Juergen Mueller is countrymanager van CRANIUM; een privacy- en information securityspecialist met meer dan 80 medewerkers. SDV-redacteur Jan Meijroos spreekt met hem over de aankomend NIS2, het groeipad van cyberweerbaarheid en het belang van keurmerken.
Met de aankomende NIS2 staat cybersecurity meer dan ooit in de spotlights. Het moment voor bedrijven om voor eens en voor altijd hun digitale veiligheid op orde te krijgen?
Mueller: ‘Ja en nee. Je krijgt niet van de een op de andere dag je cybersecurity op orde. En bovendien is het een continu proces. Wij spreken dan ook liever over de noodzaak voor organisaties om op een “groeipad” te blijven. Dit groeipad zorgt ervoor dat bedrijven hun cyberweerbaarheid continu verbeteren. Bedrijven moeten hun verantwoordelijk nemen om nalatigheid te voorkomen. De NIS2 regelgeving eist dat ook dus iedereen moet aan de bak.’
Voor CRANIUM variëren de klanten van kleine, operationeel grote organisaties tot grote administratieve entiteiten, waaronder overheidsinstanties en industriële bedrijven. Mueller ziet het als hun rol om klanten op lange termijn te ondersteunen, niet alleen door projecten uit te voeren, maar door een blijvende partner in hun cyberweerbaarheidsreis te zijn. ‘Dit besef is essentieel voor de continuïteit en het succes van hun onderneming’.
CRANIUM helpt bedrijven onder andere bij het voldoen aan cybernormeringen en is dan ook enthousiast over het NIS2 Quality Mark dat SDV in licentie heeft en mogelijk maakt voor leden van brancheorganisaties.
Is een NIS2 Quality Mark een goede zaak?
‘Wij zien dit als een hele goede zaak. Grote bedrijven moeten blijven samenwerken met kleine bedrijven en daar helpt dit keurmerk bij. Het NIS2 Quality Mark is een stap naar continue verbetering en een manier om bedrijven te helpen zich aan te passen aan veranderende controle- en risico omgevingen, en mogelijk zelfs door te groeien, stap voor stap via een groeiladder, naar een ISO 27001 certificering. Dat is heel mooi binnen het NIS2 Quality Mark dat drie niveaus heeft. Wij streven altijd naar het creëren van een cultuur van continue verbetering en risicogericht denken bij onze klanten, wat feitelijk de basis vormt voor zowel het NIS2 Quality Mark en ook voor ISO-certificeringen.’
Wat voor rol is er weggelegd voor brancheorganisaties in het hele NIS2 verhaal?
Mueller: ‘Dit zijn enorm belangrijke spelers in het verspreiden van bewustzijn en het bieden van richting aan bedrijven. Het delen van ervaringen en casestudies binnen een onafhankelijk platform heeft veel waarde. Het is essentieel dat zelfs kleine- en middelgrote bedrijven een certificering, zoals het NIS2 Quality Mark, behalen om hun positie bij klanten te handhaven.’
Wat zijn risico’s die nu nog spelen bij bedrijven rondom de NIS2?
‘Dat – typisch op zijn Nederlands – veel bedrijven denken “de soep zal wel niet zo heet gegeten worden als hij wordt opgediend’. Ik zal je vertellen, die soep is wel degelijk bloedheet. De grootste misvatting rond NIS2 is dat bedrijven denken dat ze vrijheid hebben in de naleving ervan. Ik waarschuw dan ook dat de wet heel duidelijk is en bedrijven moeten voldoen om risico’s en verantwoordelijkheden serieus te nemen. Wij pleiten ervoor dat bedrijven hun cyberweerbaarheid verbeteren, niet alleen vanwege de wettelijke eisen, maar ook om de continuïteit van hun bedrijf te waarborgen.’
‘Cybersecurity is niet alleen een technologische uitdaging is, maar ook een kwestie van menselijk handelen en compliance’, vervolgt Mueller. ‘Vooruitgang is essentieel, en bedrijven moeten hun risico’s periodiek blijven evalueren om continu te verbeteren. Het cyberlandschap verandert snel, en wat vandaag van toepassing is, kan morgen verouderd zijn. Bedrijven moeten dit risicogericht denken in hun DNA opnemen om aan de continue eisen te voldoen.’
Bedrijven moeten dus niet denken dat ze met een keurmerk er zijn en daarna weer over kunnen gaan tot de orde van de dag?
Mueller: ‘Exact. Het groeipad stopt niet bij het behalen van het NIS2 Quality Mark of een ISO27001; het is een evolutie waar bedrijven aan moeten blijven werken als onderdeel van hun bedrijfsvoering. Het certificaat op de muur is slechts het begin; het vasthouden en borgen ervan is cruciaal. Met NIS2 worden bedrijven periodiek gecontroleerd, en als ze niet aan de normen voldoen, kan dit het einde betekenen van hun zakelijke relaties.’
‘Ik benadruk hier overigens dat het niet mijn doel is om angst te zaaien, helemaal niet, maar om bedrijven bewust te maken van de noodzaak van cybersecurity. Ondanks vertragingen van de overheid, moeten bedrijven proactief blijven en niet de fout maken om cybersecurity op de lange baan te schuiven. Wij richten ons op het creëren van bewustzijn, het waarborgen van bestuursbetrokkenheid en het zorgen voor een succesvolle implementatie van NIS2, zelfs wanneer de urgentie door Nederlandse overheidsbeslissingen lijkt te vervagen.’
Je doelt op de vertraging door de Nederlandse overheid die de NIS2 implementatie niet lijkt te halen?
Mueller: ‘Klopt. Veel ondernemers zouden hierdoor achterover kunnen gaan leunen, maar dat is niet slim. Duitsland en België liggen op schema, daar is 17 oktober gewoon de datum en die landen hebben hun zaken wel op orde. Nederlandse toeleveranciers die hun cyberweerbaarheid onderschatten, lopen risico afgewezen te worden door Duitse of Belgische klanten die strikte normeringen hanteren. Bedrijven met een sterke corporate governance hebben het inkoopproces al zodanig aangepast dat cyberweerbaarheid een selectiecriterium is. Als bedrijven niet kunnen voldoen aan de normen, worden ze simpelweg niet gekozen als toeleverancier. Dit geldt ook voor langdurige relaties, waarbij grotere bedrijven strengere eisen stellen en kleinere bedrijven zullen moeten volgen.’
CRANIUM biedt strategische, op maat gemaakte oplossingen om organisaties te helpen bij privacy, informatieveiligheid en datamanagement in Nederland en België.