Ploum Advocaten is een Rotterdams advocatenkantoor met een breed scala aan juridische diensten. Hugo van Aardenne speelt een belangrijke rol binnen Ploum op het gebied van cybersecurity. Met zijn achtergrond in strafrecht en ruime ervaring in complexe cyberincidenten, begeleidt hij organisaties bij het naleven van de NIS2 richtlijn, die strenge eisen stelt aan cyberbeveiliging en meldingsplichten voor kritieke incidenten. Cybersecurity redacteur Jan Meijroos spreekt hem over het NIS2 Quality Mark, de continuïteit van mkb-bedrijven en voortdurende verbetering van cybersecurity-infrastructuur.
Jullie adviseren bedrijven en helpen hen NIS2 compliant te worden, zodat ze voldoen aan de wet. Met wat voor vragen komen bedrijven bij jullie?
Hugo: ‘Een hele basale vraag die bedrijven vaak stellen is: “Vallen we onder de NIS2 richtlijn?” Bedrijven willen weten of en hoe ze aan deze wetgeving moeten voldoen. Sinds mei van dit jaar is er een wetsvoorstel Cyberbeveiligingswet. In die wet moet de NIS2 worden geïmplementeerd in Nederland. Ik merk wel dat het nu echt steeds meer begint te leven bij bedrijven. Dat is goed want er is eigenlijk nog maar weinig tijd.’
‘Bedrijven komen vaak met vragen zoals: “Wat betekent deze wet voor ons?” Het zijn niet alleen bedrijven die er al van op de hoogte zijn, maar ook bedrijven die aan hen leveren, zoals toeleveranciers. Dit creëert een breder perspectief: bedrijven die weten dat ze onder de wetgeving vallen, bedrijven die er misschien niet onder vallen, maar wel indirect betrokken zijn, en bedrijven die het gewoon niet zeker weten.’
Wat is de verhouding tussen de bedrijven die jullie adviseren? Zijn het vooral grote NIS2 bedrijven of ook toeleveranciers?
Hugo: ‘Het is een mix. We hebben te maken met zowel grote NIS2 bedrijven als toeleveranciers, zoals mkb-bedrijven. Als je onderscheid moet maken, zijn het vooral de NIS2 bedrijven, maar ook veel van hun toeleveranciers. Deze toeleveranciers, vaak kleinere bedrijven, zien cybersecurity weten vaak niet goed waar ze moeten beginnen.’
Wat merken jullie daarvan? Komen die toeleveranciers in paniek bij jullie binnen, of hebben ze al wat kennis en dingen geregeld?
Hugo: ‘Daar moet ik wel een onderscheid in maken. We zien bedrijven die er serieus mee bezig zijn, maar ook veel bedrijven waar dit onderwerp nog helemaal nieuw is. Ze vragen zich af wie binnen hun organisatie verantwoordelijk wordt voor NIS2. Valt dat onder IT, compliance of het management? Er zijn hele grote verschillen in hoe goed bedrijven voorbereid zijn en hoe groot de stappen zijn die ze moeten nemen.’
Hoe komen bedrijven bij jullie terecht? Zijn ze geïrriteerd omdat er weer een nieuwe wet is, of zien ze het meer als een wake-up call?
Hugo: ‘Bijna niemand vindt nieuwe regelgeving leuk, behalve de cybersecuritybedrijven en advocaten natuurlijk. Voor bedrijven is het een extra last, dat begrijp ik heel goed. Maar aan de andere kant merk ik dat steeds meer bedrijven doordrongen zijn van het gevaar van cyberdreigingen. Ze begrijpen dat het niet alleen om regelgeving gaat, maar dat het ook om de continuïteit en veiligheid van hun eigen bedrijf draait.’
Jullie hebben een samenwerking met Samen Digitaal Veilig. Vertel!
Hugo: ‘In 2023 zijn we een partnerschap aangegaan met Samen Digitaal Veilig. Ik merk ook dat mensen ons steeds meer weten te vinden, vooral als ze op zoek zijn naar juridische expertise rondom NIS2 en de Cyberbeveiligingswet. Onze naam duikt dan vaak op in zoekresultaten.’
Samen Digitaal Veilig is opgezet om mkb’ers te helpen met cybersecurity. Nu ligt de focus op de aankomende NIS2 richtlijn. Wat vind jij van het NIS2 Quality Mark. Is dat iets dat bedrijven helpt?
Hugo: ‘Ja, absoluut. Het NIS2 Quality Mark is een ideale manier voor bedrijven om iets abstracts als cybersecurity behapbaar te maken. Deze norm biedt een stap-voor-stap aanpak, waardoor bedrijven uiteindelijk een hoger niveau van beveiliging kunnen bereiken. Dit is belangrijk, want de regelgeving wordt steeds strenger, en het NIS2 Quality Mark helpt bedrijven om niet verdwaald te raken in de complexiteit van de wetgeving.’
Je hebt natuurlijk uitstekende maar zware normen zoals ISO 27001, maar die zijn vaak te hoog gegrepen voor kleinere mkb’ers. Hoe zien bedrijven dit?
Hugo: ‘Dat klopt. Voor veel kleinere bedrijven kan een norm zoals ISO 27001 of andere zware normen te hoog zijn. Daarom is het goed dat er een alternatief is, zoals het NIS2 Quality Mark, dat bedrijven de mogelijkheid biedt om op een haalbare manier aan beveiliging te werken.’
Ik kan me voorstellen dat veel mensen schrikken van de gedachte dat ze aan al die normen moeten voldoen. Misschien zien ze daardoor door de bomen het bos niet meer?
Hugo: ‘Precies. Het is niet zozeer een alternatief, maar meer een manier om cybersecurity beheersbaar te maken. Deze wetgeving is nieuw en ingewikkeld, zeker voor kleinere bedrijven. Door een overzichtelijke route te bieden, zoals het NIS2 Quality Mark, kun je bedrijven helpen om de eerste stappen te zetten. Uiteindelijk zullen ze hun beveiligingsstandaard wel verhogen, maar het is belangrijk dat ze ergens kunnen beginnen.’
Dus je helpt bedrijven eigenlijk om overzicht te creëren?
Hugo: ‘Klopt. Ook voor kleinere bedrijven geldt dat je zo sterk bent als de zwakste schakel. Op een gegeven moment zullen bedrijven de lat steeds hoger leggen, en misschien zullen ze die zelfs uit eigen beweging willen verhogen. Maar het is belangrijk om ergens te beginnen. Ik vergelijk het wel eens met een kluwen wol: als je aan het begin al moet weten hoe je het eindigt, begin je er nooit aan. Je moet gewoon ergens beginnen, en voor het mkb is dit de manier om dat te doen.’
‘De ketenzorgplicht betekent dat bedrijven, zelfs als ze niet rechtstreeks onder NIS2 vallen, moeten voldoen aan bepaalde eisen als ze werken met een NIS2 bedrijf. Dit gaat onder andere over incidentrapportages, regelmatig back-ups maken en het voldoen aan diverse cybersecurity-eisen. Deze verplichtingen kunnen variëren afhankelijk van hoe een organisatie is ingericht.’
Voel je ook dat je klanten moet uitleggen dat er verschillende normeringen zijn, zoals ISO-certificeringen, en dat ze veilig zijn als ze daaraan voldoen? Neem je dat mee in je advies?
Hugo: ‘Ja, absoluut. Het is heel belangrijk om het verschil te begrijpen tussen de verschillende normen en wat er van bedrijven wordt verwacht. Ik probeer klanten duidelijk te maken dat er diverse certificeringen en normen zijn, en dat deze ook afhangen van de specifieke industrie of sector. Neem bijvoorbeeld de zorg; daar gelden bepaalde normen die van cruciaal belang zijn. Maar ik leg altijd uit dat deze normen vaak slechts een momentopname zijn, terwijl de wetgeving uitgaat van continue beveiliging.’
Het is meer dan alleen voldoen aan een norm. Hoe leg je dat precies uit?
Hugo: ‘Het is belangrijk om uit te leggen dat beveiliging niet iets is dat je één keer regelt en dan klaar bent. Het moet continu zijn. Een norm als ISO 27001 is bijvoorbeeld een goed beginpunt, maar het gaat erom dat beveiliging onderdeel wordt van de dagelijkse bedrijfsvoering.’
En hoe zien bedrijven dat? Willen ze vaak snel resultaat zien?
Hugo: ‘Ja, veel bedrijven willen graag snel een oplossing, een “korte klap” zoals ze dat noemen. Maar ik leg dan uit dat wetgeving zoals NIS2 vraagt om een continu proces van beveiliging en monitoring. Het is niet iets dat je even snel regelt, het moet geïntegreerd worden in de bedrijfsvoering. Hier kunnen normen en keurmerken zeker bij helpen, maar ze zijn geen einddoel. Ze vormen eerder een hulpmiddel om richting te geven aan een doorlopend proces van beveiliging.’
Normen helpen eigenlijk om de vertaalslag te maken naar continue beveiliging?
Hugo: ‘Precies. Een norm zoals het NIS2 Quality Mark of andere bekende normen kunnen bedrijven helpen om een vertaalslag te maken van theoretische verplichtingen naar praktische, haalbare stappen. Het is belangrijk dat bedrijven begrijpen dat dit niet alleen gaat om het afvinken van een lijst, maar om een voortdurende verbetering van hun cybersecurity-infrastructuur.’
Wat wordt volgens jou de grootste uitdaging voor bedrijven in de aanloop naar de implementatie van NIS2 volgend jaar?
Hugo: ‘De grootste uitdaging is het aangaan van gesprekken in de toeleveringsketen. Bedrijven hebben zelf al veel te organiseren om ervoor te zorgen dat ze niet geraakt worden, maar door de toeleveringsketen te beveiligen, worden ze ook afhankelijk van hun klanten en leveranciers. Daar moeten afspraken over gemaakt worden. In hoeverre wordt er bijvoorbeeld – contractueel – rekening gehouden met uitwijkmogelijkheden als er niet meer geleverd kan worden door een cyberincident?’
Bedrijven moeten nu al anticiperen op toekomstige beveiligingsuitdagingen?
Hugo: ‘Precies. Veel bedrijven sluiten op dit moment contracten die doorlopen tot na de implementatiedatum en de inwerkingtreding van de Cyberbeveiligingswet. Als ze nu geen of onvoldoende rekening houden met beveiliging, zitten ze straks vast aan afspraken die dit niet of onvoldoende regelen als de Cyberbeveiligingswet van kracht is. Het is dus cruciaal dat bedrijven nu al de gesprekken aangaan, terwijl er nog tijd is en iedereen dezelfde taal spreekt.’
Wat gebeurt er als bedrijven wachten tot na de implementatiedatum?
Hugo: ‘De implementatietermijn verloopt deze maand (oktober 2024). Nederland is dus te laat. Als bedrijven wachten tot er een datum is dat de Cyberbeveiligingswet in werking zal treden, dan lopen ze het risico dat ze straks niet voorbereid zijn en dat er verschillen zijn tussen hoe zij de wetgeving begrijpen en wat hun partners of leveranciers verwachten. Dan wordt het lastiger om afspraken te maken. Bedrijven die zich nu niet verdiepen in de wetgeving en de taal van cybersecurity nog niet spreken, gaan waarschijnlijk de meeste problemen ondervinden.’
Zit daar dan ook de grootste valkuil?
Hugo: ‘Jazeker. Bedrijven die gebruikmaken van platformen zoals Samen Digitaal Veilig hebben nu nog de tijd om zich bewust te worden van wat er komt en om die taal te leren spreken. Ze hebben nog enkele maanden om zich voor te bereiden. Maar bedrijven die dat niet doen, zullen waarschijnlijk de meeste moeilijkheden tegenkomen. Handhaving zal zich in eerste instantie waarschijnlijk richten op de grotere, essentiële entiteiten, maar de kleinere bedrijven moeten zich niet laten verrassen.’
