. Door samen te werken, kunnen onze Bitsight-klanten hun supply chain nog beter monitoren. De 25 securitygebieden die wij monitoren, kunnen we visualiseren binnen het framework van het NIS2 Quality Mark. Zo begrijpen onze klanten hoe deze twee tools samenhangen.’

Hoe kijk je naar het NIS2 Quality Mark vanuit je expertise?

Lennart: ‘Ik vind het NIS2 Quality Mark een sterk initiatief, vooral omdat het een groeimodel met drie niveaus biedt. Bedrijven hoeven niet meteen een enorme sprong te maken, maar kunnen geleidelijk groeien naar een voor hen haalbaar niveau. Het biedt eenduidigheid en helpt bij de vertaling en het begrip van cybersecuritynormen in een bepaald geografisch gebied. Mijn enige zorg is dat Europa mogelijk overspoeld wordt met verschillende standaarden, wat verwarrend kan zijn. Maar het NIS2 Quality Mark maakt direct de koppeling met verschillende frameworks, wat helpt bij het begrip en de implementatie.’

Hoe integreren jullie die twee tools precies?

Lennart: ‘Wij integreren het NIS2 Quality Mark in de Bitsight-portal. Gebruikers kunnen direct zien hoe de 25 security-KPI’s die wij monitoren binnen dat framework passen. Je kunt zien waar je goed in bent en waar je kunt groeien, en het verhoudt zich precies tot je niveau binnen het NIS2 Quality Mark. Als een leverancier bijvoorbeeld zegt dat ze level 3 hebben behaald, maar onze data laat iets anders zien, wordt dat contrast direct zichtbaar. Dit helpt bedrijven om eventuele discrepanties te begrijpen en actie te ondernemen.’

Wat maakt de combinatie van Bitsight met het NIS2 Quality Mark zo sterk?

Lennart: ‘Het behalen van het NIS2 Quality Mark is een geweldige stap, maar het is belangrijk om daarna te blijven trainen en verbeteren. Met Bitsight kun je continu in de spiegel kijken en zien hoe je ervoor staat. Je kunt eenvoudig toegang krijgen tot ons platform om te zien of je verwachtingen overeenkomen met de realiteit. Daar kun je alleen maar van leren.’

 

Julian van Sijp

Partner & co-founder Bluebird & Hawk

Lees meer

Julian van Sijp

Partner & co-founder Bluebird & Hawk

Het NIS2 Quality Mark biedt een overzichtelijke en haalbare basis

Bluebird & Hawk is een Nederlands cybersecuritybedrijf gespecialiseerd in informatiebeveiliging, risicomanagement en security testing. Ze bieden diensten zoals quickscans, trainingen, ISMS-implementaties en hacktests om organisaties digitaal weerbaarder te maken. Wij spreken met expert Julian van Sijp.

Kun je jezelf even voorstellen?
Julian: “Ik ben Julian van Sijp, algemeen directeur van Bluebird & Hawk. Ik heb een achtergrond in informatiebeveiliging en werk al zo’n tien jaar in dit vakgebied. Het grootste deel van die tijd heb ik gewerkt bij De Nederlandsche Bank in Amsterdam.”

Welke rollen heb je bij De Nederlandsche Bank vervuld?
Julian: “Ik heb verschillende rollen gehad, onder andere als ambassadeur voor Nederland, waarbij ik andere centrale banken wereldwijd hielp met hun volwassenheidsniveau op het gebied van informatiebeveiliging. Daarnaast ben ik trainer geweest voor risicomanagement bij Europese centrale banken en heb ik me beziggehouden met risicomanagement voor informatiebeveiliging voor De Nederlandsche Bank zelf.”

Hoe is Bluebird & Hawk ontstaan?
Julian: “Samen met Ewoud en Maurice, de huidige andere partners, hebben we besloten een nieuw bedrijf op te zetten; een security consultancybureau. We richten ons voornamelijk op informatiebeveiliging en privacy.”

Wat voor type bedrijven bedienen jullie?
Julian: “Dat is heel divers. We bedienen overheden, de financiële sector, de agrarische sector, de zorg en meer. We richten ons op tactisch-strategische informatiebeveiliging en kijken naar governance, organisatiestructuur en hoe bedrijven informatiebeveiliging inrichten. We zitten niet aan de knoppen, zoals bedrijven die doorgaans een meer technisch oriëntatie hebben. Wij helpen juist bedrijven met de bovenliggende strategische keuzes: waar begin je en wat is prioriteit? Hoe maak je de juiste keuzes en hoe breng je management en IT in lijn met elkaar?”

Dus jullie doen geen 24/7 monitoring of incident response?
Julian: “Nee, wij doen inderdaad geen 24/7 monitoring en bieden geen speciale software of incident response aan. Wij zitten op een ander niveau in het traject, bij de strategische en tactische keuzes. Het mooiste voorbeeld is dat wij bedrijven helpen met kiezen van de vorm van monitoring of helpen met de inrichting van het incident response proces dat het beste past bij de organisatie.”

Wat is jouw kijk op de nieuwe Cyberbeveiligingswet en de NIS2 richtlijn?
Julian: “Er is veel verwarring over de terminologie. Mensen zijn de afgelopen twee jaar overspoeld met de term NIS2. In Europa heet de wetgeving ook gewoon NIS2, maar in Nederland is dit de Cyberbeveiligingswet; feitelijk de Nederlandse uitvoering van die Europese wetgeving.

Wij hebben, samen met DTX, een toolkit ontwikkeld om bedrijven sneller te laten voldoen aan de NIS2 richtlijn. Deze toolkit bevat zowel technische als governance-gerichte componenten en helpt bedrijven om compliance te versnellen.”

Is deze toolkit geschikt voor het mkb?
Julian: “Voor veel mkb-bedrijven is de huidige toolkit nog te groot en misschien niet per se nodig. Daarom hebben we nu een samenwerking met het NIS2 Quality Mark. Dit keurmerk is juist gericht op bedrijven die niet direct op het hoogste niveau van compliance hoeven te zitten. Samen met DTX passen we onze toolkit nu aan, zodat deze aansluit bij de eisen van het Quality Mark en toegankelijker wordt voor mkb-bedrijven.”

Betekent dit dat jullie het NIS2 Quality Mark integreren in jullie toolkit?
Julian: “Ja, we gebruiken het Quality Mark als norm. Onze toolkit is nu gebaseerd op ISO 27001, Microsoft best practices en de CIS baselines. Daar voegen we nu de basisnorm van het Quality Mark aan toe, zodat mkb-bedrijven een gestandaardiseerde en haalbare aanpak kunnen volgen.”

Wat was je eerste indruk van het NIS2 Quality Mark?
Julian: “Wat ik er sterk aan vind, is dat het keurmerk erin geslaagd is om een selectie te maken van relevante maatregelen die kleinere bedrijven wél kunnen implementeren. Er zijn talloze maatregelen mogelijk om risico’s te verkleinen, maar kleine bedrijven kunnen niet alles tegelijk doen en hebben daar vaak niet de middelen voor. Het keurmerk biedt een overzichtelijke en haalbare basis.”

Waarom is dit keurmerk belangrijk voor bedrijven zoals Bluebird & Hawk?
Julian: “Het biedt ons een standaard waar we op kunnen terugvallen. Voorheen moesten we altijd per bedrijf uitzoeken welke risico’s er waren en welke maatregelen nodig waren. Met het NIS2 Quality Mark kunnen we een meer gestandaardiseerde aanpak hanteren, wat efficiëntie brengt. Bovendien hebben veel mkb-bedrijven niet de mankracht om uitgebreid onderzoek te doen naar alle mogelijke risico’s. Het keurmerk helpt hen daarbij en maakt het voor ons makkelijker om hen te ondersteunen met een praktische en effectieve aanpak.

Hoe ging dat vroeger? Stel, je bent een bedrijf met 15 man in dienst. Hoe zou dat proces zonder het NIS2 Quality Mark verlopen?
Julian: “‘Vroeger adviseerden we elk bedrijf in principe de ISO-norm (in meer of mindere mate) te volgen. Die vereist dat je risico’s inventariseert en op basis daarvan de juiste maatregelen neemt. Dat was de standaard aanpak maar zou voor een dergelijk type bedrijf vaak te zwaar zijn. Je moest dus zelf goed in kaart brengen welke risico’s je had en specifiek kijken naar NIS2: wat voor type klanten bedien ik?

Stel, je levert gesteriliseerde bakjes en potjes aan een groot ziekenhuis, dan ben je een leverancier voor een essentieel bedrijf en draag je een bepaalde zorgplicht. Je moet er dan voor zorgen dat een cyberaanval je dienstverlening niet verstoort. Eerder zou je dan zelf de risico’s in kaart moeten brengen, eventueel met onze hulp. Nu kan je beginnen met de NIS2 Quality Mark, die tevens op onderdelen vereist dat je risico’s inventariseert, maar ook een set aan basis maatregelen voorschrijft. De lijst met overgebleven risico’s wordt hierdoor veel overzichtelijker. “

Waarom is de ISO-norm lastig voor kleinere bedrijven?
Julian: “Veel kleine bedrijven hebben niet de kennis of de middelen om ’alle vereisten uit de norm. Denk aan looptijd om te komen tot certificering, certificerings- en audit kosten, veel procesmatige inrichtingen die niet passend zijn voor kleine mkb-bedrijven; het uitvoeren van een risicoanalyse en ga zo maar door. Dan moet je een extern bedrijf inhuren, wat in de ogen van kleine bedrijven soms veel geld kost. Hierdoor werd cybersecurity vaak als een dure en complexe verplichting gezien, iets wat zonder directe urgentie op de lange baan werd geschoven.”

Hoe verandert het NIS2 Quality Mark dit proces?
Julian: “Het geeft bedrijven een set handvatten: een duidelijke richtlijn over wat minimaal nodig is, zonder dat elk bedrijf zelf alles hoeft uit te zoeken. Dit maakt het veel beter behapbaar, vooral voor mkb’ers. Het ontslaat je overigens niet tot het vaststellen van je risico’s en het blijven nemen van de juiste maatregelen, maar het verhoogd algemene veiligheidsniveau binnen het mkb. Vanuit die positie is het makkelijker om door te gaan met verbeteren.”

Afhankelijk van het risico dat een bedrijf loopt in de keten, bestaat het keurmerk uit drie niveaus. QM10, QM20 en QM30. Jullie richten je op QM20 en QM30. Bewust niet op QM10?
Julian: “We vinden QM10 mogelijk te licht om onze toolkit op te laten aansluiten. Dat onderzoek loopt nu. Misschien blijkt dat het toch zinvol is, dan nemen we deze variant ook op, maar voorlopig richten we ons op QM20 en QM30.”

Wat is het voordeel van certificering met het NIS2 Quality Mark volgens jou?
Julian: “Je kunt er een audit op laten uitvoeren en het NIS2 Quality Mark certificaat ontvangen. Hoewel het NIS2 Quality Mark voornamelijk nog in Nederland wordt toegepast, biedt het wel een manier om te laten zien aan je nationale en internationale partners dat je cybersecurity serieus neemt. Dit helpt bij verantwoording naar klanten en leveranciers: je kunt aantonen dat een onafhankelijke partij je processen heeft beoordeeld en goedgekeurd.”

Nathalie Verkade

Compliance Officer TechOne

Lees meer

Nathalie Verkade

Compliance Officer TechOne

Jouw keten, jouw verantwoordelijkheid: Beveiliging stopt niet bij je eigen organisatie

Nathalie Verkade is Compliance Officer bij TechOne, een bedrijf, binnen een groep van 30 ICT-bedrijven dat zich richt op IT- en cyberbeveiligingsdiensten. TechOne ondersteunt communicatie-, managed IT- en beveiligingsbedrijven bij het realiseren van hun potentieel. Nathalie’s rol is ervoor te zorgen dat de praktijken van de bedrijven in overeenstemming zijn met de relevante wet- en regelgeving, met name gericht op cyberbeveiliging en gegevensbeschermingsstandaarden zoals NIS2. In onderstaand interview spreekt cybersecurity-redacteur Jan Meijroos met haar over het belang van keurmerken voor verschillende branches.

Je bent compliance officer en vooral bezig met wet- en regelgeving binnen de organisatie. Kun je die ervaring en kennis overdragen aan jullie klanten? 

Nathalie: ‘In het begin was ik vooral intern gericht, wat logisch is gezien mijn functie. Maar ik merkte al snel dat de issues binnen onze bedrijven vaak voortkomen uit wat leeft bij hun klanten. Als je intern over bepaalde zaken praat, komen er gelijk ideeën naar voren. Het voegt veel toe voor je klanten als je extra expertise kunt leveren. Dus waarom die kennis alleen voor jezelf houden? De bedrijven en mensen bij ons willen ook graag helpen en vragen om tips. Ze komen logischerwijs bij mij terecht, omdat zij zelf niet alle wetteksten lezen.’

Ben je al in de consultatie van de NIS2 gedoken die recent is gestart? En zo ja, wat is jouw eerste indruk? 

Nathalie: ‘Het komt overeen met de NIS2 zoals die oorspronkelijk in de Engelse tekst staat. Het is een wet van maximale harmonisatie, dus lidstaten mogen zwaardere eisen stellen in hun nationale wetgeving maar zullen in de praktijk weinig afwijken. De maatregelen in artikel 21 van NIS2 zijn niet zo verschillend. Ik denk dat Nederland goed heeft gekeken naar hoe andere landen zoals Duitsland en België het hebben geïmplementeerd.

Vanuit jouw expertise als compliance officer, hoe kijk jij aan tegen het NIS2 Quality Mark? 

Nathalie: ‘Niet elk bedrijf valt direct onder de NIS2, er zijn twee categorieën: bedrijven die direct onder NIS2 vallen en bedrijven die via de keten eraan moeten voldoen. Mensen vergeten vaak dat ze indirect toch moeten voldoen door zorgplicht en toeleveringsketen-verplichting. Het NIS2 Quality Mark richt zich hierop, vooral voor het mkb, wat veel bedrijven kan helpen.

NIS2 is Europese wetgeving die geïmplementeerd moet worden in Nederland. Het NIS2-keurmerk maakt deze wet behapbaar. Na een audit door een erkend auditbureau heb je een bewijs dat je een groot aantal cybersecuritymaatregelen hebt genomen. In de ogen van je grote klant laat het zien dat je serieus bezig bent met cyberveiligheid. Dit toegankelijke, behapbare karakter is een uitkomst voor het mkb.

In NIS2 zitten ook nieuwe zaken die niet standaard in ISO 27000 zitten, zoals – je geeft het al aan – de ketenzorgplicht. Maakt dat een verschil? 

Nathalie: ‘Jazeker. NIS2 is weer een stukje zwaarder. In ISO heb je leveranciersbeoordeling, maar NIS2 verplicht je leveranciers aanvullend om in geval van risico ook echt maatregelen te treffen. Je bent verantwoordelijk voor de informatiebeveiliging van je keten, niet alleen voor jezelf. Bedrijven denken vaak dat ze met de ISO klaar zijn, maar dat is niet zo. En mkb’ers die denken dat ze aan de zware ISO moeten voldoen, zijn ook vaak verkeerd geïnformeerd. ISO is een prima norm maar voor veel kleine en middelgrote bedrijven te veelomvattend en complex. Het NIS2 Quality Mark vangt dat op.

Het zet ook de spotlight op de keten van toeleveranciers, waar veel van jullie klanten onder vallen. Ik begrijp dat er duizenden klanten in aanmerking komen voor het NIS2 Quality Mark? 

Nathalie: ‘Ja, we hebben vijftien locaties in Nederland en ongeveer dertig bedrijven. Tel je de klanten van al die bedrijven bij elkaar op, dan kom je snel op grote aantallen. Samen Digitaal Veilig zorgt ervoor dat het mkb goed voorbereid is op de wet, ook al zijn deze bedrijven niet volledig NIS2-plichtig. Wij zijn een goede partner om die kennis door te geven aan onze klanten.’

Hoe is de samenwerking met Samen Digitaal Veilig?

Nathalie: ‘SDV zorgt voor veel ondersteuning en informatie. Zij hebben een afdeling voor vragen die specifieker zijn dan onze kennis. Zo kunnen wij klantvragen doorverwijzen. Daarnaast organiseren we samen bijeenkomsten, webinars en ga zo maar door.’

Wat verwacht je van de implementatie van de wet, qua timing? 

Nathalie: ‘Nederland loopt iets achter. Andere Europese landen halen de deadline wel. Nederlandse vertraging kan niet als excuus worden gebruikt. Bedrijven uit andere Europese landen gaan namelijk aan de bel trekken.’

Waarom zijn normeringen belangrijk, vooral voor kleinere bedrijven die vaak weerstand voelen tegen nieuwe regels?

Nathalie: ‘Ik snap de frustratie. Vroeger golden wetten vooral voor grote bedrijven, nu steeds meer ook voor het mkb. Mijn tip: begin klein met een norm, begin met een basis. Je ziet dan snel de voordelen in al je processen. Voor je grote klanten is het belangrijk om te laten zien dat je met cybersecurity bezig bent. Bij TechOne kijken we hoe we dit toegankelijk kunnen maken voor onze klanten. We leveren niet alleen basale IT-diensten, maar bieden ook partnerships. En dat is weer goed voor de relatie met je klanten.’

Remco van der Linde

Directeur Techniek & Markt bij Techniek Nederland

Lees meer

Remco van der Linde

Directeur Techniek & Markt bij Techniek Nederland

Het NIS2 Quality Mark sluit aan op de behoefte van onze leden

Remco van der Linden is Directeur Techniek & Markt bij Techniek Nederland. De branche die hij vertegenwoordigt, kent veel keurmerken en normen. Het NIS2 Quality Mark  kent goede uitgangspunten: ‘Het halen van deze norm is toegankelijk en voelt niet als een straf.’

Kun je wat vertellen over jullie branche?

Remco van der Linden: Onze branche is al jaren sterk geprotocolleerd vanwege de technische – en veiligheidsaspecten. Oorspronkelijk werden we gecontroleerd door energiebedrijven, maar na het wegvallen van die controles, hebben we zelf private kwaliteitsregelingen ingesteld om vakbekwame ondernemers te onderscheiden van minder gekwalificeerde.’

Diverse van onze regelingen zijn nu wettelijk verplicht, zoals certificeringen voor bodemwarmtepompen en pakkingen. Al met al heeft dit geleid tot een overvloed aan kwaliteitsregelingen, wat tegelijkertijd een probleem is. In Nederland hebben we te veel keurmerken en controles, vaak zonder rekening te houden met reeds behaalde certificaten. Dit leidt tot inefficiëntie en overbelasting van ondernemers en vakmensen.

Dus je zegt: het zou minder kunnen en moeten?

Remco van der Linden: ‘Ja, het kan èn moet anders. We moeten slanker combineren en dubbel werk vermijden. Zelfevaluatie en collegiale toetsing kunnen hierbij helpen. Data- en risico gedreven controle in plaats van alles te controleren is de sleutel. We moeten zorgen dat niet alles opnieuw aangetoond hoeft te worden bij verschillende regelingen.

Er komt een nieuwe cyberveiligheidswet aan, de NIS2 richtlijn. Hoe zie je dat voor jullie branche, gezien het grote aantal toeleveranciers?

Remco van der Linden: ‘Ik zie dat NIS2 heel vergelijkbaar is opgezet als de CSRD, meer verantwoording in de keten. Veel van onze leden leveren technische voorzieningen voor kritieke infrastructuren en moeten aan hoge eisen voldoen, wat administratieve last voor deze bedrijven met zich meebrengt. Ook toeleveranciers in het MKB moeten dan voldoen aan deze eisen, wat we willen standaardiseren om te voorkomen dat ieder bedrijf zijn eigen eisen stelt.

Wat is jouw kijk op het NIS2 Quality Mark en veilig digitaal werken?

Remco van der Linden: We promoten cyberbewustzijn en proberen zoveel mogelijk hulpmiddelen aan te bieden. Het NIS2 Quality Mark biedt gradaties in eisen en maakt het mogelijk om een self-assessment te doen of een audit als dat nodig is. Deze keuze is fijn. Het trapmodel voorkomt te zware lasten. En daar komt het NIS2 Quality Mark om de hoek kijken. Dat sluit aan op de uitgangspunten van ons kwaliteitsbeleid.’

‘Vaak is de door de overheid zelf aangegeven basis voldoende. We moeten niet onnodig boven die basis gaan zitten, tenzij dat specifiek gevraagd wordt door opdrachtgevers. Het is belangrijk dat opdrachtgevers voldoende geïnformeerd zijn over NIS2 Quality Mark levels en ISO 27001, zodat ze de juiste standaard kunnen kiezen die voor hen van toepassing is.

Hoe zorg je ervoor dat ondernemers niet afgeschrikt worden door (weer) nieuwe normen en certificeringen?

Remco: ‘Door de norm op een ondernemersvriendelijke manier te presenteren. Het NIS2 Quality Mark kent bijvoorbeeld voldoende ondersteuning zoals webinars en een helpdesk. Een norm moet vertrouwen wekken bij opdrachtgevers. Het moet effectief zijn en vertaald worden naar een ondernemersvriendelijke aanpak. Het behalen van het NIS2 Keurmerk is goed te doen en voelt niet als een straf. Een norm moet geen politieagent zijn die controleert, maar een hulpmiddel dat ondernemers helpt om het keurmerk tegen acceptabele inspanningen te behalen. We willen als ondernemersorganisatie die helpende hand bieden, zodat het proces goed ondersteund wordt.’

Zie jij specifieke uitdagingen in jullie branche met betrekking tot cybersecurity en informatiebeveiliging?

Remco van der Linden: Zeker. Grote leden hebben al vaak goede beveiligingsmaatregelen en de kennis in huis. Veel bedrijven zien het als een ver-van-mijn-bed-show, terwijl cyberweerbaarheid voor álle bedrijven cruciaal is. Communicatie en bewustwording zijn essentieel om dit onderdeel te maken van de bedrijfsvoering. Ook MKB-bedrijven moeten zich realiseren dat opdrachtgevers dit waarschijnlijk wel van hen gaan eisen. Dan moet je wel meedoen ook al ben je wat kleiner.’

Kan de nieuwe wet als een katalysator werken om de bewustwording te vergroten? 

Remco van der Linden: Jazeker. De wet is goed maar het blijft een uitdaging. Vaak wordt pas gereageerd als er iets gebeurt. Het is een transitie die moet plaatsvinden, en we moeten het proces zo makkelijk mogelijk maken voor ondernemers.’

Waar ben je nog meer mee bezig binnen de organisatie?

Remco van der Linden: ‘We zijn bij Techniek Nederland bezig met de arbeidsmarkt, verduurzaming, circulariteit, mobiliteit en vakmanschap. Dit varieert van toegang tot binnensteden voor bestelwagens tot de wettelijke certificering voor pakkingen. We houden ons ook bezig met de netcongestie en de digitalisering in de bouw- en technieksector.’

Wat vind je het leukste aan je werk?

Remco van der Linden: Ik werk graag aan een oplossing voor maatschappelijke vraagstukken en het ondersteunen van ondernemers. Het is leuk om te zien hoe we met digitalisering en cybersecurity vooruitgang boeken. Samenwerken met verschillende branches om digitale veiligheid te bevorderen is een van de dingen waar ik enthousiast over ben.’

Wat vind jij ten slotte het belangrijkste als het gaat om informatiebeveiliging?

Remco van der Linden: Het belangrijkste is dat we ondernemers goed ondersteunen bij het cyberweerbaar maken van hun bedrijven, zonder alleen maar vinkjes te zetten. We willen echt bijdragen aan hun succes. “Niet vinken, maar vonken” zeggen we dan in de branche.’

Remco van der Linden is Directeur Techniek & Markt bij Techniek Nederland. Hij is verantwoordelijk voor het bevorderen van innovatie en marktontwikkelingen in de technische sector. Sinds september 2023 is hij ook voorzitter van het bestuur van het Centraal Register Techniek, waar hij zich richt op het digitaal zichtbaar maken van vakmanschap en kwaliteit. 

Daarnaast speelt hij een belangrijke rol bij de implementatie van de NIS2 wetgeving, die gericht is op het verbeteren van de cybersecurity binnen de sector. Hij benadrukt het belang van samenwerking en zelfregulering om de administratieve lastendruk voor bedrijven te verlichten en een veilige werking van technische systemen te waarborgen. 

Rick van der Gaag

Project Manager Schoonmakend Nederland

Lees meer

Rick van der Gaag

Project Manager Schoonmakend Nederland

Een praktische en betaalbare oplossing voor een gezonde bedrijfsvoering

Rick van der Gaag is de Projectmanager Ondernemerschap bij Schoonmakend Nederland, de brancheorganisatie voor de schoonmaaksector in Nederland. Hij ondersteunt schoonmaakbedrijven bij hun bedrijfsvoering en stimuleert ondernemerschap binnen de sector. Ook adviseert hij over risicomanagement en verzekeringen om de continuïteit van ondernemingen te waarborgen. Daarnaast heeft de branche een eigen keurmerk en is men – na een grondige analyse van de inhoud – heel enthousiast over de NIS2 Quality Mark; een handige norm voor cyberveilig werken in de keten.

Wat houdt jullie eigen keurmerk in?

Rick: ‘Onze norm heet Keurmerk Schoon. Het keurmerk staat voor professionaliteit en financiële betrouwbaarheid van schoonmaak- en glazenwassersbedrijven. Die richt zich met name op naleving van de wet en focust op administratie en bedrijfsvoering.

Kun je daar wat meer over vertellen?

Rick: ‘In ons keurmerk gaat het – net als bij het NIS2 Quality Mark – om ketenaansprakelijkheid maar dan op een heel ander vlak, namelijk: netjes en fatsoenlijk werken. Er zijn verschillende criteria waarop getoetst wordt, zoals het netjes afdragen van belasting en premies, toepassing van de CAO, en het op orde hebben van de administratie. Een onafhankelijke certificerende instelling toetst dit twee keer per jaar, één keer met een uitgebreide audit en één keer met een verplichte audit.

Schoonmakers komen bij allerlei opdrachtgevers zoals hotels, vakantieparken, stations, openbare gelegenheden en overheidsgebouwen. Ketenaansprakelijkheid is belangrijk om ervoor te zorgen dat er netjes met mensen omgegaan wordt en dat het salaris netjes betaald wordt. Zo mag je bijvoorbeeld in hotels niet per kamer betalen. Ons keurmerk zorgt ervoor dat dit soort misverstanden niet meer voorkomen.’

Wat is de algemene houding ten opzichte van keurmerken en normen? Zijn mensen daar enthousiast over of is er aanvankelijk weerstand?

Rick: Er is zeker weerstand omdat een norm niet nóg een administratieve laag moet zijn. Het succes van een keurmerk hangt ook af van in hoeverre opdrachtgevers ernaar vragen. In het begin zijn bedrijven enthousiast, maar na een aantal audits gaan ze de kosten en baten afwegen. Zorgen dat leden het Keurmerk blijven omarmen blijft een aandachtspunt.’

Wat is jouw mening over het NIS2 Quality Mark voor mkb’ers als norm op het gebied van cyberveiligheid?

Rick: ‘In eerste instantie was ik terughoudend omdat cybersecurity vaak niet direct met de kernactiviteiten van een bedrijf te maken heeft. Maar zodra je de krant openslaat lees je over hacking en recent heel veel over NIS2 en cyberveiligheid. Het is dus belangrijk om hier aandacht aan te besteden omdat grote bedrijven eisen gaan stellen aan hun leveranciers, waaronder ook kleinere bedrijven.’

‘Het is belangrijk om een hele praktische en betaalbare oplossing te vinden die de lopende bedrijfsvoering niet in de knoop brengt. En met veel ondersteuning voor de onderneming. Dat is nu precies wat het NIS2 Quality Mark doet. Het feit dat er nu al 75 vestigingen meedoen met Samen Digitaal Veilig en wij samen al 125.000 bedrijven bereiken, stemt mij heel positief.’

Hoe is de IT-beveiliging en veilig digitaal werken over het algemeen geregeld bij jullie leden?

Rick: ‘Dit varieert sterk. Grotere bedrijven hebben vaak eigen afdelingen die zich hiermee bezighouden, terwijl kleinere bedrijven er minder aandacht aan besteden. Het is doorgaans niet het favoriete gespreksonderwerp van ondernemers.

Denk je dat het NIS2 Quality Mark uiteindelijk jullie leden kan helpen?

Rick: ‘Ik denk zeker dat het een uitkomst kan bieden. Het is belangrijk om nu te beginnen en stapsgewijs aan de slag te gaan, zodat je straks je zaakjes op orde hebt. Het biedt bovendien een concurrentievoordeel als je voorbereid bent.’

Wat zeg jij tegen jullie leden bij eventuele weerstand als het gaat om cybersecurity en de aankomende NIS2 richtlijn?

Rick: ‘Begin vandaag nog en neem stapsgewijs de nodige maatregelen. De dingen die je als bedrijf moet zijn op het gebied van veilig werken zijn logisch en het is beter om nu te beginnen dan straks verrast te worden door verplichtingen. En nogmaals, de norm biedt ondernemers een voorsprong ten opzichte van andere bedrijven en voorkomt veel gedoe en potentiële schade achteraf.

Jan Meijroos

Cybersecurity redacteur

Lees meer

Jan Meijroos

Cybersecurity redacteur

De toegankelijke taal van het NIS2 Quality Mark volgens cybersecurity redacteur Jan Meijroos

De digitale wereld is continu in beweging, en met die verandering komen ook nieuwe uitdagingen voor bedrijven, vooral als het gaat om cybersecurity. Voor veel mkb-bedrijven en kleine ondernemingen is het vaak een (te) abstract begrip dat moeilijk te vatten is. Dat je je huisdeur en je auto goed op slot moet doen, snapt iedereen. Maar data beveiligen en back-ups versleutelen… dat is niet voor iedereen direct herkenbaar. Als journalist die veel over cybersecurity en technologie schrijft, merk ik dat veel bedrijven cyberveiligheid en informatiebeveiliging dan ook lastige onderwerpen vinden. Men snap de urgentie maar wordt vaak overweldigt door jargon. Toch moet iedereen de komende tijd aan de bak.

De hele toeleveringsketen veilig

Met de nieuwe Europese cyberwet in aantocht, de NIS2, komt er het nodige af op álle bedrijven in Nederland. Organisaties die belangrijk zijn voor de samenleving, de zogenaamde NIS2-bedrijven, moeten extra hun best doen om hun digitale netwerken en systemen te beschermen tegen problemen zoals storingen of afpersing. Dit betekent ook dat ze moeten samenwerken met hun directe leveranciers om de hele toeleveringsketen veilig te maken. Hier komt het NIS2 Quality Mark in beeld, een keurmerk dat specifiek is ontwikkeld voor die laatste doelgroep.

Het NIS2 Quality Mark biedt namelijk een lichtpuntje voor veel ondernemers die toeleveranciers zijn van grote en essentiële bedrijven. Vaak worden deze kleinere bedrijven overrompeld door complexe wetgevingen die hen verplichten om zware, vaak onbegrijpelijke maatregelen te nemen. Het resultaat? Hakken in het zand en weerstand tegen de veranderingen. Maar dit keurmerk pakt het anders aan.

Begrijpelijke taak, drie niveaus

Wat het NIS2 Quality Mark zo toegankelijk maakt, is de begrijpelijke mensentaal waarin het is opgesteld. Geen ingewikkeld jargon, maar duidelijke, toepasbare richtlijnen. Hierdoor weten ondernemers precies wat er van hen verwacht wordt zonder overweldigd te raken.

Daarnaast is het keurmerk opgebouwd uit drie niveaus: QM10, QM20 en QM30. Deze niveaus zijn afgestemd op het belang en de omvang van de organisatie, waardoor het behalen van het keurmerk een stuk eenvoudiger wordt. Het is niet nodig om onnodig zware maatregelen door te voeren; de lijsten zijn overzichtelijk en duidelijk, wat de drempel verlaagt om aan de slag te gaan.

En dat is cruciaal, want het behouden van grote klanten is voor veel kleine ondernemers van levensbelang. Door het NIS2 Quality Mark kunnen zij aantonen dat zij voldoen aan de benodigde cybersecuritymaatregelen, wat vertrouwen wekt bij hun grotere klanten en hen een stap voor blijft in de concurrerende markt.

Waardevolle klanten behouden

Kortom, het NIS2 Quality Mark biedt een laagdrempelige, begrijpelijke en effectieve manier voor mkb-bedrijven om hun cybersecurity op orde te krijgen. Dit niet alleen om te voldoen aan wetgevingen, maar vooral om hun waardevolle klanten te behouden en hun positie in de markt te versterken.

Kristel Houtappels

Communicatiespecialist & cybersecuritynorm-expert

Lees meer

Kristel Houtappels

Communicatiespecialist & cybersecuritynorm-expert

Technische normen begrijpelijk en toepasbaar maken voor ondernemers

Kristel is communicatiespecialist en cybersecuritynorm-expert. Voor het NIS2 Quality Mark – bestaande uit drie niveaus, te weten NIS2-QM10, NIS2-QM20 en NIS2-QM30 – herschreef ze technische en juridische eisen die bij een cybersecurity keurmerk horen naar begrijpelijke taal.

Je hebt de formele Europese richtlijn-teksten van NIS2 omgezet naar begrijpelijke maatregelen, checklijsten en voorbeelddocumenten. Wat was voor jou hierin de grootste uitdaging?

Kristel: ’De grootste uitdaging zit in de combinatie van juridisch en technisch jargon. Juristen schrijven in termen die vanuit een wettelijke context vaak complex zijn, en cybersecurity-experts gebruiken technische taal die niet direct toegankelijk is voor een niet-IT’er. Mijn taak is om die twee werelden te vertalen naar iets waar ondernemers die weinig tot geen technische achtergrond hebben, direct iets mee kunnen. Daarbij moet ik ervoor zorgen dat niets van de juridische of technische precisie verloren gaat, maar dat het wel zo geschreven is dat ondernemers begrijpen wat ze moeten doen zonder dat het hen overweldigt.’

Veel mkb-ondernemers hebben hun IT-afdeling uitbesteed en kunnen moeite hebben om deze cybersecurity-normen te begrijpen. Hoe vereenvoudig je de taal zonder dat je de essentiële juridische en technische details verliest die nodig zijn voor naleving?

Kristel: ‘De truc is om de technische details om te zetten in concrete, praktische stappen. In plaats van te zeggen dat je ‘vulnerability scanners moet implementeren’, leg ik uit dat je ‘moet controleren of je systemen regelmatig worden gecontroleerd op beveiligingsrisico’s, net zoals je bijvoorbeeld je alarmsysteem thuis regelmatig test’. Ik gebruik zoveel mogelijk dagelijkse analogieën en vermijd vaktaal. Het moet voor mkb’ers direct duidelijk zijn wat ze moeten doen, zonder dat ze zich in technische of juridische termen verliezen.’

Je hebt samen met een team gewerkt, onder andere met experts zoals Cees van der Wens, de schrijver van het bekende ISO 27001 handboek. Hoe heeft deze samenwerking hierbij geholpen?

Kristel: ‘Het werken met experts zoals Cees helpt enorm omdat hij vanuit zijn ervaring meteen kan aangeven wat cruciale elementen zijn in een cybersecurity-context. Hij weet precies welke technische maatregelen belangrijk zijn, en dat maakt het makkelijker voor mij om te beslissen wat absoluut in de tekst moet staan en wat we op een meer begrijpelijke manier kunnen omschrijven.’

Toelichtingsdocumenten bij de maatregelen helpen om abstracte technische normen begrijpelijker te maken. Kun dat eens concreet maken waarbij het gebruik van een praktijkvoorbeeld een ondernemer kan helpen?

Kristel: ‘Zeker, toelichtingsdocumenten zijn ontzettend waardevol om technische normen begrijpelijk en toepasbaar te maken voor ondernemers. Ze vertalen abstracte richtlijnen naar duidelijke, uitvoerbare stappen. Neem bijvoorbeeld de beveiliging van de toeleveringsketen. Veel ondernemers weten dat dit belangrijk is, maar hoe pak je dat concreet aan? In de toelichtingsdocumenten vind je een volledige stap-voor-stap uitleg over hoe je je leveranciers kunt beoordelen op hun beveiliging, welke afspraken je moet vastleggen, en hoe je de keten continu kunt monitoren. Ook zijn er kant-en-klare checklists waarmee je direct kunt controleren of je alles goed hebt ingericht.

Een ander voorbeeld is een ICT-continuïteitsplan. In plaats van zelf alles te moeten bedenken, krijg je in het document een uitgewerkt voorbeeldplan dat je zo kunt overnemen en aanpassen aan je eigen bedrijfssituatie. Dit soort praktijkvoorbeelden en direct bruikbare tools helpen ondernemers om snel en zonder ingewikkelde technische kennis de juiste stappen te zetten om hun organisatie te beveiligen.’

Toen de teksten eenmaal in het Nederlands uitgewerkt waren, moesten ze naar het Engels worden vertaald. Hoe brengt dit weer nieuwe uitdagingen met zich mee, en hoe zorg je ervoor dat de nuances behouden blijven in beide talen?

Kristel: ‘Bij het vertalen naar het Engels moet je heel goed opletten dat de juridische en technische details correct blijven, maar ook dat de taal begrijpelijk blijft. Engels heeft bijvoorbeeld meer ruimte voor technische termen die voor een breder publiek begrijpelijk zijn, maar ik wil ervoor zorgen dat die toegankelijkheid die we in het Nederlands hebben bereikt, behouden blijft. Het is een kwestie van continu herlezen en afstemmen met native speakers, om er zeker van te zijn dat het in beide talen klopt.’

Nu de NIS2 normen geïmplementeerd worden, hoe zie je dat deze vertalingen zoals opgeschreven in NIS2-QM10, NIS2-QM20 en NIS2-QM30 mkb-bedrijven gaan helpen in hun cybersecurity-inspanningen?

Kristel: ‘Ik denk dat het mkb, juist door deze begrijpelijke vertalingen, veel minder schroom zal hebben om met cybersecurity aan de slag te gaan. Waar het voorheen vaak een ver-van-mijn-bed-show was, zien ze nu dat het om praktische, uitvoerbare maatregelen gaat die hen echt kunnen helpen om veiliger te opereren. Dat geeft ze het vertrouwen dat ze ook zonder diepgaande IT-kennis aan de wettelijke eisen kunnen voldoen.’