Spring naar content

DigiWeerbaar.nl: “Cybersecurity moet net zo vanzelfsprekend worden als belastingaangifte doen”

DigiWeerbaar.nl is een Nederlands bedrijf dat zich richt op het verbeteren van digitale veiligheid voor ondernemers in het mkb. Ze bieden diensten aan zoals trainingen pentesten en advies om bedrijven te beschermen tegen cyberdreigingen. Pentesting wordt namelijk steeds belangrijker voor bedrijven omdat potentiële kwetsbaarheden direct aan de het licht komen.

Cybersecurity-redacteur Jan Meijroos spreekt met Algemeen directeur Jonathan van Eerd van DigiWeerbaar.nl over het toetsen van beveiliging, ethisch haken en de pentest als belangrijke kers op de cyberslagroomtaart.

Kun je jezelf kort voorstellen?

Jonathan: “Ik ben Jonathan uit Breda en heb zeven jaar bij de gemeente gewerkt aan cyberveiligheid. Daar zag ik dat bedrijven niet alleen bewustwording nodig hebben, maar ook concrete hulp. Omdat de overheid die niet individueel kan bieden, startte ik DigiWeerbaar.nl BV. Mijn missie: digitale weerbaarheid vergroten en cybersecurity praktisch en toegankelijk maken voor ondernemers.”

Hoe benadert DigiWeerbaar.nl digitale veiligheid?

Jonathan: “Wij verdelen digitale veiligheid in drie onderdelen:
1. Menselijk gedrag – gebruikers moeten begrijpen hoe ze veilig met digitale middelen omgaan.
2. Techniek – de keuze voor veilige technologie en het up-to-date houden ervan is essentieel.
3. Organisatie – een bedrijf moet digitale veiligheid als prioriteit stellen en vanuit de directie ondersteunen.

Als een van deze drie pijlers niet voldoende aandacht krijgt, blijft een organisatie kwetsbaar. Wij leveren diensten op al deze drie gebieden en hanteren een holistische aanpak.”

Wat houdt een pentest precies in?

Jonathan: “Een pentest, of penetratietest, betekent letterlijk dat je probeert binnen te komen in een systeem om te kijken waar de kwetsbaarheden zitten. Dit kan zowel op technisch gebied zijn – bijvoorbeeld verouderde software of kritieke kwetsbaarheden – als op de menselijke kant, zoals phishing en social engineering.”

“Uit een pentest komen bevindingen naar voren: welke kwetsbaarheden zijn er en hoe kan een kwaadwillende binnenkomen? Deze bevindingen worden gerapporteerd en vertaald naar begrijpelijke taal. We leveren zowel technische analyses als een managementsamenvatting, waarin staat waar de organisatie kwetsbaar is en welke maatregelen nodig zijn om dit te verhelpen.”

Vinden klanten een pentest spannend?

Jonathan: “Ja, zeker! Daarom hebben we altijd een vrijwaringsverklaring. Dit betekent dat de klant ons expliciet toestemming geeft om de test uit te voeren. Dat is een essentieel verschil tussen ethical hacking en illegale hacking. Zonder toestemming is het strafbaar, maar met toestemming voeren we een gecontroleerde test uit. Toch blijft het spannend, want we proberen daadwerkelijk in te breken in hun systemen.”

Wat voor kwetsbaarheden kom je vaak tegen tijdens een pentest?

Jonathan: “Dat verschilt per bedrijf en hoe de IT is ingericht. Bij websites zien we vaak kwetsbaarheden in de code of configuraties. Andere veelvoorkomende problemen zijn ongepatchte software, openstaande poorten of misconfiguraties in beveiligingsinstellingen. Het hangt af van hoe een bedrijf zijn digitale infrastructuur heeft opgebouwd.”

Zijn klanten vaak verbaasd over de uitkomsten van een pentest?

Jonathan: “Ja, meestal wel! We vinden eigenlijk altijd iets. Dat kan variëren van kleine verbeterpunten tot kritieke kwetsbaarheden met grote impact. Bedrijven reageren vaak verrast en waarderen de inzichten die ze krijgen. Sommigen gaan direct aan de slag met hun IT-leverancier om problemen op te lossen.”

“Er zijn soms bedrijven die ervan uitgaan dat er weinig tot niets gevonden zal worden, maar die dan toch verrast worden door de uitkomsten van een pentest. Gelukkig wordt daar over het algemeen positief op gereageerd. Ik heb nog nooit meegemaakt dat iemand zich persoonlijk aangevallen voelt. De meeste klanten waarderen juist dat kwetsbaarheden in beeld worden gebracht.”

Wordt er ook opvolging gedaan na een pentest?

Jonathan: “Bij sommige klanten doen we periodieke pentesten, bijvoorbeeld twee keer per jaar. Dit helpt hen om te zien of kwetsbaarheden echt zijn verholpen. In andere gevallen, bijvoorbeeld bij een eenmalige pentest voor een certificeringstraject, hebben wij geen zicht op de opvolging. Maar als we bij een herhaalde test dezelfde kwetsbaarheid terugvinden, geven we dat natuurlijk aan en bespreken we waarom er nog geen actie is ondernomen.”

“Het oplossen van die kwetsbaarheden zelf is iets wat een bedrijf met zijn eigen IT-leverancier moet doen. Wij signaleren en rapporteren de beveiligingsproblemen, maar wij zijn niet degene die het IT-beheer van een bedrijf uitvoeren. Onze rol is puur het toetsen van de beveiliging.”

Verwacht je dat pentesten meer verplicht worden, bijvoorbeeld als onderdeel van certificeringen?

Jonathan: Dat weet ik nog niet zeker. Pentesten zijn relatief duur en maken vaak vooralsnog geen verplicht onderdeel uit van kwaliteitsnormen, omdat er eerst veel goedkopere en effectievere maatregelen zijn die een bedrijf kan nemen. Ik denk dat we eerder een stijging in algemene security-maatregelen gaan zien, zoals monitoring en audits, voordat pentesten echt grootschalig ingezet worden.

Kun je een voorbeeld geven van jullie overige dienstverlening?

Jonathan: “Een pentest is eigenlijk de kers op de taart—iets wat je doet als je al een solide basis hebt gelegd. Voor veel mkb’ers zijn er veel goedkopere en effectievere eerste stappen, zoals goed wachtwoordbeheer en security-awareness trainingen voor medewerkers. Dat zijn dingen die wij ook aanbieden.”

“Pentesten zijn pas zinvol als de basisbeveiliging al goed staat. Als je nog geen sterke wachtwoordbeheerstrategie hebt, geen tweefactor-authenticatie gebruikt of medewerkers niet bewust hebt gemaakt van phishing-risico’s, dan heeft een pentest weinig nut. Eerst moet je de basis op orde brengen—daarna kun je kijken hoe goed je weerstand tegen echte aanvallen is.”

Als een bedrijf niet direct onder NIS2 valt, kan het toch zinvol zijn om een pentest te doen. Zeker als het desbetreffende bedrijf leverancier is voor een grotere organisatie?

Jonathan: “Klopt. Als een mkb’er al de basismaatregelen heeft genomen—zoals goed wachtwoordbeheer en security-awareness trainingen—dan is een pentest een waardevolle volgende stap. Het helpt om de laatste kwetsbaarheden bloot te leggen, zowel in techniek als in menselijk gedrag.”

Hoe past een pentest binnen het NIS2 Quality Mark?

Jonathan: “Die certificering kent drie niveaus: QM10, QM20 en QM30. Welk niveau je nodig hebt, hangt af van het risico dat je vormt binnen de keten. Soms lever je maar een klein onderdeel—zoals boutjes of moertjes voor een machine—maar als die machine vervolgens in een ziekenhuis gebruikt wordt, is jouw rol in de keten toch relevant.”

“ISO 27001 was lange tijd dé norm, maar voor mkb’ers is die vaak te zwaar. Het mooie aan de NIS2 Quality Mark is dat er nu ook een lichtere variant is voor kleinere bedrijven. Daarmee kunnen ze aantonen dat ze de basisbeveiliging op orde hebben zonder dat het een enorme administratieve last wordt.”

Hoe kijk jij als expert naar het NIS2 Quality Mark?

Jonathan: “Het is een positieve ontwikkeling. De basisvariant is behapbaar voor mkb’ers en geeft grotere bedrijven de zekerheid dat hun leveranciers een minimaal niveau van beveiliging hanteren. Natuurlijk blijft het voor veel ondernemers ‘gedoe’, maar dat is een mindset die moet veranderen. Cybersecurity moet net zo vanzelfsprekend worden als belastingaangifte doen.”

Veel cyberincidenten worden niet altijd herkend als aanvallen, denk je dat de dreiging soms onderschat wordt?

Jonathan: “Absoluut. We horen regelmatig over ‘storingen’, maar vaak is niet duidelijk of dat echt een technische fout was of een cyberaanval. Het aantal incidenten is veel hoger dan wat publiekelijk bekend wordt. Daarom is het belangrijk dat cybersecurity niet als een luxe wordt gezien, maar als een essentieel onderdeel van het bedrijfsproces.”

Dus… als onvermijdelijk deel van dagelijks zakendoen?

Jonathan: “Precies. We zitten op een kantelpunt. Cybersecurity is geen optioneel iets meer, maar een vast onderdeel van ondernemen. Je ziet dat bedrijven steeds vaker eisen stellen aan hun leveranciers: ‘Hoe zit het met jouw cybersecurity? Ik moet mijn keten beveiligen, dus hoe zorg jij ervoor dat jij geen risico vormt?’ Dat is waar het NIS2 Quality Mark bij helpt. Het biedt een raamwerk waarmee bedrijven op een eenvoudige manier kunnen aantonen dat ze de basis op orde hebben, zonder dat het een one-size-fits-all aanpak is.”

Gerelateerde artikelen

Microsoft integreert Security Copilot in Microsoft 365 Enterprise

Duitse NIS2-wetgeving versnelt bij Nederlandse foodbedrijven de NIS2-certificering

ENISA NIS Investments-rapport 2025: Investeringen, uitdagingen en risico’s in de keten

Allinco en Samen Digitaal Veilig bundelen krachten voor toekomstbestendige cybersecurity

Lupasafe en Samen Digitaal Veilig kondigen strategische samenwerking aan voor NIS2 en NIS2 Quality Mark-compliance
Interesse in dit onderwerp?

We houden je op de hoogte!

Terug naar overzicht