Samen Digitaal Veilig is een initiatief van MKB-Nederland en VNO-NCW

Veilig samenwerken
in de keten

Legian: ‘Je draait je voordeur ook automatisch op slot. Cybersecurity moet net zo vanzelfsprekend zijn’

Interview Legian

Legian biedt diensten aan op het gebied van Infrastructure, Cybersecurity, Cloud en Business & IT Alignment. Het bedrijf biedt consultancy, implementatie, professional – en detachering services aan, zonder zelf hardware of software te leveren. Binnen cybersecurity richt Legian zich op governance, risk and compliance, IT- en OT-beveiliging, en ondersteunt het organisaties bij het naleven van richtlijnen zoals NIS2. Jan Meijroos spreekt Dick Hoogendoorn en Nandenie Moenielal.  

Nandenie Moenielal is business developer en strategisch adviseur bij Legian. Sinds haar start in 2019, na eerdere ervaring bij onder andere KPN Security, richt zij zich op het uitbreiden van de dienstverlening, het vormgeven van een toekomstvisie en het ontwikkelen van nieuwe samenwerkingen.

Dick Hoogendoorn maakt sinds 1996 deel uit van Legian en vormt samen met Marcel Paardekooper de directie. Hij richt zich als CTO op de inhoud, dienstverlening en business development, terwijl Paardekooper de financiële en commerciële kant beheert.

Als je Legian zou moeten ‘verkopen’ aan klanten, wat is in het kort jullie elevator pitch?

Dick: ‘Heel kort? Wij zijn een onafhankelijke kennispartner die alleen IT-diensten levert en geen hardware of software verkoopt. De iets langere variant is dat Legian vier takken van dienstverlening kent: Infrastructure, Cybersecurity, Cloud en Business & IT Alignment.

Security is tegenwoordig een veel breder vakgebied dan vroeger. Kunnen jullie uitleggen hoe jullie daarin samenwerken met andere partijen?

Nandenie: ‘We geloven sterk in samenwerking met partners die ons aanvullen met hun diensten en services. Vragen van opdrachtgevers hebben vaak een multidisciplinair karakter, dus werken we regelmatig samen met partners om oplossingen te leveren die aansluiten op de behoeften van onze opdrachtgevers. We richten ons niet op offensive security zoals pentesting, maar we doen wel veel assessments, zoals technische en risk assessments. Als een opdrachtgever vervolgens een pentest wil laten uitvoeren, verwijzen we hen door naar partners uit ons netwerk waar we volledig achter staan.’

Cybercriminaliteit is aan de orde van dag. Aanvallen lijken steeds vaker in het nieuws te komen. Is dat omdat hackers slimmer zijn geworden, of lezen we er gewoon meer over?

Dick: ‘Het gebeurt al langer, maar het grote verschil is dat cybercriminaliteit nu een verdienmodel is geworden. Steeds meer mensen zien de mogelijkheden om hier heel veel geld mee te verdienen. Neem ransomware als voorbeeld: veel bedrijven besluiten uiteindelijk toch te betalen, wat het een zeer lucratieve business maakt.’

Nandenie: ‘Daarnaast is de wereld complexer geworden. Bedrijven zijn steeds meer verweven met elkaar. Als één bedrijf geraakt wordt, heeft dat gevolgen voor alle partijen in de keten. Die impact komt nu meer aan het licht dan vroeger.’

Vaak hoor je de uitspraak: “Het is niet de vraag óf je gehackt wordt, maar wanneer.” Onderschrijven jullie dat?

Dick: ‘Ja, dat is helaas realiteit. Kijk naar de enorme hoeveelheid hacks die dagelijks plaatsvinden. Statistisch gezien zullen er altijd een paar raak zijn. Wat veel mensen niet beseffen, is dat hackers vaak maandenlang onopgemerkt in systemen kunnen zitten voordat ze toeslaan.’

De NIS2 richtlijn is in het leven geroepen om Europa juist weerbaarder te maken tegen cybercrime. Op jullie website bieden jullie een NIS2-check aan. Merken jullie dat klanten hiermee bezig zijn?

Nandenie: ‘Jazeker. De vragen rondom NIS2 zijn in de loop van de tijd concreter geworden. Organisaties willen niet alleen weten wat het inhoudt, maar ook wat het voor hen betekent en welke stappen ze moeten zetten. We zien gelukkig steeds meer organisaties die nu al aan de slag willen. Tegelijkertijd zijn er ook veel zijn die zich nog oriënteren en aftasten wat het inhoudt.’

(Dick Hoogendoorn, CTO en directeur bij Legian)

Hoe helpen jullie bedrijven over die drempel?

Nandenie: ‘Onze gesprekken draaien vaak om de vraag waarom ze nu niet in actie komen. Voor veel kleinere organisaties zijn andere zaken urgenter. Zo hadden wij laatst een gesprek met een organisatie in het Westland. Zij hebben momenteel niet de juiste kennis of resources in huis om hierin op te schakelen. Ook speelt bij hen de vraag in hoeverre een NIS2-verplichting opweegt tegen hun businessprioriteiten. Juist daarom is het belangrijk om hen nu te ondersteunen. Het gaat om bewustwording en het wegnemen van drempels, zodat ze de eerste stappen kunnen zetten.’

Dick: ‘De populariteit van onze NIS2-check toont aan dat er een grote behoefte is aan duidelijkheid, kennis en begeleiding. Veel kleine bedrijven weten gewoonweg niet waar ze moeten beginnen. Onze workshops en trainingen helpen hen een beter begrip te krijgen van wat NIS2 inhoudt en wat de impact op hun organisatie is. Uiteindelijk is het aan hen om te beslissen hoe ze verdergaan, maar wij bieden bedrijven graag de handvatten om te starten.’

Wat voor organisaties komen naar jullie toe?

Dick: ‘Het zijn vooral de grotere mkb-bedrijven. Bijvoorbeeld toeleveranciers van supermarkten. Het zijn geen eenpitters of bedrijven met slechts zes werknemers. Het gaat vaak om organisaties waar security niet van nature een prioriteit is, maar door externe eisen, zoals NIS2, en de toenemende dreiging wordt het wel steeds urgenter voor hen.

Nandenie: ‘Zowel bestaande als nieuwe opdrachtgevers nemen contact op om te vragen of NIS2 op hen van toepassing is of wat de concrete impact is. Het blijft een abstract onderwerp, bijna juridisch. Cybersecurity is complex omdat het niet tastbaar is zoals een kabel of een server.

Wat vragen ze dan aan jullie?

Nandenie: ‘Voor bestaande opdrachtgevers, waar we vaak al professionals hebben gedetacheerd, komt de vraag meestal neer op: hoe verhoudt NIS2 zich tot wat we al doen? Dat vraagt om advies op een ander niveau. Maar organisaties waar security niet op de bestuursagenda stond weten ons ook te vinden. Deze bedrijven vragen om hulp om te voldoen aan de eisen, en dat brengt weer nieuwe uitdagingen met zich mee.’

Dick: ‘Vooral kleinere bedrijven hebben vaak beperkte middelen en kennis. Daar moeten we een andere aanpak hanteren. Workshops en trainingen die we geven, helpen hen op weg, maar de volgende stap, zoals prioriteren en een plan van aanpak maken, is vaak een uitdaging voor deze groep.’

Jullie dienstverlening beslaat grofweg drie hoofdgebieden: Governance, risk and compliance, IT-security en OT-security. Hoe ziet dat er in de praktijk uit bij organisaties die bijvoorbeeld een fabriek én een kantooromgeving hebben?

Nandenie: ‘Vaak begint het met één behoefte, bijvoorbeeld een assessment of het invullen van een specifieke rol via onze detachering services. Vanuit die eerste vraag ontstaat er inzicht. Dat leidt vaak tot het ontdekken van risico’s die ze eerder over het hoofd zagen, zoals risico’s rondom de procesautomatisering (OT), maar ook kansen.’

(Nandenie Moenielal is business developer en strategisch adviseur bij Legian)

Zie je vaak dat vanuit IT-security de focus vervolgens verschuift naar OT-security?

Nandenie: ‘Absoluut. IT-managers zijn vaak al vrij goed op de hoogte van wat er nodig is op het gebied van security. Aan de OT-kant zie je vaak dat dit minder ontwikkeld is. Die wereld is van nature wat minder security-minded, waardoor daar meer werk nodig is om bewustwording te creëren.’

Dick: ‘De uitdaging zit hem vaak in het feit dat IT en OT aparte afdelingen zijn die anders denken en werken. Het vraagt tijd en dialoog om die werelden samen te brengen, zowel qua processen als cultuur. Daarin kunnen wij echt een verschil maken door de brug te slaan tussen beide.’

Jullie doen ook aan NIS2 compliance en de bekende ISO 27001-certificering. Hoe kijken jullie naar het NIS2 Quality Mark dat speciaal voor het MKB ontwikkeld is?

Dick: ‘Voor veel MKB-bedrijven is ISO 27001 simpelweg te zwaar. Het is een kostbare en tijdrovende certificering. Het NIS2 Quality Mark, dat focust op basishygiëne in cybersecurity, kan juist een uitkomst zijn. Het biedt kleinere bedrijven een haalbare manier om aan te tonen dat ze aan bepaalde normen voldoen en geeft hun klanten een gevoel van zekerheid.’

Nandenie: ‘De checklist die in het keurmerk zit, bevat inderdaad logische basiseisen, zoals zorgen dat beleid op orde is en een IT-plan hebben. Het feit dat een grote groep MKB-bedrijven dit nog niet geregeld hebben, blijft opvallend.

Hoe verklaren jullie dat sommige MKB-bedrijven die basiscyberhygiëne niet hebben?

Dick: ‘Het heeft vaak geen prioriteit. Deze bedrijven zijn druk bezig met hun kernactiviteiten, zoals hun product of dienst, en besteden weinig aandacht aan wat zij zien als randzaken. Daarnaast hebben ze meestal geen grote accountantskantoren zoals Deloitte of KPMG, maar een klein administratiekantoor dat hier niet op stuurt.’

Nandenie: ‘Wat wij ook vaak zien, is dat bedrijven vertrouwen op hun IT-beheerder en denken dat alles geregeld is. Maar als je met hen in gesprek gaat en vraagt naar risico’s of kroonjuwelen, beseffen ze dat ze zelf ook verantwoordelijk zijn en meer moeten doen dan alleen op de blauwe ogen van hun IT-beheerder vertrouwen.’

Even terug naar het NIS2 Quality Mark. Deze norm is bedoeld om op een laagdrempelige manier bedrijven in beweging te krijgen. Hoe zien jullie dat?

Nandenie: ‘Ik denk dat het NIS2 Quality Mark een perfecte opstap is voor bedrijven waarvoor een zware certificering zoals ISO 27001 niet haalbaar is. Vooral de QM10 en QM20 zijn goed te behappen voor kleinere bedrijven. Maar wat belangrijk is: je bent niet klaar na dat eerste certificaat. Continu verbeteren, zoals vastgelegd in de plan-do-check-act-cyclus, is essentieel.

Dick: Precies. Wij zeggen altijd: kies een framework, of dat nu ISO, NIS2 QM of een andere is, en begin. Het draait om veiligheid, aantoonbaarheid en het nemen van stappen, niet om perfectie. Het doel is niet alleen om klanten en stakeholders gerust te stellen, maar vooral om je eigen organisatie weerbaar te maken.

Wat zouden jullie tenslotte bedrijven nog willen meegeven?

Nandenie: ‘Je hoeft niet alles tegelijk te doen en je hoeft niet het beste jongetje van de klas te zijn. Begin klein, bijvoorbeeld met de QM10 van het NIS2 Quality Mark.

Dick: ‘Voor mij draait het om intrinsieke motivatie. Denk ook aan jezelf. Hoe houd je je organisatie gezond en veilig? Je draait je voordeur ook automatisch op slot. Cybersecurity moet net zo vanzelfsprekend zijn.’

Nandenie: ‘Bedrijven moeten beseffen dat NIS2-eisen door alle bedrijfsprocessen heen werken, zoals bij security-eisen in inkoopcontracten en ketenafhankelijkheden. De ketenzorgplicht wordt cruciaal: organisaties moeten niet alleen naar klanten, maar ook naar toeleveranciers kijken. Standaardisatie helpt hierbij. Door processen en maatregelen te standaardiseren, voorkom je dat je telkens moet inspelen op aanvullende eisen. Alles wat je implementeert, moet bovendien auditeerbaar zijn. Zorg vanaf het begin voor een goede inrichting, haal de juiste kennis in huis en voorkom dubbel werk.’

50.000 mkb-bedrijven kunnen met NIS2 te maken krijgen
Beginnen aan de NIS2? Check de NIS2 Cheat Sheet
Wat hebben NIS2 en DORA met elkaar te maken?
Interview Secura: ‘Wetgeving zoals NIS2 maakt duidelijk dat stilstand geen optie is’
‘Beursgenoteerde bedrijven proberen hacks vaak stil te houden. Maar ik wil dat het taboe doorbroken wordt’