Rabobank ondersteunt klanten op het gebied van cybersecurity met de Rabo CyberRisicoverzekering, adviezen over cyberweerbaarheid en diensten zoals Rabo Identity Services. Hiermee helpt de bank ondernemers om zich te beschermen tegen cyberdreigingen en hun bedrijfscontinuïteit te waarborgen. Cyberredacteur Jan Meijroos gaat in gesprek met Mark van Kampen en Martijn Roseboom over een license to operate, de NIS2 en cybersecurity als onderdeel van de bedrijfsstrategie.
Mark van Kampen werkt binnen het landelijke team Sector Management van Rabobank, met focus op de IT-sector. Hij vertaalt trends en ontwikkelingen naar praktische inzichten voor relatiemanagers, bijvoorbeeld bij het beoordelen van softwarebedrijven. Daarnaast zet hij zich sinds anderhalf jaar in voor het versterken van cybersecurity als belangrijk thema binnen de bank, zowel als bedrijfsrisico als bij klantfinanciering.
Martijn Roseboom is Account Director Corporate Insurance, gespecialiseerd in de IT-zakelijke dienstverlening. Hij richt zich op risico-advisering, assurance-bemiddeling en de ontwikkeling van cyberrisicoverzekeringen. Zo biedt Rabobank ook eigen verzekeringsoplossingen aan, in samenwerking met verzekeraars, met als doel Nederland digitaal veiliger te maken.
Hoe reageren klanten op het feit dat Rabobank zich ook met cybersecurity bezighoudt?
Martijn: ‘‘We merken twee dingen. Ten eerste: als je een onderwerp zoals cybersecurity niet bespreekt, dan bestaat het in feite niet. Er gebeurt niets mee. Daarom zijn Mark en ik dit intern gaan promoten, zodat dit onderwerp bespreekbaar wordt gemaakt met klanten’
‘Ten tweede: wanneer je cybersecurity wel bespreekt, zie je dat je meteen waarde kunt toevoegen. Door bijvoorbeeld mensen uit ons netwerk met elkaar te verbinden, sluiten we beter aan bij wat er speelt bij de klant.’
Mark: ‘Klanten zijn steeds minder verbaasd, maar het hangt ook af van hoe je het gesprek voert. Als je als bank naar risico’s kijkt, hoort cybersecurity daar inmiddels ook bij. Net zoals je kijkt naar concurrenten of het verdienmodel van een bedrijf, is cybersecurity onderdeel van die analyse. Wij zien dat het thema steeds belangrijker wordt, net zoals duurzaamheid dat de afgelopen jaren is geworden.’
Wat is jullie visie op cybersecurity in relatie tot de NIS2 regelgeving?
Mark: ‘Ik vind dat alle bedrijven, cybersecurity in hun strategie moeten verankeren. We zien het als een groot bedrijfsrisico. Met de NIS2-regelgeving wordt ook het zogenaamde ketenrisico steeds belangrijker. Veel kleinere bedrijven denken dat ze buiten deze regelgeving vallen omdat ze onder de grens van 10 miljoen euro omzet zitten. Maar grotere bedrijven zullen hen wel vragen stellen over hun cyberveiligheid. Het wordt dus ook een commercieel vraagstuk: ben je cybersecure genoeg om zaken te blijven doen? Zoals Martijn het noemt: heb je een license to operate?’
Martijn: ‘Klanten moeten zich realiseren dat cybersecurity niet alleen een risico is, maar ook een kans om zich commercieel sterker te positioneren. Bedrijven die dit op orde hebben, versterken hun continuïteit en klantrelaties.’
(Mark van Kampen)
Hoe zien jullie de rol van Rabobank hierin?
Mark: ‘Als bank hebben we een verantwoordelijkheid om klanten bewust te maken van deze risico’s en hen daarbij te ondersteunen. Wij willen cybersecurity net zo belangrijk maken als duurzaamheid, niet alleen vanuit risico-oogpunt, maar ook vanuit commercieel perspectief.’
Martijn: ‘Onze rol is tweeledig: enerzijds bieden we concrete oplossingen, zoals cyberrisicoverzekeringen, anderzijds helpen we klanten via advies en ons netwerk. Dit maakt onze aanpak uniek, omdat we verder gaan dan alleen verzekeringen aanbieden.’
Hoe bewust zijn bedrijven van hun cybersecurityvolwassenheid?
Martijn: ‘Dat verschilt sterk. Grotere bedrijven hebben het vaak beter op de radar en besteden er aandacht aan. Bij het mkb zien soms nog een houding van ik zie het wel, het overkomt mij toch niet. Hier ligt een grote uitdaging.’
Mark: ‘Dit is precies waarom we samenwerken met partijen zoals SDV. We willen mkb-bedrijven bewust maken van de gevaren en hen meenemen in wat ze praktisch kunnen doen. Cybersecurity moet strategisch op de agenda staan, zodat je het kunt vertalen naar operationele acties.’
Hoe zien jullie de rol van de IT-leverancier in deze context?
Mark: ‘De IT-leverancier speelt een cruciale rol, maar het is niet genoeg dat zij bijvoorbeeld alleen de systemen installeren. Bedrijven moeten zelf zorgen dat alles up-and-running blijft maar hebben hierbij op securitygebied wel gericht advies van IT-leveranciers nodig. Tegelijkertijd zijn IT-bedrijven zelf een groot doelwit voor hackers. We hebben al voorbeelden gezien van hacks waarbij een IT-bedrijf werd gebruikt om toegang te krijgen tot honderden klanten. Dit komt vaak terug in onze gesprekken met klanten, vooral met IT-serviceproviders.’
Martijn: ‘Hier speelt de NIS2 regelgeving ook een rol. Die stelt eisen aan bestuurlijke aansprakelijkheid. Bestuurders kunnen aansprakelijk worden gehouden als ze niet voldoen aan de compliance-eisen. Dit betekent dat cybersecurity niet alleen een operationeel, maar ook een strategisch vraagstuk moet zijn.’
Wat is jullie aanpak om mkb-bedrijven hierbij te helpen?
Mark: ‘Wij proberen het mkb te ondersteunen door oplossingen aan te reiken en hen bewust te maken van wat ze in praktijk zelf kunnen doen. Vaak worden deze bedrijven overladen met regelgeving en uitdagingen zoals personeelstekort en ziekteverzuim. Cybersecurity voelt dan als een extra last. Daarom is het belangrijk dat partijen zoals Rabobank en SDV samenwerken om praktische en haalbare stappen aan te bieden.’
Hoe ervaren jullie de reactie van mkb-klanten op de ketenverantwoordelijkheid die de NIS2-regelgeving met zich meebrengt?
Martijn: ‘Wat we zien, is dat veel mkb’ers net gewend zijn aan basismaatregelen zoals tweestapsverificatie en wachtwoordbeheer. Maar als het gaat om hun rol in de keten – bijvoorbeeld als toeleverancier of als klant van een andere toeleverancier – is dat vaak nog een nieuw terrein. De NIS2 plaatst dit nu extra op de kaart, maar bij veel klanten merk ik daar nog weinig actieve bewustwording over. Ze zijn er niet mee bezig totdat er concrete vragen komen.’
Mark: ‘Veel bedrijven reageren pas als ze specifieke vragen krijgen. Laatst sprak ik een mkb-bedrijf dat aan onze bank levert. Zij begonnen pas na te denken over ketenverantwoordelijkheid toen wij vanuit de Rabobank vragen stelden over hun cybersecuritymaatregelen. Het is nu vaak een reactief proces.’
Hoe kijken bedrijven in de praktijk naar deze ketenverantwoordelijkheid?
Martijn: ‘Vaak zie je dat bedrijven eerst beginnen met contracteren: wie draagt welke verantwoordelijkheid? Dat is belangrijk, maar het echte doel van NIS2 is ketenuitval te voorkomen en, als er iets misgaat, samen te zorgen dat alles snel weer operationeel is. Dit vraagt om samenwerking en een proactieve aanpak. Helaas is de neiging vaak om aansprakelijkheid ‘back-to-back’ af te schuiven op andere partijen, terwijl dat niet de intentie is van de NIS2.’
Mark: ‘Wat we nodig hebben, is een proactieve houding. Maar momenteel zie ik vooral reactieve actie. Zodra bedrijven weten dat er bijvoorbeeld audits of handhaving aankomen—en dat gaat waarschijnlijk gebeuren in 2025—zal dit hen aansporen om serieuzer naar hun ketenverantwoordelijkheid te kijken.’
Kun je een concreet voorbeeld geven van hoe deze ketenzorgplicht werkt?
Mark: ‘Stel, ik maak een specifiek type moertje dat in de machines van ASML wordt gebruikt. Als ik een factuur stuur met een corrupte link en ASML heeft geen goede afspraken met mij gemaakt, blijft ASML bestuurlijk verantwoordelijk voor die nalatigheid. Dit laat zien hoe belangrijk het is om ook met kleine leveranciers duidelijke afspraken te maken over cybersecurity.’
Martijn: ‘Er zijn twee reacties mogelijk. Sommige bedrijven kiezen ervoor om alles in-house te halen door kleinere partijen over te nemen. Anderen kiezen ervoor om leveranciers af te wijzen die niet kunnen aantonen dat ze hun cybersecurity op orde hebben. Dit heeft directe impact op je positie in de keten.’
Hoe zorgen jullie ervoor dat klanten niet denken dat een cyberrisicoverzekering hen volledig beschermt, en dat ze verder niets hoeven te doen?
Martijn: ‘Dat is een belangrijke nuance. Cybersecurity is continue in beweging. Een bestuurder moet beseffen dat het zetten van tien vinkjes vandaag niet betekent dat morgen alles nog steeds op orde is. Er is een zekere mate van agility nodig: je moet blijven onderzoeken, aanpassen, en keuzes maken over wat je implementeert. Sommige zaken zijn hygiënefactoren—ze moeten gewoon op orde zijn—terwijl andere risicofactoren door een ondernemer zelf afgewogen kunnen worden.’
Mark: ‘Een verzekering is slechts een sluitstuk van het hele proces. Wat je vroeger zag, is dat verzekeraars simpelweg premies berekenden op basis van een Kamer van Koophandel-nummer, omzet gegevens en aantal medewerkers. Tegenwoordig zijn er veel meer eisen, zoals compliance en preventieve maatregelen. Het is belangrijk dat klanten begrijpen dat een verzekering ondersteunend is, maar niet zaligmakend.’
Kun je een concreet voorbeeld geven van de beperkingen van een verzekering?
Martijn: ‘Neem bijvoorbeeld een hack door een groep die op de sanctielijst staat. Verzekeraars en banken mogen dan geen uitkeringen doen of betalingen faciliteren vanwege sanctiewetgeving. Dat betekent dat je ondanks een verzekering nog steeds geen hulp kunt verwachten in zo’n geval. Dit benadrukt waarom een verzekering alleen niet voldoende is.’
Mark: ‘Daarnaast hebben we eerder de discussie gehad of je überhaupt losgeld moet betalen bij een ransomware-aanval. De wet- en regelgeving maakt het steeds moeilijker om hier flexibel mee om te gaan. Het is belangrijk dat bedrijven begrijpen dat ze niet volledig kunnen vertrouwen op een verzekering, zeker niet als hun eigen cybersecurity niet op orde is.’
(Martijn Roseboom)
Voor wie is een cyberrisicoverzekering dan wél relevant?
Martijn: ‘Een verzekering is relevant als sluitstuk van een goed beleid. Het kan fungeren als vangnet wanneer je ondanks goede maatregelen toch gehackt wordt. Denk aan bedrijven die hun continuïteit willen waarborgen bij omzetverlies of reputatieschade. Maar de verzekering keert pas uit als je zelf al voldoende hebt gedaan.’
Mark: ‘Een tandartspraktijk is een goed voorbeeld. Stel, je bent volledig in de cloud, je wordt gehackt, en je hebt geen backups. Dan kan een verzekering niet garanderen dat je het overleeft. Maar als je wel backups hebt en je wordt gehackt, kan de verzekering helpen bij het dekken van financiële schade.’
Hoe verhoudt een verzekering zich tot andere maatregelen zoals backups en training?
Martijn: ‘Een verzekering moet gezien worden als ondersteunend. Je kunt de continuïteit van je organisatie niet volledig in handen leggen van een verzekeraar. Backups, een goed beleid, en interne training zijn cruciaal. Je moet intrinsieke motivatie hebben om je eigen continuïteit te waarborgen.’
Mark: ‘Toen we begonnen met cyberrisicoverzekeringen, was het idee: als het misgaat, redden wij je wel. Maar dat is niet realistisch. De complexiteit van aanvallen en de afhankelijkheid van verschillende factoren maken dat je zelf ook voorbereid moet zijn.’
Wat is jullie kernboodschap voor klanten die overwegen een cyberverzekering af te sluiten?
Martijn: ‘Een cyberrisicoverzekering kan je helpen, maar niet redden. Het kan een essentieel stukje zijn van je risicomanagement, maar het mag nooit je volledige plan zijn. Je moet daarnaast kijken naar preventieve maatregelen zoals backups, training, en duidelijke afspraken met leveranciers.’
Mark: ‘Een verzekering is een vangnet, maar geen garantie. Bedrijven moeten begrijpen dat ze zelf verantwoordelijk blijven voor de basis van hun cybersecurity. Het is die combinatie van preventie en verzekering die uiteindelijk het verschil maakt.’
Hoe zien jullie het NIS2 Quality Mark dat Samen Digitaal Veilig in licentie heeft in relatie tot ISO-certificeringen en andere normen?
Martijn: ‘Het NIS2 Quality Mark biedt een praktische handreiking, vooral voor kleinere mkb-bedrijven die bijvoorbeeld zonnepanelen installeren of andere kleinschalige activiteiten uitvoeren. ISO 27001 kan voor hen te complex en zwaar zijn. Dit keurmerk werkt met een groeimodel, waarbij je begint met basismaatregelen en naarmate je bedrijf groeit, meer strategisch kunt nadenken over cybersecurity. Het idee is dat je op een laagdrempelige manier kunt beginnen en je organisatie geleidelijk kunt professionaliseren.’
Mark: ‘Het groeipad is wat dit keurmerk onderscheidend maakt. Anderhalf jaar geleden waren er veel losse initiatieven en modellen maar er was geen brede standaard. Het gevaar daarvan is dat zulke modellen niet breed gedragen worden. Het NIS2 Quality Mark probeert dit te ondervangen door een uniforme aanpak te bieden.’
Hoe onderscheidt dit initiatief zich in de markt?
Mark: ‘Het NIS2 Quality Mark is een stap in de goede richting. Het biedt ondernemers een duidelijk kader op strategisch, tactisch, en operationeel niveau. Als dit keurmerk breed wordt geaccepteerd, kan het een landelijk kwaliteitsniveau definiëren, wat belangrijk is voor banken, verzekeraars en andere organisaties die met deze bedrijven werken.’
Martijn: ‘Wat dit initiatief sterk maakt, is de brede steun. Inmiddels zijn er zo’n 86 brancheorganisaties en 200.000 bedrijven bij betrokken. Dit zorgt voor draagvlak en maakt het relevant voor zowel de topsport—zoals ASML—als de breedtesport, oftewel de leveranciers die aan die grote spelers toeleveren.’
Waarom is dit zo belangrijk voor het kleinere mkb?
Martijn: ‘Voor kleine mkb’ers kan een ransomware-aanval vaak het einde van hun bedrijf betekenen. Grotere bedrijven hebben wellicht nog wat meer ruimte om een klap op te vangen. Maar een organisatie met bijvoorbeeld 10 tot 40 medewerkers kan drie tot vier weken stilstand niet overleven.’
Mark: ‘Kleine bedrijven spelen daarnaast een cruciale rol in de keten. Een beveiligingslek bij een kleine leverancier kan grote gevolgen hebben voor een grotere organisatie. Daarom is het essentieel dat ook kleine bedrijven basismaatregelen, zoals twee-factor-authenticatie, implementeren.’
Wat raden jullie mkb’ers aan om morgen al mee te beginnen?
Martijn: ‘Zorg voor goede backups en snapshots. Dit is je reddingsboei als er toch iets misgaat. Daarnaast, als je een hack wilt voorkomen, ga aan de slag met monitoring, detectie en respons. Dit kan al vanaf 10 tot 20 endpoints, en het biedt je een kans om een hack in een vroeg stadium te detecteren en te stoppen.’
Mark: ‘Maak cybersecurity onderdeel van je strategie. Pak bijvoorbeeld een business model canvas en breng je belangrijkste bedrijfsmiddelen in kaart. Denk vervolgens na over hoe je deze het beste kunt beveiligen. Dit legt de basis voor verdere stappen, zoals de maatregelen die Martijn noemde.’
‘We helpen daar graag bij want we zien het als een deel van onze verantwoordelijkheid als bank. We financieren bedrijven, maar we zijn meer dan dat. We bankieren op drie assen: kennis, netwerk, en financiën. We delen kennis over cybersecurity, faciliteren ons netwerk door bedrijven te verbinden en van elkaar te laten leren, en we bieden natuurlijk financiële producten.’