In de wereld van Van Rooijen Logistiek BV stopt nooit iets: vrachtwagens rijden af en aan door Nederland en België. Goederen worden vervoerd en klanten rekenen op hun leveringen, op tijd. Juist daarom kan één cyberaanval genoeg zijn om het hele bedrijf en de keten daaromheen tot stilstand te brengen. IT-manager Ruud Verkoeijen besloot niet te wachten tot het misging en gebruikte het NIS2 Quality Mark om de digitale weerbaarheid van het bedrijf aantoonbaar op niveau te brengen.
Ruud is IT-manager bij Van Rooijen Logistiek BV, een internationaal transport- en logistiek bedrijf met vestigingen in Eindhoven en Turnhout. Het bedrijf rijdt voor grote merken in food, non-food en farmacie en beheert uitgebreide opslag- en distributiestromen. Juist daarom maakt digitale veiligheid voor Ruud een groot verschil: als de IT stilvalt, valt de logistiek stil.
“In totaal beheren we met negen man IT,” zegt hij. “Dat is mijn team.” Met dat team zorgt Ruud ervoor dat systemen blijven draaien én dat de digitale poort zo goed mogelijk gesloten blijft voor aanvallers. Van Rooijen Logistiek BV heeft recent, dankzij de inspanningen van Ruud, het NIS2 Quality Mark behaald; een toegankelijk te behalen certificering voor mkb-bedrijven om te laten zien dat ze compliant zijn met de NIS2-wetgeving.
Een betrouwbare partner voor grote NIS2-organisaties
Ruud zag de dreiging de afgelopen jaren snel toenemen. Ransomware, phishing, ketenaanvallen: wat vroeger uitzonderingen waren, is nu bijna dagelijks nieuws. “Als je je IT niet op orde hebt, kan er altijd wat gebeuren,” zegt hij. “En bij ons is de impact meteen groot. Als tientallen vrachtwagens twee dagen stilstaan, heb je een serieus probleem.”
De eerste prikkel kwam toen hij via een IT-leverancier in Eindhoven over NIS2 hoorde. In een webinar werd duidelijk dat grotere NIS2-organisaties straks veel scherper gaan kijken naar hun leveranciers. Zij mogen eigenlijk niet meer samenwerken met partijen waar een duidelijk risico zit, zeker niet als die leveranciers niet kunnen aantonen dat hun digitale veiligheid op orde is.
Ruud herkent dat direct als risico voor een logistieke dienstverlener als Van Rooijen. Grote klanten moeten kunnen laten zien dat hun keten veilig is. Daar horen vervoerders, opslagpartners en IT-partijen bij. Hij verwoordt het nuchter: “als je dan niks kunt aantonen, kun je gewoon buiten de boot vallen. Wij willen natuurlijk niet dat Van Rooijen straks als “zwakke schakel” wordt gezien.” En hij weet ook: het bedrijf wil geen grote klanten verliezen. Dat is een belangrijk deel van zijn motivatie.
Hij noemt drie hoofdredenen om mee te doen en het NIS2 Quality Mark te halen:
Keten en klanten: kunnen aantonen dat Van Rooijen een betrouwbare, veilige partner is voor grote NIS2-organisaties.
Wettelijke plicht: voldoen aan de eisen die nu al gelden en straks strenger worden. “Niet compliant is gewoon een boete. Jullie zijn hoofdelijk aansprakelijk,” legde hij zijn directie uit.
Interne overtuiging: zijn eigen gevoel van verantwoordelijkheid. “Ik wist gewoon dat het bij ons niet af was,” zegt hij. “We hadden veel geregeld, maar niet alles was op papier en aantoonbaar.”
Die combinatie gaf de doorslag. Het moment dat er een brochure van Datect met het NIS2 Quality Mark op zijn bureau viel, viel alles op zijn plek. “Toen dacht ik: dit past bij ons,” vertelt hij. Een duidelijk doel (certificering), een niveau dat haalbaar is voor een familiebedrijf en serieus genoeg om klanten en auditors te overtuigen.
Als hij één “initiële reden” moet kiezen, komt hij steeds weer bij hetzelfde terug: “Als wij de zaken niet op orde hebben, kan het bedrijf plat komen te liggen bij een aanval.” Van daaruit volgden reputatie, wetgeving en klantverwachtingen vanzelf.
Hoe Ruud het behalen van het NIS2 Quality Mark heeft ervaren
Het halen van het NIS2 Quality Mark klinkt als een grote klus. Toch viel het Ruud mee. “We hebben het traject afgerond en het certificaat behaald. We zijn er een jaar mee bezig geweest, maar het was goed te doen naast het gewone werk.”
De steun vanuit de directie van Van Rooijen Logistiek is zeer belangrijk geweest voor het behalen van het NIS2 Quality Mark. Er is voldoende budget vrijgemaakt voor begeleiding, en waar nodig investeringen op security-oplossingen. Daarnaast maakt de directie ook onderdeel uit van het opgezette Cyber Security Incident Reponse Team. Bij Van Rooijen zijn directie en IT één team, die samen de strijd aan gaan tegen securitybedreigingen.
Was het halen van van het NIS2 Quality Mark moeilijk? Ja en nee. Inhoudelijk vroeg het scherpte, maar het was geen onmogelijke opgave. Veel van de technische maatregelen had Van Rooijen al geregeld: back-up en restore, redundante omgevingen, endpoint-beveiliging, monitoring.“Heel veel eisen gaan over dingen die we al deden. Het gaat er vooral om dat je vastlegt wat je doet en dat je het regelmatig test.” Daarom lag de nadruk vooral op beleid en structuur:
Ruud schreef 15 à 20 beleidsdocumenten, waarin alle NIS2-onderwerpen terugkomen.
Bestaande afspraken, zoals wachtwoordbeleid en back-upbeleid, zijn aangevuld en netjes vastgelegd. Er zijn vaste controlemomenten ingevoerd, zoals twee keer per jaar een back-up/restore-test met logboek.
Hij noemt het proces pragmatisch: “Veel heb ik gewoon opgeschreven zoals we het al deden: dit is mijn beleid. Vervolgens hebben we met Datect gekeken: wat mist er nog, waar zitten de gaten?” Begrijpelijk vond hij het traject zeker, maar de begeleiding van Datect was daarbij belangrijk. “Mijn probleem was: waar moet ik beginnen? Datect gaf de kapstok: dit is de kerstboom, en dit zijn de ballen die erin moeten hangen.”
Het resultaat: een set documenten die niet alleen goed is voor het NIS2 Quality Mark, maar ook voor andere audits. “Straks heb ik weer een financiële audit in Eindhoven. Dan kan ik gewoon zeggen: vraag 1, dit document; vraag 2, dat document. Het helpt dus breder.”
Reputatie, grote klanten en geen papieren tijger
Voor een logistiek bedrijf dat werkt voor grote food- en andere merken is continuïteit en reputatie alles. Een grote IT-storing of hack raakt niet alleen de eigen operatie, maar ook het vertrouwen van opdrachtgevers.
Van Rooijen Logistiek ziet het NIS2 Quality Mark daarom duidelijk als meer dan een compliance-vinkje: “Je wilt het niet alleen doen omdat het in de wet staat,” zegt hij. “Je wilt het als bedrijf ook niet meemaken dat je systemen platgaan. En ik zou het als eindverantwoordelijke ook niet willen meemaken. Je wilt richting je klanten een goed verhaal hebben. Je kunt het ook gebruiken in je salespitch.” Als klanten vragen hoe het zit met digitale veiligheid, hoeft hij niet te beginnen aan een lang verhaal. Hij kan het keurmerk laten zien, het beleid overhandigen en concreet uitleggen wat Van Rooijen doet aan back-ups, awareness, ketenveiligheid en monitoring. Dat voorkomt discussie én schept vertrouwen.
Voor Ruud is het bovendien belangrijk dat het keurmerk geen “papieren tijger” wordt.
“Het moet geen document worden dat in de la verdwijnt,” zegt hij. “Je moet je back-ups echt controleren, patches installeren en loggen dat je het gedaan hebt. Je moet er continu mee bezig zijn.”
Een haalbare, nuttige stap voor het mkb
Ruud is positief over het NIS2 Quality Mark als instrument voor het mkb. Hij vindt ISO 27001 vaak een te grote stap voor kleinere bedrijven, maar ziet QM20, de middelste variant van het keurmerk, als een goed alternatief. “Dit is de ideale tussenstap,” zegt hij. “Het is haalbaar, maar serieus. Je wordt gedwongen om het goed te regelen, én je kunt het laten zien.” Hij gunt andere mkb-ondernemers dezelfde duidelijkheid en rust: liever nú stappen zetten, dan straks verrast worden door eisen van grote klanten of door een incident. Want één ding wil iedereen voorkomen, of je nu IT-manager bent of ondernemer: grote klanten kwijtraken omdat je je digitale veiligheid niet op orde hebt.
