De voorzitter van MKB-Nederland, Jacco Vonhof, is een kleurrijk en uitgesproken persoonlijkheid. Hij is het gezicht van het mkb in het publieke debat en spreekt regelmatig namens het mkb met politici en beleidsmakers. Wij intervieweden hem over de aankomende NIS2-wetgeving en het NIS2 Quality Mark.
“Het mkb gaat zeker te maken krijgen met de NIS2”, aldus Vonhof. “Allereerst is er een groep mkb-bedrijven die er rechtstreeks onder valt omdat ze werkzaam zijn in een van de essentiële sectoren. Je kunt dan bijvoorbeeld denken aan bedrijven in de levensmiddelensector of softwarebedrijven. Het gaat dan niet om de kleine bedrijven, maar het middenbedrijf met 50 werknemers of 10 miljoen jaaromzet uit deze sectoren. Die vallen rechtstreeks onder de NIS2. Al deze bedrijven krijgen een zorgplicht en een meldplicht. Dat wil zeggen dat zij passende maatregelen moeten nemen om hun netwerken te beschermen en incidenten moeten melden.”
“Maar daarnaast gaan ook veel andere bedrijven, inclusief kleine bedrijven, met de NIS2 te maken krijgen, omdat zij toeleverancier zijn van een NIS2 bedrijf”, vervolgt Vonhof. “Bedrijven die rechtstreeks onder de NIS2 vallen moeten namelijk ook naar de veiligheid van hun keten kijken. Veel mkb-bedrijven werken als toeleverancier van grotere bedrijven en zullen dus indirect met de regelgeving te maken krijgen, want de NIS-bedrijven zullen eisen gaan stellen aan de digitale beveiliging bij de toeleverancier.”
Lasten moeten worden beperkt
Vonhof maakt zich dan ook zorgen over de druk die op kleine bedrijven gelegd wordt: “De grootste zorgen zijn dat de eisen die op het mkb worden gelegd om de beveiliging op orde te brengen te zwaar zijn en dat het mkb op hoge kosten wordt gejaagd om hieraan te voldoen. Wat wordt gevraagd moet proportioneel zijn. De regelgeving is daarnaast waarschijnlijk pas eind volgend jaar definitief. Maar bedrijven kunnen zo lang niet wachten. Met name het mkb heeft behoefte aan heldere guidance wat, hoe en wanneer men moet doen om te voldoen aan deze regelgeving. Daarbij moeten de administratieve lasten zoveel mogelijk worden beperkt.”
“Zelf ook slachtoffer geweest”
Vonhof benadrukt dat ieder bedrijf ten prooi kan vallen aan kwaadwillende actoren. “Het is al vaak gezegd, maar ieder bedrijf kan slachtoffer worden van cybercriminelen. Veel mkb-bedrijven denken dat zij ofwel niet interessant zijn voor cybercriminelen, ofwel dat zij hun zaken goed op orde hebben want ze hebben het uitbesteed. Helaas laat de praktijk zien dat het toch anders is. Oók bij mkb- bedrijven is er voor cybercriminelen voldoende te halen. Veel bedrijven moeten helaas nog een paar tandjes bijzetten op het gebied van digitale veiligheid. Zelf ben ik met mijn bedrijf ook ooit slachtoffer geweest van een ransomware-aanval. Dat heeft me echt heel veel geld gekost, ook om het bedrijf daarna weer up and running te krijgen.”
NIS2 Quality Mark
Vanuit een aantal brancheorganisaties, Samen Digitaal Veilig en MKB-Nederland is een NIS2 Quality Mark ontwikkeld. Erg belangrijk voor de branches, dus we nemen het op in het Samen Digitaal Veilig platform, stelt Vonhof. “Het NIS2 keurmerk dat wij ontwikkelen is een keurmerk voor de toeleverancier. We nemen de veelal kleine toeleverancier aan de hand zodat zij digitaal weerbaarder worden en NIS2 bedrijven met vertrouwen zaken met hen kunnen doen. Dit keurmerk gaat helpen bij het oplossen van problemen waarbij mkb-bedrijven, die voor meerdere grote klanten werken, geconfronteerd worden met uiteenlopende en mogelijk onevenredige eisen. Voor kleinere ondernemingen kan dit namelijk leiden tot een onevenredig zware last.“
Beeld: Rolf van Koppen Fotografie