Spring naar content

CGI: “Cybersecurity gaat niet alleen om jouw eigen organisatie, maar ook om de partijen waarmee je samenwerkt”

CGI levert IT en business consulting services, wat betekent dat men klanten breed ondersteunt, ook op het gebied van cybersecurity: van assessments, pentesten, het plannen en implementeren van maatregelen, tot en met managed security services. Naast IT cybersecurity heeft CGI uitgebreide ervaring met operationele technologie (OT), zoals het beveiligen van fysieke processen in fabrieken, transport en logistiek. Cybersecurity-redacteur Jan Meijroos spreekt met Casper Hoebeek en Emma de Boer.

Casper werkt al geruime tijd bij CGI en sinds 2005 aan cybersecurity. Voor grote en kleinere klanten zet hij verbeterprogramma’s op en runt hij cybersecurityprojecten en -services.
Emma werkt sinds begin 2023 bij CGI als cybersecurityconsultant, waar zij zich richt op risicobeheersing, bedrijfscontinuïteit en compliance; het naleven van relevante wet- en regelgeving, zoals bijvoorbeeld de NIS2 richtlijn.

Hoe ziet de rolverdeling tussen jullie eruit?

Casper: “Ik richt me op cybersecurity, vooral voor bedrijven in de Rotterdamse haven. Meestal zijn dat kleinere spelers in de toeleveringsketen, zoals transporteurs en import- en exportbedrijven.”

Emma: “Casper en ik bezoeken klanten vaak samen. Mijn focus ligt op governance, risk en compliance, met name de aankomende NIS2-richtlijn. Die ken ik goed, waardoor ik complexe onderdelen praktisch en begrijpelijk kan maken voor klanten.”

Jullie werken veel in de Rotterdamse haven. Hoe is dat zo gekomen?

Emma: “We werken binnen de unit Smart Logistics met klanten in de haven, logistiek en maakindustrie. Vooral kleinere bedrijven hebben steeds meer behoefte aan cybersecurity, mede door strengere eisen van hun klanten en de groeiende noodzaak van ketenveiligheid.”
Casper: “Daarom hebben we toegankelijke cybersecuritypakketten ontwikkeld, uitgevoerd door consultants in regio Rotterdam, Rijnmond en Randstad. Dat werkt zo goed dat ik nu een team opzet in Groningen en Noord-Nederland om deze aanpak ook daar te bieden. CGI zit door heel Nederland en wil altijd dicht bij de klant opereren.”

Waarvoor bellen klanten jullie meestal?

Emma: “Vaak worden we gevraagd voor assessments, pentesten, of het schrijven van beleidsdocumenten zoals een continuïteitsplan. Ook helpen we bij het in kaart brengen van het systeemlandschap en het opzetten van maatregelen.”
Casper: “Meestal starten we met een assessment om risico’s in beeld te brengen. Klanten willen daarna vaak snel aan de slag—denk aan documentatie op orde krijgen, dashboards bouwen en voorbereiding op audits.”

Cybersecurity wordt vaak geassocieerd met kantoorcomputers. Wordt operationele technologie (OT) nog te vaak vergeten?

Casper: “Zeker. OT-security is een van onze speerpunten, en raakt direct aan de fysieke processen van onze klanten. Denk aan een risicoanalyse: welke systemen zijn cruciaal, en wat gebeurt er als die uitvallen?”
Emma: “Precies. Wat als een machine of pomp op afstand wordt stilgelegd? Dan wordt cybersecurity ineens heel tastbaar. Het gaat niet alleen om IT, maar ook om het veilig aansturen van fysieke processen. Als besturingssoftware wordt gemanipuleerd en de fabrieksschermen niet meer kloppen met de werkelijkheid, moet je de productie stilleggen—met grote gevolgen voor leveringen en continuïteit.”
Casper: “Daarom helpen we klanten bijvoorbeeld met netwerksegmentatie. Als fabrieks- en kantoornetwerk niet goed gescheiden zijn, kunnen aanvallen van buiten het primaire proces platleggen. Denk aan een controlekamer die niet meer ziet wat er gebeurt—dan moet alles stil. Dat is enorm ingrijpend.”

Zijn bedrijven zich bewust van hun rol in de supply chain?

Casper: “In grote lijnen wel, maar de impact van een verstoring wordt vaak onderschat. Het management begrijpt het belang, maar dat bewustzijn moet ook bij medewerkers landen.”
Emma: “Gelukkig groeit dat besef, mede door strengere regelgeving en eisen vanuit klanten. Bedrijven zien in dat goede cybersecurity hen onderscheidt als betrouwbare partner in de keten.”

Hoe kunnen bedrijven zich het beste voorbereiden op cyberrisico’s?

Emma: “Een klassiek scenario is ransomware: alles ligt plat en je kunt niet meer bij je systemen. Dan kun je betalen of terugvallen op een goed crisisplan met werkende back-ups. Wij helpen bedrijven zulke plannen op te stellen én te testen.”
Casper: “Aanvallen komen ook regelmatig via externe partijen binnen. Bijvoorbeeld als een leverancier op een phishinglink klikt. Daarom is ketenbeveiliging essentieel—het gaat niet alleen om je eigen organisatie, maar ook om de partijen met wie je samenwerkt.”

Hoe leggen jullie ketenveiligheid uit?

Emma: “We adviseren klanten om een business impact- en risicoanalyse uit te voeren en hun leveranciers in risicogroepen te classificeren. Het is belangrijk om de afhankelijkheden in kaart te brengen: wie heeft toegang tot jouw systemen? Je moet goed inzicht hebben in waar de kwetsbaarheden liggen, aangezien deze direct invloed hebben op je eigen bedrijfsvoering.”

Casper: “Als je de leveranciers in kaart hebt gebracht, kun je hen een checklist sturen of vereisten opleggen op basis van hun risiconiveau. Dit zorgt ervoor dat ze voldoen aan je beveiligingsstandaarden en helpt je de risico’s in de keten beter te beheersen.”

Hoe kijken jullie naar het NIS2 Quality Mark; het cybersecurity keurmerk dat SDV in licentie heeft?

Emma: “Het NIS2 Quality Mark is vooral bedoeld voor kleinere mkb’ers, waarvoor ISO 27001 of een NEN-norm vaak te zwaar en complex is. Het getrapte model – met QM10, QM20 en QM30 punten vind ik een goede aanpak. Het biedt een haalbare instap voor bedrijven en een manier om stapsgewijs meer te doen.”
Casper: “Ik heb het Quality Mark uitgebreid bekeken en vind het een heel goed instrument. Het wordt bovendien gesteund door veel brancheorganisaties, wat belangrijk is voor de acceptatie. En dat het Quality Mark ook buiten Nederland wordt geaccepteerd.”

Hoe ondersteunen jullie bedrijven concreet bij het voldoen aan NIS2 en het behalen van een dergelijk keurmerk?

Emma: “Wij beginnen met een risicoanalyse om te kijken waar de grootste gaten zitten in de beveiliging. Vervolgens helpen we bedrijven met praktische stappen, zoals het opstellen van beleid, het trainen van personeel en het implementeren van technische maatregelen. Het NIS2 Quality Mark sluit hier goed bij aan, omdat het bedrijven een duidelijke richting geeft.”

Casper: “Klanten waarderen het dat wij niet alleen adviseren, maar ook helpen bij de uitvoering. Of het nu gaat om documentatie voor auditors of technische maatregelen, wij zorgen ervoor dat ze voorbereid zijn op audits en toekomstige eisen. Wat ik bovendien sterk vind aan het NIS2 Quality Mark is dat het met name toepasbaar is voor bedrijven die zelf niet direct onder NIS2 vallen, maar wel door hun klanten worden gedwongen om aan de NIS2-eisen te voldoen. Het biedt hen een laagdrempelige manier om hun cybersecurity te verbeteren en zich beter te positioneren zonder meteen hele zware audits of maatregelen te hoeven doorvoeren.”

Emma: “Ik wil nog benadrukken dat (grote) bedrijven het NIS2 Quality Mark ook kunnen gebruiken richting hun eigen leveranciers, door het op te nemen in hun inkoopvoorwaarden. Het is belangrijk dat ze van hun leveranciers dezelfde normen eisen als die ze zelf hanteren. Dat zorgt voor een betere beveiliging door de hele keten en transparantie.”

Casper: “Dat klopt. Het keurmerk is gemapped op de ISO 27001-standaard, maar dan teruggebracht tot de essentie én aangevuld waar nodig. Dat maakt het haalbaar en toepasbaar voor mkb-bedrijven. Door de verschillende levels – van basis tot meer geavanceerd – kun je stap voor stap verbeteren, zonder overweldigd te raken.”

Als jullie tenslotte één boodschap zouden willen meegeven aan bedrijven over cybersecurity, wat zou dat dan zijn?

Emma: “Begin met praktische verbeteringen. Het is makkelijk om eindeloos te analyseren wat er allemaal mis is, maar bedrijven weten vaak al waar de grootste problemen liggen. Start daar en werk systematisch verder.”

Casper: “Cybersecurity is geen IT-feestje, het is een verantwoordelijkheid van iedereen in het bedrijf. Maak het begrijpelijk en toegankelijk voor alle medewerkers, want één verkeerde klik kan al grote gevolgen hebben. Het moet echt in de cultuur van een bedrijf worden ingebed.”

Gerelateerde artikelen

De naam NIS2 Quality Mark wordt gewijzigd naar NIS2 Supply Chain

Microsoft integreert Security Copilot in Microsoft 365 Enterprise

Duitse NIS2-wetgeving versnelt bij Nederlandse foodbedrijven de NIS2-certificering

ENISA NIS Investments-rapport 2025: Investeringen, uitdagingen en risico’s in de keten

Allinco en Samen Digitaal Veilig bundelen krachten voor toekomstbestendige cybersecurity
Interesse in dit onderwerp?

We houden je op de hoogte!

Terug naar overzicht