Interview met Daan Hoogendijk, Programmadirecteur van Samen Digitaal Veilig.
Samen Digitaal Veilig werkt samen met het NIS2 Quality Mark. Waarom doen jullie dat?
Daan Hoogendijk: “Bij Samen Digitaal Veilig wijzen we de weg naar heel veel cybernormen; het is een vrije markt voor normen. De meeste grote bedrijven kiezen voor ISO27001, omdat die norm bekend is.
Wij vroegen ons af: welke normen zijn nu echt geschikt voor mkb-bedrijven? In ons platform zitten duizenden bedrijven. Zij staan voor de taak om aan hun grote klanten, die wel onder de NIS2 vallen, te laten zien dat ze hun digitale veiligheid op orde hebben. Juist daarbij helpt het NIS2 Quality Mark. Daarom geven we deze norm extra aandacht. Als andere normen ons dat zouden vragen, zouden we dat ook voor hen doen.
Het NIS2 Quality Mark is ontwikkeld voor en door brancheorganisaties. Samen Digitaal Veilig is óók ontwikkeld voor en door brancheorganisaties. We werken allebei op onze eigen manier aan cybersecurity voor bedrijven. We spreken elkaars taal en werken samen met dezelfde branches. Dat geeft vertrouwen.”
Dus het NIS2 Quality Mark is voor mkb-bedrijven? Ik dacht dat het was om aan de NIS2 te voldoen?
“Nee, het NIS2 Quality Mark is niet bedoeld om aan de NIS2 te voldoen. De meeste mkb-bedrijven vallen namelijk niet onder de NIS2. Deze norm is juist bedoeld voor mkb-bedrijven.
De Europese NIS2 richtlijn wordt vertaald naar nationale wetten in 27 landen. In Nederland is de tekst van de Cyberbeveiligingswet nog niet klaar en zijn er nog geen details bekend. Dus nee, het is niet om aan de NIS2 te voldoen.
In België is de wet echter wel klaar. We zien dat België voor de inhoud van hun wet heel dicht bij de tekst van de NIS2 richtlijn is gebleven. Nederlandse mkb-bedrijven die leveren aan Belgische NIS2 organisaties hebben daardoor een voordeel bij deze norm.”
Wat is de relatie met NIS2 dan?
“Grote organisaties en bedrijven die wel onder de NIS2 vallen, hebben een zorgplicht voor hun toeleveringsketen. Deze NIS2 bedrijven kunnen deze norm opleggen aan hun leveranciers.
De norm is dus een hulpmiddel voor NIS2 bedrijven om te voldoen aan hun zorgplicht in de keten. De naam is daarom gekoppeld aan de subtitel: ‘De cyberbeveiligingsnorm voor de toeleveringsketen’.
Ik snap de verwarring wel. Deze hele norm gaat over één artikel in de NIS2 richtlijn van 75 pagina’s: artikel 21.2d. Daarin staat de verplichting voor samenwerking tussen bedrijven die onder de NIS2 vallen en hun leveranciers. De risicoanalyse speelt hierin een sleutelrol. Als er een risico is, is de kans groot dat een NIS2 bedrijf eisen oplegt aan de leverancier waar dat risico zit.
Doordat supply chains vaak volledig gedigitaliseerd zijn, zit daar een groot risico.”
Wat maakt het NIS2 Quality Mark uniek?
“Het NIS2 Quality Mark is speciaal ontwikkeld voor de Europese supply chain. Het richt zich in het bijzonder op mkb-bedrijven in de Europese supply chain.
De supply chain wordt steeds complexer, en het is belangrijk dat mkb-bedrijven, als cruciale schakels, toegang hebben tot een praktisch toepasbare standaard waarmee ze hun klanten kunnen bewijzen dat ze veilig werken. Hun grote klanten zijn namelijk NIS2 bedrijven die onder de NIS2 vallen, en vaak zijn dat buitenlandse bedrijven.
Grote klanten van Nederlandse bedrijven in het buitenland zijn NIS2 bedrijven die door nationale wetgeving gevraagd worden om de toeleveringsketen te beveiligen. Daar biedt dit een oplossing voor. Het is dus een grensoverschrijdende, universele samenwerkingstool.”
Hoe kijk je naar de inhoud van de norm? Is die goed?
“De inhoud is volledig gebaseerd op de tekst van de NIS2 richtlijn die in 2022 door de Europese Unie is gepubliceerd. Zoals ik al zei, door de naam merken we dat mensen denken dat het is voor de nationale cyberwetgeving. Dat is niet zo. De norm is bedoeld om NIS2 bedrijven en organisaties een standaard te geven waarmee ze hun directe leveranciers in de supply chain kunnen bevragen.
Mkb-bedrijven krijgen een audit op de norm. Als ze slagen, krijgen ze een certificaat en kunnen ze laten zien dat ze hun cyberveiligheid serieus nemen. Ze bewijzen daarmee dat ze een betrouwbare supply chain-partij zijn. Vandaar ook de subtitel: ‘De cyberbeveiligingsnorm voor de toeleveringsketen’.
De audits worden uitgevoerd door bekende auditpartijen, zowel nationaal als internationaal. Ook de partijen die hebben meegewerkt aan de norm geven ons veel vertrouwen: grote bedrijven en specialisten. Het was een zorgvuldig proces dat garant staat voor kwaliteit.
De afgelopen jaren heb ik meegewerkt aan de ondersteuning van bedrijven bij de invoering van nieuwe wetten. Dit is inmiddels de vijfde wet waaraan ik een bijdrage lever. Wat veel mensen vergeten, is dat een nieuwe wet vaak niet als iets positiefs wordt ervaren. Er is veel irritatie, vooral onder ondernemers. Het gevoel van zware regeldruk is bekend, zeker bij mkb-bedrijven.
Nieuwe wetten zijn vaak ingewikkeld en tijdrovend. Grote bedrijven hebben mensen, tijd en middelen om zich met compliance bezig te houden, maar mkb-bedrijven missen die luxe. Mijn uitdaging ligt in het samenwerken met brancheorganisaties om te zorgen voor een zachte landing van een wet. Dat is waar mijn gedrevenheid vandaan komt: mkb-bedrijven ondersteunen in een wereld vol nieuwe wetten en regels zodat ze de benodigde aanpassingen goed en effectief kunnen maken.
We maken het dagelijks mee. Ondernemers die zeggen ”Ik zag er als een berg tegenop, maar door jullie ondersteuning viel het eigenlijk wel mee”. Mijn motivatie haal ik uit dat soort uitspraken.”
Gaat de norm door toezichthouders worden geaccepteerd?
“Dat weet niemand, alleen de toezichthouder.
Er zijn veel normen. Op onze site hebben we een normenlandschapskaart met meer dan tien normen, allemaal hulpmiddelen om aan je cyberveiligheid te werken. Nationaal en internationaal zijn er in elk land meerdere normen. Gaan de toezichthouders al die normen accepteren? Ik denk dat toezichthouders op hun eigen manier zelf wel gaan bepalen of bedrijven wel of niet aan de wet voldoen. Daar hebben ze geen norm bij nodig.
Toezichthouders krijgen een zware taak om de enorme aantallen NIS2 bedrijven te controleren. We denken dat ook toezichthouders het fijn gaan vinden dat de NIS2 bedrijven die ze moeten controleren op een uniforme manier werken aan hun zorgplicht in de toeleveringsketen.
Vanuit Samen Digitaal Veilig praten we met toezichthouders. Dat zijn goede gesprekken. Zij werken aan de bovenkant van de markt aan de veiligheid van NIS2 bedrijven. Wij werken aan de onderkant van de markt aan mkb-bedrijven.
Stel dat jij toezichthouder bent: zou jij het fijn vinden als een grote NIS2 organisatie via een goede norm aan zijn ketenzorgplicht werkt? Ik verwacht van wel.”
Hoe bevordert het NIS2 Quality Mark de samenwerking in de supply chain?
“Met het NIS2 Quality Mark creëren we een gedeelde taal en standaard in de supply chain. Leveranciers en grote klanten weten wat ze aan elkaar hebben, doordat ze dezelfde certificering en bijbehorende eisen hanteren. Dit voorkomt onduidelijkheden, bespaart kosten en zorgt ervoor dat bedrijven zich meer kunnen richten op innovatie en groei, in plaats van zich zorgen te maken over complexe regelgeving.
Juristen willen hun inkoopvoorwaarden vaak heel duidelijk en meetbaar maken. Een norm zoals deze is daarbij erg handig.”
Hoe kunnen bedrijven het NIS2 Quality Mark halen?
“Dat kan op meerdere manieren en via veel partijen. Veel cybersecurity consultancybedrijven zijn fan en hebben deze norm omarmd. Daar kunnen bedrijven terecht voor ondersteuning. Ook zijn er grote technische partijen die het NIS2 Quality Mark willen integreren. Het is zelfs verkrijgbaar bij GRC-partijen. Samen Digitaal Veilig is er daar slechts één van.
Bij Samen Digitaal Veilig weten we dat bedrijven normen lastig vinden. Het voldoen aan normen is voor grote organisaties al een uitdaging, maar voor mkb-bedrijven is het helemaal ingewikkeld. Samen met brancheorganisaties bieden wij ondersteuning via ons platform. Bedrijven hebben toegang tot uitleg in begrijpelijke taal, voorbeelddocumenten, webinars en een supportdesk.
Bij ons kunnen ze starten met de norm. Daarna verwijzen we ze door naar partners voor details en techniek en extra ondersteuning via onze Wegwijzer. We hebben meer dan 50 partners.”
Welke voordelen biedt het NIS2 Quality Mark voor mkb-bedrijven?
“Mkb-bedrijven kunnen met het NIS2 Quality Mark aantonen dat ze serieus omgaan met cybersecurity en dat ze voldoen aan Europese eisen. Dit opent deuren naar nieuwe zakelijke kansen, vooral bij grotere klanten die steeds vaker eisen stellen aan de digitale veiligheid van hun partners. Daarnaast helpt het hen risico’s te verminderen, zoals dataverlies of reputatieschade.”
Hoe zie je de toekomst van het NIS2 Quality Mark in Europa?
“Ik heb geen kristallen bol, maar Nederland is het vijfde exportland en het achtste importland ter wereld. Daar zijn we als land erg goed in. Ik verwacht dat het NIS2 Quality Mark in de komende jaren belangrijk wordt in Europa via onze Nederlandse import en export.
Zeker nu supply chains steeds internationaler worden, is een uniforme aanpak noodzakelijk. Nederland loopt hierin voorop met het NIS2 Quality Mark.
Wat zou je mkb-bedrijven willen meegeven die nog twijfelen?
“Wacht niet te lang. NIS2 compliance is geen keuze voor je grote klanten. Als er een risico is in de keten, wil die grote klant dat je bewijst dat je veilig werkt.
Bedrijven die nu starten, hebben een voorsprong en voorkomen een hoop stress op het moment dat de regels daadwerkelijk gehandhaafd worden. Het is goed voor je cyberveiligheid én goed voor je grote klanten.”
