Spring naar content

“Verantwoordelijkheid cybersecurity in de keten komt bij MSP’s te liggen”

Kaseya helpt bedrijven cyberweerbaarder te worden door digitale kwetsbaarheden zo goed mogelijk in kaart te brengen en organisaties hiertegen te beschermen. En als er toch iets misgaat, zorgt Kaseya ervoor dat er snel herstel mogelijk is. Dit doet het bedrijf door diensten te leveren aan IT-leveranciers, oftewel Managed Service Providers (MSP’s).

Kaseya werkt uitsluitend voor MSP’s, die op hun beurt deze diensten voornamelijk aanbieden aan het mkb. Jan Meijroos spreekt met Hans ten Hove Area Vice President – Continental Europe bij Kaseya.

Hans, hoe zou je het DNA van MSP’s omschrijven?

Hans: “MSP’s zijn meestal mkb-bedrijven met 5 tot 50 medewerkers, vaak opgericht door techneuten zonder commerciële of strategische focus. Veel groeiden organisch vanuit hardwarehandel naar IT-dienstverlening. Deze markt wordt steeds volwassener, met grote MSP’s die tientallen bedrijven overnemen, maar er komen nog steeds nieuwe MSP’s bij.”

Wat betekent de groei van managed services voor het mkb?

Hans: “MSP’s bedienen grotendeels het mkb, maar veel mkb’ers weten niet precies wat ze nodig hebben om cyberweerbaar te zijn. De communicatie tussen MSP’s en hun klanten verdient extra aandacht, want veel bedrijven begrijpen de noodzaak van bepaalde beveiligingsmaatregelen nog niet.”

Informeren jullie MSP’s hierover?

Hans: “Jazeker, jaarlijks wereldwijd onderzoek toont aan dat meer dan 90% van de MSP’s zich zorgen maakt over de cyberweerbaarheid van het mkb. Veel bedrijven onderschatten risico’s en overschatten hun weerbaarheid, wat leidt tot een gevaarlijke kloof die we met betere voorlichting moeten dichten.”

Veel mkb’ers denken misschien: “Ik ben te klein om gehackt te worden?”

Hans: “Dat is een misvatting. Hackers richten zich op alle bedrijven en dus ook kleine bedrijven, omdat die vaak minder goed beveiligd zijn en sneller te compromitteren. Veel kleine aanvallen leveren criminelen makkelijk geld op zonder grote aandacht van media of politie.”

Iets anders, wat is het verschil tussen back-up en business continuïteit? Kaseya heeft Datto in 2022 vergenomen en diens back-up diensten zin nu onderdeel van jullie portfolio?

Hans: “Klopt. De Datto-diensten specialiseren zich in back-up en business continuity. Back-ups beschermen tegen dataverlies, maar business continuity zorgt ervoor dat bedrijven snel weer operationeel zijn na een aanval (het minimaliseren van downtime).
Een cyberaanval kan een bedrijf stilleggen, met desastreuze gevolgen. NIS2 verplicht bedrijven nu om een business continuity-strategie te hebben, wat hen dwingt hier serieus naar te kijken en te investeren in weerbaarheid en herstel.”

Jullie bieden een groot pakket diensten aan. Hoe prioriteren jullie die?

Hans: “We bieden zowel interne tools voor MSP’s als diensten die zij aan klanten leveren. De kern bestaat uit drie systemen, de ‘trifecta’:

  • Autotask – Een ERP-systeem voor MSP’s, dat klantbeheer, facturatie, service desk, time tracking et cetera regelt.
  • RMM (Remote Monitoring & Management) – Voor het op afstand monitoren en beheren van klantinfrastructuur.
  • ITGlue – Een documentmanagementsysteem waarin klantinformatie wordt vastgelegd.

Deze drie diensten zijn onderling sterk geïntegreerd waardoor er veel automatisering kan worden geleverd wat de kwaliteit en efficiency in hoge mate vergroot.”

En wat zijn jullie diensten die MSP’s aan hun klanten aanbieden?

Hans: “Veel interesse is er voor:

  • Kaseya 365 Endpoint (7 diensten geïntegreerd in 1 licentie gericht op endpoints, inclusief automatiseringen) en Kaseya 365 User (5 diensten geïntegreerd in 1 licentie gericht op de gebruiker, inclusief automatiseringen)
  • Back-up en Business Continuity Suite – Gegevens veiligstellen en snel herstel na incidenten. Veel bedrijven denken bijvoorbeeld dat Microsoft 365 hun data beschermen, maar dat is niet zo. Wij bieden back-upoplossingen voor alle scenario’s: publieke cloud, MSP-datacenters en lokale machines.
  • Pentest as a Service – Een geautomatiseerde en betaalbare pentestoplossing, toegankelijk voor mkb-bedrijven.”

Zie jij NIS2 als aanjager voor pentesting?

Hans: “Zeker. Bedrijven worden zich bewuster van cyberrisico’s en NIS2 verplicht hen om hun beveiliging te verbeteren. Onze geautomatiseerde pentests maken dit schaalbaar en betaalbaar voor het mkb, wat bijdraagt aan betere cyberweerbaarheid.”

Wat betekent de integratie van diensten concreet voor een MSP?

Hans: “Bij een ransomware-aanval bijvoorbeeld, moet een MSP vaak schakelen tussen verschillende systemen en leveranciers, wat tijd kost. Kaseya 365 endpoint lost dit op.

Dankzij één uniforme interface hoeven engineers niet langer tussen verschillende systemen te schakelen, wat de efficiëntie aanzienlijk verhoogt. De oplossing werkt met één licentie die toegang geeft tot zeven geïntegreerde diensten, waarbij de tools automatisch met elkaar communiceren. Dit vermindert het aantal handmatige handelingen en verhoogt de mate van automatisering. Incidenten kunnen daardoor sneller en efficiënter worden afgehandeld. Bovendien zorgen de gestroomlijnde processen voor lagere operationele kosten.”

De NIS2 komt eraan. Veel bedrijven denken ‘weer een nieuwe wet’, met meer regels, meer administratie en hogere kosten. Kun je drie redenen noemen waarom NIS2 juist wél een goede ontwikkeling is?

Hans: “Ten eerste grijp ik terug op ons jaarlijkse onderzoek naar cyberweerbaarheid. Daaruit blijkt dat met name het mkb een alarmerend laag niveau van beveiliging heeft. Dit is echt zorgwekkend. De meeste bedrijven onderschatten hoe kwetsbaar ze zijn en overschatten hun vermogen om te herstellen. Dan de drie redenen:

  1. We zijn als samenleving afhankelijker geworden van digitale technieken.
    IT is niet meer iets ‘aparts’, maar verweven in elke bedrijfsvoering. De impact van cyberincidenten is daardoor veel groter dan vroeger.
  2. Bedrijven maken deel uit van een keten.
    Een mkb’er die bijvoorbeeld airco-installaties levert aan een ziekenhuis valt misschien niet direct onder de NIS2-wetgeving, maar wordt indirect toch geraakt. Klanten die wél moeten voldoen, stellen strengere eisen aan hun toeleveranciers—en dat dwingt steeds meer bedrijven om hun digitale beveiliging te verbeteren.
  3. De verantwoordelijkheid komt bij MSP’s te liggen.
    Veel mkb-bedrijven hebben geen eigen IT-afdeling en vertrouwen op hun MSP, die daarmee een sleutelrol speelt in hun digitale weerbaarheid. Brancheorganisaties, leveranciers en andere partners moeten helpen duidelijk te maken wat nodig is en hoe bedrijven daaraan kunnen voldoen.”

Preventie en herstel zijn de twee kernpunten van NIS2. Hoe belangrijk is het om die goed uit te leggen?

Hans: “Heel belangrijk. Veel bedrijven zien cybersecurity nog steeds als een kwestie van ‘ik koop een antiviruspakket en dan ben ik veilig’. Maar NIS2 gaat over een bredere aanpak:

  • Preventie: Wat moet je als onderneming doen om je zo goed mogelijk te beschermen? Dit op het gebied van mensen, techniek en processen
  • Herstel: Wat doe je als het tóch misgaat? Heb je een noodplan? Hoe snel kun je operationeel zijn na een cyberincident?

Het probleem met wetgeving is vaak dat het wordt opgelegd zonder dat er een begrijpelijke vertaalslag wordt gemaakt naar ondernemers. Dat is waarom het NIS2 Quality Mark zo’n goed initiatief is. Het helpt bedrijven om te begrijpen wat ze moeten doen en geeft MSP’s handvatten om hun klanten hierin te begeleiden.”

Wat is jouw belangrijkste tip voor MSP’s en mkb’ers in relatie tot NIS2?

Hans: “Ga met elkaar in gesprek in begrijpelijke taal gericht op de business impact en niet zo zeer alleen maar techniek. Bepaal hoelang downtime maximaal mag duren en betrek het personeel ook bij de weerbaarheid discussies.

Leg het in eenvoudige taal uit:

  • Wat heb je minimaal nodig om weerbaar te zijn?
  • Wat moet je doen als je wordt aangevallen?
  • Hoe snel wil je weer operationeel zijn als er iets misgaat?

Voor de ene ondernemer is drie uur downtime een ramp, voor een ander is een week acceptabel. Dat is per bedrijf verschillend. Maar er moet wel een gesprek over plaatsvinden.”

Hoe kunnen we mkb’ers helpen om cybersecurity begrijpelijk en praktisch te maken?

Hans: “Er moet een soort ‘menukaart’ komen met verschillende beveiligingspakketten. Veel ondernemers hebben geen idee waar ze moeten beginnen. Certificeringen zoals ISO kunnen helpen, maar het mkb heeft behoefte aan een concreet stappenplan, zoals bijvoorbeeld het NIS2 Quality Mark dat Samen Digitaal Veilig in licentie heeft.”

“Dit is iets waar wij al eerder over hebben nagedacht. Ik ben zelf de oprichter van de Dutch Cyber Security Assembly, een platform waarin verschillende stakeholders samenwerken om cyberweerbaarheid in Nederland te verbeteren. Daar hebben we een jaar geleden de Secure 7 geïntroduceerd: zeven praktische maatregelen die elk bedrijf minimaal zou moeten nemen.”

De Secure 7 is dus eigenlijk een soort voorloper van wat NIS2 vraagt?

Hans: “Ja, precies. We zagen al langer dat er een enorme kloof was tussen regelgeving en praktijk. Secure 7 was een poging om een eenduidige, begrijpelijke taal te creëren voor ondernemers en MSP’s. Nu sluit dat mooi aan op NIS2 en het NIS2 Quality Mark.”

“Wat ik hoop is dat we als sector een uniforme boodschap uitdragen, zodat iedereen begrijpt wat nodig is. Veel bedrijven zijn al bezig met cybersecurity, maar als iedereen een andere taal spreekt en andere standaarden hanteert, wordt het een chaos. Een helder raamwerk zoals Secure 7 of het NIS2 Quality Mark kan enorm helpen.”

Gerelateerde artikelen

De naam NIS2 Quality Mark wordt gewijzigd naar NIS2 Supply Chain

Microsoft integreert Security Copilot in Microsoft 365 Enterprise

Duitse NIS2-wetgeving versnelt bij Nederlandse foodbedrijven de NIS2-certificering

ENISA NIS Investments-rapport 2025: Investeringen, uitdagingen en risico’s in de keten

Allinco en Samen Digitaal Veilig bundelen krachten voor toekomstbestendige cybersecurity
Interesse in dit onderwerp?

We houden je op de hoogte!

Terug naar overzicht