Samen Digitaal Veilig is een initiatief van MKB-Nederland en VNO-NCW

Veilig samenwerken
in de keten

Interview Secura: ‘Wetgeving zoals NIS2 maakt duidelijk dat stilstand geen optie is’

Interview Secura

Secura is een onafhankelijk cybersecuritybedrijf uit Amsterdam, opgericht in 2000. Het biedt diensten zoals security management services (audit, advies en training), penetratietesten, red teaming, incident response en crisismanagement en bewustwordingstrainingen, alles gericht op het vergroten van cyberweerbaarheid. Klanten variëren van overheid en gezondheidszorg tot financiële instellingen. Sinds 2021 maakt Secura deel uit van Bureau Veritas, een wereldleider in certificering en inspectie.

Dirk Jan is algemeen directeur van Secura. Met een technische achtergrond en ervaring in de securitysector leidt hij het bedrijf en werkt aan betere cybersecurity in Nederland. Niels is principal security consultant en IT-auditor bij Secura. Hij adviseert over maatregelen, voert audits uit, en ontwikkelt de auditdiensten voor zowel publieke sector als andere sectoren.

Wat zijn veelvoorkomende uitdagingen die jullie tegenkomen bij klanten?
Niels: ‘Veel klanten vragen ons “om hun systeem door te lichten,” maar die vraag is vaak te beperkt. Het gaat om een integrale aanpak waarbij technische en organisatorische maatregelen samenkomen, inclusief aandacht voor menselijk gedrag. Wat we vaak zien is dat klanten audits of tests uitvoeren omdat het “moet,” zonder echt te kijken naar wat nodig is voor hun situatie. Ons werk begint vaak met het verfijnen van die vraag en eindigt met advies over vervolgstappen voor structurele verbetering.’

Dirk Jan: ‘Klanten hebben soms een goed beleid op papier, maar als dat niet wordt nageleefd of vertaald naar de praktijk, is het ineffectief. Wij helpen ze om een compleet beeld te krijgen van hun cybersecurity en om realistische stappen te zetten richting een veiliger organisatie.’

Hoe helpt Secura bij incidenten en crisismanagement?
Dirk Jan: ‘Naast het direct ondersteunen tijdens incidenten, richten we ons op detectie, responsprocedures en crisismanagement. We bieden oefeningen aan waarmee organisaties voorbereid worden op een cybercrisis. Dit omvat niet alleen technische maatregelen maar ook het trainen van personeel en het opstellen van protocollen.’

Niels: ‘Bij audits kijken we verder dan alleen naleving van standaarden. We geven ook advies over hoe bedrijven hun security continu kunnen verbeteren. Ons doel is om bedrijven niet alleen te helpen met het hier en nu, maar ze ook klaar te maken voor de toekomst.’

Hebben jullie het idee dat de urgentie rondom cyberveiligheid is toegenomen?
Dirk Jan: ‘Dat hangt af van de sector. Grote gemeenten beginnen nu meer aandacht te besteden aan hun hele cyberweerbaarheid, door bijvoorbeeld hun dreigingsprofiel in kaart te brengen en passende maatregelen te treffen. Maar bij kleinere gemeenten zie je soms nog een afwachtende houding.’

Niels: ‘Grotere instellingen kunnen zich niet veroorloven om passief te blijven, mede dankzij nieuwe regelgeving zoals de NIS2 richtlijn. Professionele partijen zijn vaak al beter voorbereid, maar er is een grote groep tussen de professionele en de achterblijvers in, zoals gemeenten en de zorgsector. Ze doen het nodige, zoals een jaarlijkse pentest of het opstellen van beleid, maar bij een onafhankelijke beoordeling zien we vaak toch nog hiaten en kwetsbaarheden. Dit maakt ze vatbaar voor hackers, zelfs als ze denken dat ze redelijk op orde zijn.’

Hoe staat het met de cyberweerbaarheid in het mkb?
Niels: ‘In het mkb kan de weerbaarheid beter. Veel bedrijven denken dat ze te klein zijn om een doelwit te zijn of vertrouwen volledig op hun IT-provider. Sommige van deze bedrijven kunnen misschien een maand downtime verdragen, maar veel anderen vormen een kritieke schakel in de keten van leveranciers of klanten. Hierdoor brengen ze maatschappelijk gezien risico’s met zich mee. Het vergroten van de weerbaarheid in het mkb is daarom cruciaal.’

Dirk Jan: ‘We zien dat IT-providers een steeds grotere verantwoordelijkheid krijgen om deze bedrijven te ondersteunen. Van een organisatie met slechts vijf tot honderd medewerkers kun je niet verwachten dat ze een volledig securityteam in huis hebben. Initiatieven zoals het NIS2 Quality Mark helpen hier, omdat ze een standaard bieden en een deel van die verantwoordelijkheid verschuiven naar leveranciers.’

(Dirk Jan, algemeen directeur Secura)

Waar liggen wat jullie betreft de grootste uitdagingen in het verbeteren van cyberweerbaarheid?
Niels: ‘De grootste uitdaging ligt in het integreren van technische en organisatorische maatregelen, samen met menselijk gedrag. Het beleid kan nog zo goed zijn, maar als het niet wordt nageleefd, blijven er kwetsbaarheden. Veel bedrijven doen wat nodig is om te voldoen aan eisen, maar missen het overzicht van wat echt nodig is voor hun specifieke situatie.’

Dirk Jan: ‘Er is ook een culturele kant. Sommige organisaties zien cybersecurity nog steeds als iets dat moet, in plaats van een essentieel onderdeel van hun bedrijfsvoering. Ons werk is om hen te helpen die mindset te veranderen en te laten zien dat investeren in weerbaarheid geen kostenpost is, maar een strategische keuze.’

Kun je eens verder inzoomen op ketenveiligheid?
Dirk Jan: ‘Bij board-room trainingen rondom NIS2 komt het onderwerp ketenveiligheid vaak aan bod. Organisaties worden zich bewust van vragen zoals: Wie zijn onze kritieke leveranciers en wat doen we eigenlijk aan hun beveiliging? Vaak zien we dat bedrijven dit contractueel afdekken of een certificaat ontvangen en aannemen dat alles goed zit. Maar een certificaat op zich vertelt lang niet alles, en een contract biedt ook geen garantie.’

‘Je moet dieper kijken naar de scope van het certificaat, hoe recent het is en of het daadwerkelijk weerspiegelt wat er in de organisatie gebeurt. Zelfs crisisoefeningen over de keten heen kunnen nuttig zijn. Stel dat een leverancier uitvalt, wat zijn dan de gevolgen en hoe gaan we daar samen mee om? Het hele keten-denken staat nog in de kinderschoenen, maar er is veel werk te doen.’

Niels: ‘Dat klopt helemaal. Daarom is ketenveiligheid ook een belangrijke focus binnen initiatieven zoals Samen Digitaal Veilig. Het is essentieel dat niet alleen de grote spelers maar ook de kleinere leveranciers hun verantwoordelijkheid nemen.’

Hoe kijkt Secura naar het NIS2 Quality Mark, de cybernorm specifiek bedeld voor kleinere organisaties?
Dirk-Jan: ‘Het NIS2 Quality Mark voorziet in een duidelijke behoefte. Voor kleinere partijen in de keten, zoals mkb’s die toeleveren aan essentiële bedrijven, is een volledige ISO 27001-certificering vaak te zwaar om mee te beginnen. Het Quality Mark biedt een basisset van eisen waaraan deze partijen moeten voldoen, wat een goed startpunt is.’

‘Daarnaast is het een groeimodel: bedrijven die in het eerste jaar aan de norm voldoen, moeten in het tweede jaar meer doen om aan aanvullende normen te voldoen. Dit stimuleert continue verbetering en maakt het mogelijk voor kleinere partijen om hun cyberweerbaarheid stap voor stap te verhogen. Het is meetbaar en aantoonbaar naar klanten toe, wat vertrouwen wekt in de keten.’

Niels: ‘Het NIS2 Quality Mark is een mooie opstap, maar het is geen einddoel. Als je je echte risico’s wilt aanpakken, moet je verder gaan dan alleen deze basisnormen. Het biedt een solide begin, maar organisaties moeten blijven groeien in hun securitymaatregelen om hun risico’s echt te minimaliseren. Het belangrijkste is dat het een toegankelijk pad biedt voor kleinere bedrijven die anders niks zouden doen aan cybersecurity. Het verlaagt de drempel om met cybersecurity te beginnen.’

(Niels, principal security consultant IT-auditor bij Secura)

Niels en hoe kijk jij naar het NIS2 Quality Mark specifiek vanuit jouw expertise als Certified Auditor?
Niels: ‘Mijn eerste gedachte was dat het te klein was. Een ISO-certificering zien wij vaak als een basisniveau, maar het Quality Mark is een vereenvoudiging van deze standaard met checklisten en een beperkte selectie van normen. Ik was eest wat sceptisch, maar zie het nu als een opstap naar ISO-certificering. Voor kleinere organisaties zonder middelen biedt het een laagdrempelig startpunt.’

‘De voordelen zijn duidelijk: bedrijven die anders niets zouden doen, kunnen nu beginnen en jaarlijks verbeteren. En het is belangrijk dat je rekening houdt met de risico’s die een specifieke organisatie loopt. Een klein softwarebedrijf dat cruciale tools levert in een keten heeft zwaardere maatregelen nodig dan een kleine transportonderneming.’

Kan NIS2 een katalysator zijn voor meer cyberweerbaarheid, vooral in het mkb?
Niels: ‘Zeker. Hoewel mkb-bedrijven niet rechtstreeks NIS2-plichtig zijn, zullen hun grotere klanten eisen stellen. Dat zet hen onder druk om basisnormen zoals het NIS2 Quality Mark te halen. Grote organisaties kiezen er soms voor om hun kleinere leveranciers te helpen hun beveiliging op orde te krijgen, terwijl anderen samenwerking stopzetten. NIS2 biedt zo een broodnodige impuls.’

Wat zie jij hier als grootste uitdagingen voor mkb-bedrijven?
Niels: ‘De beperkte middelen van kleinere bedrijven vormen een grote uitdaging. Veel mkb’ers kiezen ervoor om af te wachten, wat hen kwetsbaar maakt. In sectoren zoals overheid en zorg, waar de volwassenheid lager ligt, zijn de risico’s groter. Kleine leveranciers spelen vaak een cruciale rol; een incident bij hen kan een hele keten ontwrichten.’

Wat kan dan het effect zijn van kwetsbaarheden bij kleine leveranciers?
Niels: ‘Kleine leveranciers worden vaak niet als kritiek gezien, terwijl een probleem bij hen grote gevolgen kan hebben. Denk aan een ICT-bedrijfje dat een planningstool voor zorginstellingen levert. Een hack kan betekenen dat personeel niet ingepland kan worden, met directe impact op de zorgverlening. Zulke risico’s tonen het belang van ketenbewustzijn.’

En NIS2 helpt om deze risico’s te adresseren?
Niels: ‘Ja, NIS2 dwingt organisaties om risicogebaseerd te werken, bestuursverantwoordelijkheid te nemen en ketenbeheer te verbeteren. Dit creëert een stimulans voor cybersecurity, ook in het mkb. Wetgeving zoals NIS2 maakt duidelijk dat stilstand geen optie is. En of mensen nu willen of niet, het mkb zal zich aanpassen aan de eisen van grotere klanten. Beginnen met een eenvoudig norm zoals het Quality Mark kan een goede eerste stap zijn. De komende jaren zijn cruciaal, waarbij wetgeving en intrinsieke motivatie samen het verschil moeten maken.’

Dirk Jan: ‘Het mooie van NIS2 is dat het organisaties dwingt om integraal na te denken over cybersecurity. De menselijke factor wordt geadresseerd, de governance, de technische aspecten, de aantoonbaarheid, en dat over de keten heen. NIS2 stelt geen overbodige eisen. Als het wordt gebruikt om daadwerkelijke risico’s te adresseren, dan zal zeker bijdragen aan een veiliger maatschappij.’ 

50.000 mkb-bedrijven kunnen met NIS2 te maken krijgen
Beginnen aan de NIS2? Check de NIS2 Cheat Sheet
Wat hebben NIS2 en DORA met elkaar te maken?
Legian: ‘Je draait je voordeur ook automatisch op slot. Cybersecurity moet net zo vanzelfsprekend zijn’
‘Beursgenoteerde bedrijven proberen hacks vaak stil te houden. Maar ik wil dat het taboe doorbroken wordt’