Met de aankomende NIS2 wet wordt 2024 een spannend jaar voor bedrijven en hun toeleveranciers. Wij spreken Daan Hoogendijk; voorzitter van het Instituut voor Verenigingen, Branches en Beroepen (IVBB). Waar ziet hij de uitdagingen én oplossingen?
Samen Digitaal Veilig (SDV) is het platform voor samenwerking in de keten; tussen NIS2 bedrijven en hun leveranciers. Om dat te ondersteunen zijn jullie een samenwerking aangegaan met het NIS2 Quality Mark. Waarom hebben jullie dat eigenlijk gedaan?
Daan Hoogendijk: “Dat is eigenlijk heel simpel. Elke keer als er zich een wet aandient die heel Nederland raakt dan kijken wij altijd heel zorgvuldig samen met een aantal branches of we daar als collectief in moeten optrekken. Hier hebben we dat gedaan en tijdens die analyse zagen we het volgende: de grote bedrijven moeten samenwerken met de kleinere om de toeleveringsketen veilig te maken én de wetgever verplicht om dit contractueel vast te leggen. Om dat te kunnen doen moet er gewerkt worden met een norm. Juridisch wordt het anders heel moeilijk. Het platform had dus een norm nodig. Vandaar dat wij de samenwerking hebben gezocht met de partij die een goede norm heeft.”
Oké, dus jullie hebben dit gedaan voor de toeleveringsketenverplichting in de wet te realiseren. Wat zijn nu precies de uitdagingen om de toeleveringsketen veilig te maken?
Hoogendijk: “Belangrijk is dat alles afhangt van het risico. Als je een NIS2 bedrijf of – organisatie bent dan moet je een risico-inventarisatie maken van je leveranciers. Er zijn leveranciers die heel kritisch voor je zijn. Die bijvoorbeeld rechtstreeks in je primaire proces opereren en als die stilvallen door een cyberincident dan ben je zelf gewoon ook direct uitgeschakeld.
Tegelijkertijd weten we dat er ook leveranciers zijn met kleinere risico’s. Als deze leveranciers (tijdelijk) wegvallen heb je daar wel even last van maar die zorgen er niet voor dat alle werkzaamheden binnen jouw organisatie plat komen te liggen. Maar misschien wel gedeeltelijk. Of het betreft een incident waar je wellicht wel omheen kunt werken of een samenwerking met leveranciers waarbij het risico is heel erg klein is. Dus leveranciers waar je niks meer mee hoeft af te spreken dan een minimum basis-hygiëne.”
Wat bedoel je met minimum basis-hygiëne?
Hoogendijk: “Minimum basis-hygiëne is datgene wat je als organisatie minimaal mag verwachten van elk bedrijf dat aan jou levert. Een bedrijf dat helemaal niks doet aan cybersecurity? Wil je daar wel mee samenwerken? We zien steeds meer bedrijven die een minimumeis stellen.”
De risico’s zijn dus variabel en je hebt een norm nodig. Waarom hebben jullie gekozen voor het NIS2 Quality Mark?
Hoogendijk: “Als je goed naar de markt kijkt dan zijn er heel veel normen en keurmerken. Ook voor cybersecurity. Heel veel branches en sectoren hebben een eigen keurmerk voor hun werkveld of vakgebied. Vaak zijn die samengesteld door specialisten, bestaan al jaren en zijn hartstikke goed. En vaak zitten die net tegen het ISO-niveau aan. Kijken we naar cybersecurity dan weten wij dat ISO 27001 een uitstekende norm is en dat NEN-7510 heel goed is voor bijvoorbeeld zorgorganisaties. Een andere norm is dan weer DORA voor de financiële sector. En ook gemeentes en overheden werken met een eigen norm.
In ons onderzoek zijn we allerlei partijen tegengekomen die allemaal hun eigen sterke punten hebben. Zo zijn er partijen die eigen vragenlijsten hebben ontwikkeld. Best goed maar het probleem is dat vragenlijsten op zichzelf nog geen norm vormen.
Bij de deelnemende branches zit veel expertise. Daar kwam naar voren om een norm in eigen hand te houden omdat het te belangrijk is voor de leden van diezelfde branches. Omdat het haalbaar en betaalbaar moet zijn. Deze branches hebben een zeer hoogwaardig NIS2 Quality Mark ontwikkeld. Wij vonden het NIS2 Quality Mark het beste passen bij Samen Digitaal Veilig en dus hebben we daarvoor gekozen.”
Wat zijn de voordelen van het NIS2 keurmerk ten opzichte van de andere partijen?
Hoogendijk: “Het belangrijkste is dat je je moet realiseren dat het vaak gaat over kleine en middelgrote bedrijven. Deze organisaties willen graag blijven leveren aan NIS2 bedrijven en willen werken aan hun veiligheid maar… het moet niet te invasief zijn. Kortom; het moet niet te veel tijd kosten en niet te duur zijn.
Anders gezegd; het mkb wil graag aan de wet voldoen en veilig werken, maar men zoekt dan wel een pasklaar plan. Iets dat snel en bruikbaar is. Dat is exact wat het NIS2 Quality Mark is: een goede norm bestaande uit een goede set maatregelen en daarom een fijn hulpmiddel voor leveranciers. Wij hebben dat verankerd in SDV en afgesproken met het NIS2 Quality Mark dat wij bij elke maatregel toelichting, uitleg en begeleiding geven. Dat doen we met video’s, met voorbeelden en met echte ondersteuning waardoor mkb-bedrijven niet te veel tijd en geld kwijt zijn om dit gedeelte te implementeren. Daarnaast is het belangrijk is dat deze bedrijven zelf de eerste stappen kunnen zetten zonder externe cybersecurityspecialisten in te huren.
Wat wij ook belangrijk vinden is dat er veel flexibiliteit bestaat. Steeds opnieuw ontstaan er nieuwe cybersecurityrisico’s waardoor dit nodig is. Zo is het mogelijk om elk jaar een of twee maatregelen te kunnen toevoegen. Het NIS2 Quality Mark is dan ook een dynamisch keurmerk. Als deelnemer begin je eraan en jaarlijks groei je door naar een hoger niveau. We hebben daar duidelijke afspraken over gemaakt. Zo weten de NIS2 organisaties dat hun leveranciers aandacht blijven hebben voor cyberveiligheid.”
Hoe weet je zeker dat het laagste niveau van NIS2 Quality Mark voldoende is?
Hoogendijk: “Goede vraag. Er twee zaken om goed In de gaten te houden. Ten eerste beginnen we bij hele bekende cybersecuritymaatregelen: het NIS2 Quality Mark Basic niveau is exact gelijk met datgene wat het Digital Trust Center met vijf basisprincipes en het Nationaal Cyber Security Centrum met hun acht richtlijnen al jaren publiceren.
Verder zijn de niveaus Substantial en High belangrijk. Daarvoor heeft het NIS2 Quality Mark een team van gerenommeerde cybersecurityspecialisten bij elkaar bracht die onafhankelijk de niveaus bepalen. Sommige specialisten werken uitsluitend voor grote organisaties met zware normen en stuwen logischerwijze de norm elke keer omhoog terwijl de andere specialisten met name kijken naar haalbaarheid en nut voor mkb-bedrijven. Die twee groepen samen zijn tot een slotsom gekomen waardoor het geheel past bij grote organisaties én kleinere. Met andere woorden; iedereen vindt hier de juiste norm passend bij het geldende risico. Zo ontstaat er een situatie waarin de norm daadwerkelijk passend is bij het risico in plaats van een vaste norm die veel te zwaar kan zijn.”
Waarom zijn er drie niveaus in het NIS2 Quality Mark?
Hoogendijk: “De specialisten hebben gekozen voor die lijn omdat Europa de komende jaren ook drie niveaus gaat introduceren voor cybersecurity. In het NIS2 Quality Mark is dat nu al doorgevoerd. Het is de bedoeling van de wetgever om alle bedrijven die klein of middelgroot zijn allemaal op een gezonde manier te laten werken aan cybersecurity. En nadrukkelijk niet om alle bedrijven bijvoorbeeld ISO27001 te verplichten. Dat zou heel slecht zijn.”
Hoe zien jullie de toekomst van de samenwerking met NIS2 Quality Mark evolueren?
Hoogendijk: “We zijn een licentiedeal aangegaan voor vijf jaar dus wij gaan deze overeenkomst samen met hen uitbouwen. Wat wij belangrijk vinden is dat wij van het NIS2 Quality Mark ondersteuning krijgen die we nodig hebben om alle informatie goed te begrijpen en bij te houden qua techniek. De overeenkomst is met de Stichting en de Keurmerkcommissie bestaat uit afgevaardigden van een tiental brancheorganisaties. Wij kennen deze organisaties, zij zijn partner bij SDV.
We zijn erg blij met deze samenwerking met specialisten die hun sporen verdiend hebben. Samen met hen hebben we het hele ondersteunende traject vormgegeven. Dat wil zeggen; iedereen die instapt krijgt een 1-op-1 gesprek en vervolgens persoonlijke begeleiding en ondersteuning. Deelnemers krijgen online webinars en kunnen terecht bij een supportdesk voor alle detailvragen. We hebben een zeer breed scala aan ondersteuning voorzien die we in bulk inkopen en waardoor we het ook prijstechnisch interessant kunnen houden voor kleinere bedrijven.”
Win-Win-Win
“Uiteindelijk willen we allemaal hetzelfde: veilig werken”, vervolgt Hoogendijk. “Bedrijven kunnen via Samen Digitaal Veilig aan de NIS2 voldoen zonder dat het allemaal te veel tijd en geld kost. We willen voorkomen dat grote bedrijven op zoek moeten naar nieuwe leveranciers én we willen ook voorkomen dat leveranciers hun grote klanten kwijtraken.”
Ik denk dat wij op deze manier hele goeie balans hebben gevonden. Dat blijkt ook uit het feit dat een aantal zeer gerenommeerde partijen in Nederland met ons samenwerken. Die begrijpen dat dit ook voor hun klanten van belang is. Samen bereiken we de doelen van de wet. Natuurlijk is het interessant voor cybersecurityleveranciers om hun klanten goed te adviseren. Maar die weten: SDV regelt de basis maar als je naar een hoge niveau moet zoals Substantial of High dan heb je daar wel snel extra ondersteuning bij nodig.
Samen Digitaal Veilig en NIS2 Quality Mark is win-win-win. Een win voor grote bedrijven, win voor mkb-bedrijven en een win voor cybersecuritybedrijven die hun klanten nu nog beter kunnen ondersteunen.”