Forvis Mazars is een wereldwijd netwerk van professionele dienstverleners op het gebied van audit, belastingadvies en consultancy aan internationale ondernemingen, mkb-bedrijven, publieke organisaties en particulieren. Op het gebied van cybersecurity biedt men diensten aan die gericht zijn op het beschermen van data en het naleven van relevante wet- en regelgeving
Cybersecurity-redacteur Jan Meijroos spreekt met Jan Matto en Jeffrey de Bruijn over ketenzorgplicht, het NIS2 Quality Mark en juist niet het wiel opnieuw uitvinden.
Jan Matto is partner bij Forvis Mazars en Global Lead Cyber Security & Data Protection. Al enige decennia werkt hij bij Forvis Mazars, waar hij begon op zijn negentiende. Zijn passie ligt bij digitalisering, een vakgebied dat hij het leukste ter wereld vindt. Jeffrey de Bruijn is Director Cyber Security & Data Privacy en werkt ruim twee jaar bij Mazars. Met 17 jaar ervaring in cybersecurity en een achtergrond in informatiekunde en ondernemingsrecht, vertaalt hij wet- en regelgeving naar praktische maatregelen. Samen met Jan is hij verantwoordelijk voor de dienstverlening op dit gebied.
Wat maakt Forvis Mazars uniek op het gebied van cybersecurity en dataprivacy?
Jeffrey: ‘Ons team is multidisciplinair. We hebben mensen die zich richten op compliance en wet- en regelgeving, maar ook ethical hackers die actief systemen testen op kwetsbaarheden. Deze mix maakt ons sterk. We kijken altijd naar de vraag van de klant en stellen een team samen dat het beste past. Dit kan variëren van een enthousiaste junior tot een ervaren senior. Het doel is altijd om de beste oplossing te bieden, afgestemd op de behoeften van de klant.’
Waarom is cybersecurity zo belangrijk voor Forvis Mazars als auditfirma?
Jan: ‘Als auditfirma ligt onze focus op maatschappelijk belangen. Denk aan het controleren van jaarrekeningen, zodat we elkaar wat dat betreft kunnen vertrouwen en onze economie beschermen. Tegenwoordig geldt hetzelfde voor IT-systemen: als je systemen niet veilig zijn, ben je een gevaar voor de samenleving. Met nieuwe wetgeving, zoals de NIS2, gaat het niet meer alleen om je eigen veiligheid, maar ook om het risico dat je vormt voor anderen. Daarom vinden wij het belangrijk om organisaties te helpen hun cybersecurity op orde te brengen’.
Leeft de NIS2 wetgeving al onder jullie klanten?
Jan: ‘Grote organisaties pakken dit robuust op en zien het als een groot risico, ook voor hun bestuurders. Zij zien dat het gaat om reputatie en marktpositie. Kleinere bedrijven zitten soms nog in de ontkenningsfase: ‘Dit geldt vast niet voor ons.’ Toch worden ook zij hiermee geconfronteerd, bijvoorbeeld via eisen van klanten die zelf aan de NIS2 moeten voldoen. Dit inzicht is volop in ontwikkeling’.
Jeffrey: ‘Sommige bedrijven zijn nog zoekende. Bijvoorbeeld een klant met meerdere kleine entiteiten onder één moederbedrijf. Ze vragen zich af: geldt de NIS2 voor al die entiteiten of alleen voor een paar? Soms kiezen ze ervoor om de regels meteen voor alles te implementeren, om zo risico’s en onduidelijkheden te vermijden. Het is duidelijk een onderwerp dat op boardroomniveau besproken wordt.’
NIS2 legt grote nadruk op ketenzorgplicht. Hoe leggen jullie dit in Jip & Janneke-taal uit aan klanten?
Jan: ‘De ketenzorgplicht houdt in dat een essentieel of belangrijk bedrijf ook verantwoordelijk kan worden gehouden voor de cybersecurity van andere partijen in de keten waarvan hun diensten afhankelijk zijn. Stel, een klein bedrijf met twee medewerkers beheert de zonnepanelen of cv-installaties van een groot bedrijf en dat kleine bedrijf veroorzaakt een incident. Dan kan het grote bedrijf verantwoordelijk worden gesteld, als zij de risico’s van haar keten niet voldoende kent en beheerst. We moeten ons goed realiseren dat digitalisering ,ook afkomstig van derden, meer en meer een integraal onderdeel is van diensten en ook producten’.
Jeffrey: ‘Een hacker zoekt altijd de zwakste schakel in een keten. Het maakt niet uit hoe klein een partij is; als die kwetsbaar is, kan dat een groot risico vormen. Dit betekent dat organisaties anders moeten leren denken over risico’s, en niet alleen kijken naar de omvang van een leverancier.’
Hoe proberen jullie de mindset rond ketenrisico’s in organisaties te veranderen?
Jan: ‘In ons vakgebied gaat het vaak om het kwantificeren van financiële bedrijfsrisico’s, maar ketenrisico’s gaan verder dan dat. Het gaat om de technische risico’s en het gevaar dat een organisatie vormt voor anderen in de keten. Het gaat dus meer om de bredere maatschappelijke en economische schade in het ecosysteem van een organisatie. Dat vraagt om fundamenteel een andere manier van denken, iets wat nog steeds een uitdaging is.’
Jeffrey: ‘Je ziet dat organisaties hier langzaam mee aan de slag gaan. Vaak leidt een incident tot meer bewustwording op boardroomniveau. Het ontbreekt echter vaak aan kennis en standaardrapportages om cybersecurityrisico’s inzichtelijk te maken. Dat is een grote uitdaging voor de verantwoordelijke directie.’
Waarom is standaardisatie in cybersecurityrapportages belangrijk?
Jan: ‘Op het gebied van financiële risico’s zijn we gewend om alles gedetailleerd te rapporteren, met vaste rekeningschema’s en vergelijkbare informatie. Maar voor cybersecurity bestaat zoiets niet. Zonder gestandaardiseerde interne en externe rapportages door de hele keten is het moeilijk om inzicht te krijgen in de status van cybersecurityrisico’s. Dit is een van de grootste belemmeringen voor betere besluitvorming op boardroomniveau.’
Jullie zijn een samenwerking aangegaan met Samen Digitaal Veilig. Wat sprak jullie daarin aan?
Jeffrey: ‘Het mooie aan Samen Digitaal Veilig is dat het een branche-breed initiatief is. Het biedt een uniforme taal, een normenkader, en een gezamenlijke aanpak om een lastig onderwerp als cybersecurity aan te pakken bij kleinere organisaties. Vooral kleinere organisaties blijven vaak achter op dit gebied, en dit initiatief helpt hen om op een pragmatische en laagdrempelige manier stappen te zetten.’
Jan: ’Wat ik vooral waardeer is het volwassenheidsmodel dat in dit initiatief zit. Het draait niet om directe formele audits, maar om het creëren van beweging en schaalbare stappen richting meer veiligheid. Kleine bedrijven helpen is essentieel, want dat versterkt uiteindelijk ook de grote bedrijven in de keten.
‘Daarnaastis het economisch onverantwoord als iedereen zelf het wiel moet uitvinden en met verschillende rapportages aan komt zetten. Daarom is het belangrijk dat er een gezamenlijke aanpak is waarbij iedereen dezelfde richting opgaat. Dit voorkomt dat we verzanden in complexe eisen die onmogelijk direct te realiseren zijn. Door samen te werken en stappen te zetten, maken we zowel kleine als grote bedrijven veiliger en zorgen we voor een stabielere keten.’
Hoe kijken jullie vanuit jullie expertise naar het NIS2 Quality Mark?
Jan: ‘ISO 27001 bijvoorbeeld is een goede basis, maar het dekt niet alles. Voor NIS2 zijn bijvoorbeeld verplichte registraties, procedures en duidelijkere afspraken over verantwoordelijkheden nodig. Ook kunnen stakeholders hogere organisatorische of technische eisen stellen en hogere zekerheidsniveaus over rapportages. Het is belangrijk om te begrijpen dat een keurmerk, zoals het NIS2 Quality Mark, een momentopname is. Het zegt iets over hoe veilig je organisatie op dat moment is, maar het biedt uiteraard geen zekerheden. Wel geeft het een hele goede impuls en stimulans om systemen veiliger te krijgen.’
Jeffrey: ‘Ik begrijp de kritische punten, maar zie ook voordelen. Het NIS2 Quality Mark kan helpen om dezelfde taal te spreken binnen de industrie en is waarschijnlijk makkelijker te begrijpen dan sommige andere normen.’
Hoe kan het NIS2 Quality Mark bijdragen aan betere ketenveiligheid?
Jan: ‘Wat ik al zei; het keurmerk helpt om een gezamenlijke standaard te ontwikkelen, wat essentieel is voor ketenveiligheid. Kleine bedrijven spelen vaak een cruciale rol in ketens, en het is belangrijk dat zij ook aan basisveiligheidseisen voldoen. Dit vermindert de kans op verstoringen in de keten.’
Jeffrey: ‘Het NIS2 Quality Mark biedt een toegankelijk framework waarmee organisaties praktische stappen kunnen zetten. Het helpt hen ook bewust te worden van hun rol in een bredere keten. Door de focus te leggen op operationele beveiligingsmaatregelen, kunnen organisaties effectiever inspelen op risico’s.’
Wat zijn specifieke uitdagingen voor kleine organisaties, zoals mkb’ers?
Jeffrey: ‘Kleine organisaties hebben vaak geen goed zicht op hun IT-processen. Ze vertrouwen op externe IT-partijen en spreken die soms maar een paar keer per jaar. Voor deze groep biedt een framework als het NIS2 Quality Mark echt een uitkomst. Het helpt hen met praktische stappen, terwijl het hen niet verplicht tot zware certificeringen zoals ISO 27001.’
Jan: ‘Klopt, maar we moeten realistisch blijven over de beperkingen. Het behalen van een keurmerk betekent niet dat je klaar bent. Cybersecurity moet een doorlopend proces zijn, net zoals je wekelijks je financiële status bijhoudt. Voor kleine organisaties in de keten, zoals leveranciers van kritische onderdelen, is dat extra belangrijk.’
Kleine fouten kunnen grote gevolgen hebben binnen een keten?
Jan: ‘Absoluut. Neem bijvoorbeeld een fabrikant van een specifiek schroefje dat essentieel is voor een halffabricaat. Als zo’n leverancier getroffen wordt door een cyberaanval, stopt de hele keten. We hebben al gevallen gezien waar administratieve systemen wel weer werkten, maar logistieke processen vastliepen. Dit leidde tot vrachtwagens die stil stonden omdat ze het distributiecentrum niet in konden.’
Jeffrey: ‘Ik heb eens een incident meegemaakt waarbij een achteruitrijcamera van een auto wifi-signalen oppikte van een webcam in een zorginstelling. De beelden van patiënten waren zichtbaar op het scherm van de auto. Dit soort onverwachte lekken ontstaan vaak op plekken waar je het niet verwacht. Het toont aan hoe belangrijk het is om ook kleine risico’s serieus te nemen.’
Wat is jullie advies voor organisaties om cybersecurity structureel te verbeteren?
Jeffrey: ‘Mijn advies is om het simpel te houden. Focus op de basis: goede wachtwoorden, backups die werken en systemen die up-to-date zijn. Zorg dat iedereen in de organisatie begrijpt waarom dit belangrijk is, en bouw vanaf daar verder. Praktische stappen zijn vaak effectiever dan uitgebreide, theoretische plannen.’
Jan: ‘En bellen. Gewoon bellen. We helpen ze graag naar een hoger niveau, en dat kan stapsgewijs. Het NIS2 Quality Mark is hier goed voor, omdat het drie niveaus biedt. Je hoeft niet meteen voor goud te gaan; het gaat erom dat je begint met stappen zetten. Vaak zijn de benodigde maatregelen niet duur en heb je de middelen al in huis.’
Jeffrey (lachend): ‘Niet allemaal tegelijk bellen, graag. Maar serieus, we kunnen altijd helpen. Soms is een eerste stap bijvoorbeeld een zelfassessment, waarna we kijken wat er nodig is. Het gaat om praktische hulp, afgestemd op de situatie van het bedrijf.’