Bij VodafoneZiggo denken de meeste mensen vooral aan televisie kijken en bellen. Maar het bedrijf helpt organisaties ook bij securityvraagstukken via Vodafone Business. Men beschermt apparaten tegen cyberdreigingen, beveiligt netwerken voor veilige dataverbindingen en zorgt voor cloud- en toegangsbeveiliging, inclusief back-updiensten. Daarnaast zet het bedrijf zich in op bewustwording met trainingen en simulaties, zodat medewerkers beter voorbereid zijn op aanvallen zoals phishing. Cybersecurity redacteur Jan Meijroos vraagt Principal Product Manager Joost van Oord het hemd van het lijf.
Kun je ons iets meer vertellen over jouw huidige functie en verantwoordelijkheden binnen VodafoneZiggo?
Joost: ‘Ik ben commercieel productmanager binnen B2B, specifiek op het gebied van security. Mijn focus ligt vooral op digitale veiligheid, op alles wat we niet direct zien, namelijk de gevaren van digitale onveiligheid. Het gaat erom bedrijven bewust te maken van hoe ze om moeten gaan met digitale bedreigingen en hoe ze hun medewerkers hierin kunnen trainen. Een belangrijk onderdeel van mijn werk is om klanten te begeleiden en ze te helpen om de wereld een klein stukje veiliger te maken. Dit doe ik bijvoorbeeld door hen bewust te maken van de balans tussen efficiëntie en veiligheid, met name op het gebied van cloud security.’
Met wat voor type klanten werken jullie?
Joost: ‘Ons klantenbestand varieert enorm, van kleine mkb’ers tot grote internationale bedrijven. Ik werk vooral in het mkb-segment; bedrijven met maximaal 250 medewerkers, maar sommige oplossingen die wij aanbieden kunnen door elk bedrijf worden gebruikt, ongeacht de grootte. Voorbeelden van bedrijven in het MKB segment zijn transportbedrijven, zorginstellingen, accountantskantoren, advocaten, makelaars en retailers.
Alle bedrijven verschillen enorm, maar ze hebben één belangrijke gemeenschappelijke deler: ze werken allemaal met informatie. Voor een transportbedrijf kan dat bijvoorbeeld gaan om digitale bestellingen via een webshop, terwijl het voor een zorginstelling gaat om patiënt informatie. Deze informatie is ontzettend waardevol en helaas een doelwit voor cybercriminelen. Het is mijn taak om klanten bewust te maken van hoe ze met hun informatie omgaan en hoe ze die kunnen beschermen.
Mensen kennen ons van mobiele en vaste internetdiensten, maar we doen veel meer dan dat. Veel klanten zijn verbaasd als ze leren over onze securitydiensten. We werken dan ook intensief samen met organisaties zoals MKB Nederland om ondernemers succesvoller te laten zijn in de digitale wereld van vandaag.’
Hoe bepaal je het risicoprofiel van een klant?
Joost: ‘Dat begint bij het stellen van de juiste vragen. Ik vraag bijvoorbeeld: “Wat voor systemen gebruiken jullie? Wie heeft er toegang tot de informatie?” Als een bedrijf toegang verleent aan medewerkers die ook vanuit huis werken, dan is het belangrijk om te weten hoe die thuiswerkplekken zijn beveiligd. Dit zijn allemaal factoren die me helpen om een risicoprofiel op te stellen. Sommige bedrijven denken dat ze geen doelwit zijn, maar dat is juist een groot risico. Criminelen zoeken namelijk niet altijd de grote bedrijven op, maar juist ook de minder beveiligde schakels binnen een keten.
Waarom is de samenwerking met Samen Digitaal Veilig belangrijk voor jullie?
Joost: ‘Samenwerken met Samen Digitaal Veilig is essentieel voor ons. We willen bijdragen aan een veiligere digitale wereld, zowel voor particulieren als voor bedrijven. Vooral in het mkb-segment merken we vaak een zekere mate van terughoudendheid. Veel ondernemers denken dat ze geen interessant doelwit zijn voor cybercriminelen, maar niets is minder waar. We laten graag zien dat we naast internet- en telefoniediensten hierin kunnen faciliteren. Daarom is het belangrijk om samen te werken met organisaties zoals MKB Nederland en Samen Digitaal Veilig om het bewustzijn te vergroten en bedrijven te helpen zichzelf beter te beveiligen.’
Waar ligt momenteel jullie focus op?
Joost: ‘Onze focus ligt momenteel op ketenverantwoordelijkheid. Steeds meer kleine bedrijven opereren in ketens waarin ze samenwerken met grotere bedrijven die hoge eisen stellen aan hun cybersecurity. Die kleinere bedrijven hoeven niet per se aan dezelfde strenge eisen te voldoen, maar ze moeten wel kunnen aantonen dat ze bepaalde maatregelen hebben genomen. In combinatie met de nieuwe NIS2-wetgeving vanuit Europa, is dit een belangrijk aandachtspunt. Samen met ‘Samen Digitaal Veilig’ hebben we een tool ontwikkeld, het NIS2 Quality Marker, dat specifiek is gericht op kleinere bedrijven. Dit keurmerk is minder zwaar dan bijvoorbeeld ISO-normen, maar biedt wel de nodige bescherming en transparantie. Daarnaast ligt de focus op het hebben van een goede basis van security voor bedrijven.’
Hoe kijk jij aan tegen het NIS2 Quality Mark dat SDV in licentie heeft?
Joost:’ Ik geloof sterk in het belang van keurmerken. Het geeft bedrijven een voorsprong als ze kunnen aantonen dat ze aan bepaalde veiligheidsnormen voldoen. Een keurmerk is niet eenmalig; het moet steeds opnieuw behaald worden, wat zorgt voor een soort competitiegevoel. Het stimuleert bedrijven om continu hun cybersecurity op peil te houden. Bovendien, consumenten en andere bedrijven kijken naar dergelijke keurmerken bij het kiezen van een zakenpartner. Het laat zien dat een bedrijf serieus omgaat met zijn verantwoordelijkheid op het gebied van digitale veiligheid.’
Hoe kunnen jullie als VodafoneZiggo bijdragen aan zo’n keurmerk?
Joost: ‘Wij kunnen bedrijven ondersteunen bij het behalen van zo’n keurmerk door hen te helpen met praktische stappen om hun beveiliging te verbeteren. Dat doen we op een persoonlijke manier. We geloven in een hands-on en persoonlijke aanpak waarbij we met de ondernemer in gesprek gaan om samen te kijken waar de risico’s liggen en hoe we die kunnen aanpakken. Het mooie van onze samenwerking met ‘Samen Digitaal Veilig’ is dat wij ons vooral richten op de technologische kant, terwijl zij meer focussen op de processen en bewustwording. Samen vullen we elkaar dus perfect aan zonder dat we elkaar in de weg zitten.’
Zijn jullie zelf al bezig met NIS2? Hoe gaan jullie mkb-klanten in de toekomst weerbaarder maken tegen dreigingen?
Joost: ‘Hoewel de invoering van NIS2 in de Nederlandse wet is uitgesteld, moeten bedrijven nu al wel actie ondernemen. Wat wij voornamelijk doen, is de vertaling maken van de NIS2 wetgeving naar wat dit betekent voor onze klanten. Het gaat daarbij niet alleen om hun eigen bedrijfsvoering, maar ook om met wie ze samenwerken en naar wie ze toeleveren. Stel je voor dat je een kleine mkb’er bent, zoals een koninklijke bakkerij die levert aan het koninklijk huis. Je mag dan misschien een kleine speler zijn, maar je hebt wel te maken met gevoelige informatie. Het is dus belangrijk om op alle niveaus beveiligingsmaatregelen te nemen. We trainen ook onze salesmedewerkers om op een begrijpelijke manier dit gesprek aan te gaan met de mkb’er. Het maakt niet uit hoe groot of klein een bedrijf is, de basis blijft hetzelfde: hoe ga je om met informatiebeveiliging?’
Heb je zelf de wetgeving en de consultatieteksten van NIS2 al doorgenomen?
Joost: ‘Ik heb er zeker naar gekeken, hoewel het natuurlijk complexe materie is. Wat echt veranderd is ten opzichte van NIS1, is dat de vrijblijvendheid er nu af is. In NIS2 zijn de regels en boetes een stuk strikter geworden. Boetes zaten natuurlijk al in de GDPR, maar met NIS 2 kunnen de eigenaren van bedrijven ook persoonlijk aansprakelijk worden gesteld als ze hun cybersecurity niet op orde hebben. Het komt erop neer dat bedrijven hun processen en procedures goed geregeld moeten hebben, bijvoorbeeld door regelmatig tests of simulaties van aanvallen uit te voeren. De grote lijnen zijn duidelijk, en hoewel niet iedereen de wet volledig uit het hoofd zal kennen, is het essentieel dat bedrijven zich hiervan bewust zijn.’
Stel, je zou één ding mogen veranderen aan de NIS2-wetgeving. Wat zou dat dan zijn?
Joost: ‘Goede vraag! Los van de complexiteit van de wetgeving, zou ik graag willen dat sommige onderdelen in meer begrijpelijke taal worden opgesteld. Wetteksten kunnen soms onnodig ingewikkeld zijn, en dat maakt het voor ondernemers lastig om precies te begrijpen wat van hen verwacht wordt. Een ander specifiek onderdeel dat ik zou willen aanpassen, is artikel 21, dat gaat over ketenaansprakelijkheid. Sommige mensen denken dat NIS 2 simpelweg een update is van NIS 1, maar er zijn wel degelijk nieuwe elementen, zoals de verantwoordelijkheid van bedrijven in de hele keten. Dat maakt het strenger, wat op zich goed is, maar ik denk dat het nog verder aangescherpt kan worden.’
Denk je dat er behoefte is aan strengere regelgeving op het gebied van cybersecurity?
Joost: ‘Absoluut. De realiteit is dat als we niet veiliger worden, er actie zal moeten worden ondernomen. Ik denk dat Nederland hier zelfs al te laat mee is. Als het aan mij lag, zou ik nog meer vrijblijvendheid uit de wet willen halen. Bedrijven die voldoen aan de NIS 2-normen zouden bijvoorbeeld een erkenning of certificering moeten krijgen die door Europa erkend wordt. Vaak gaat de focus op wetgeving alleen over straffen, maar ik denk dat we ook moeten kijken naar beloningen voor bedrijven die het goed doen.’
Hoe zie je dat voor je, die beloningen voor bedrijven?
Joost: ‘Dat kan op verschillende manieren. Denk bijvoorbeeld aan kortingen op subsidies of producten, voordelen op milieuvriendelijke maatregelen, of een bijdrage aan pensioenvoorzieningen. Natuurlijk kost dat allemaal geld, maar ik geloof niet dat alleen straf de juiste aanpak is. Bedrijven zouden gestimuleerd moeten worden door ze te belonen voor goed gedrag. Als bedrijven weten dat ze niet alleen boetes riskeren, maar ook voordelen kunnen krijgen als ze hun beveiliging goed op orde hebben, dan wordt de urgentie om actie te ondernemen groter.’
Dus naast straffen, juist stimuleren van goed gedrag?
Joost: ‘Precies. Straf is soms nodig, zeker als een bedrijf bewust risico’s negeert. Maar ik geloof ook in het belonen van bedrijven die het wel goed doen. Dat kan een enorme stimulans zijn voor meer bedrijven om cybersecurity serieus te nemen. Het zou een mooie balans zijn tussen verantwoordelijkheid en erkenning, en dat mist nu vaak in de wetgeving.’
