De nieuwe cybersecuritywet NIS2 komt eraan. Tijdens een bijeenkomst, georganiseerd door MKB-Nederland en IVBB, was dit hét gespreksonderwerp. De focus lag op het delen van inzichten door gerenommeerde experts van diverse branches en achtergronden. Bovendien werd het nieuwe NIS2 Quality Mark gepresenteerd, wat een gamechanger kan zijn voor digitale veiligheid.
Cybersecurity bepaalt dagelijks het nieuws, ook bij RTL4, vertelt dagvoorzitter Antoin Peeters. Ze hebben zelf een speciale journalist aangenomen omdat er zoveel gebeurt in de wereld van cybersecurity. Alle bedrijven moeten op scherp staan anders worden ze gehackt. En vandaag gaan we ook hier iedereen op scherp zetten voor de nieuwe wet, NIS2”, aldus Peeters.
Samenwerken
Antoin introduceert gastheer Jacco Vonhof. De voorzitter van MKB-Nederland is onder de indruk van de opkomst. Dat zegt iets over de urgentie van het onderwerp vindt hij.
Het hele bedrijfsleven moet samenwerken om weerbaarder te worden en daar kan de NIS2 wet bij helpen. Ondanks dat mkb-bedrijven niet specifiek in de wet worden benoemd, waarschuwt hij: de meeste van hen gaan hier wel degelijk mee te maken krijgen. Dat komt door de NIS2 ketenzorgplicht waarbij NIS2 bedrijven niet alleen zelf maatregelen moeten nemen, maar ook verantwoordelijk zijn voor de veiligheid in hun toeleveringsketen. Het risico hierbij is dat ze zware de maatregelen gaan opleggen aan hun leveranciers, en dat zijn veelal mkb-bedrijven. MKB-Nederland kiest ervoor om hier niet op te wachten maar om zelf – samen met haar achterban – aan de slag te gaan: met Samen Digitaal Veilig en een onafhankelijk NIS2 Quality Mark opgezet vanuit de markt.
Handelingsperspectief
Coen van den Berg van IVBB vertelt vervolgens over het ontstaan van Samen Digitaal Veilig en hoe het handelingsperspectief biedt voor verschillende branches. Het platform is twee jaar geleden ontwikkeld om mkb-bedrijven praktische hulp te bieden om digitaal veiliger te worden. En daar wordt door de branches graag gebruik van gemaakt.
Nadat duidelijk werd dat NIS2 in 2024 van kracht wordt, rees de vraag of het SDV-platform ook hier een rol kon gaan spelen. Wat volgde waren gesprekken met branches, marktpartijen en onderzoek door de Haagse Hogeschool. Er werd gekeken naar normen, standaarden, scans en audits. Met steeds als doel: hoe kunnen we NIS2 begrijpelijk en behapbaar maken voor mkb-bedrijven? Het resultaat: een NIS2 Quality Mark en de doorontwikkeling van het SDV-platform om bedrijven in staat te stellen het keurmerk te halen.
Haalbaar voor MKB? Veel uitdagingen
Iris Schuitemaker (Directeur Stichting Projecten MKB-Nederland) neemt het stokje over en licht de belangrijkste punten van NIS2 toe. Ze benoemt speciaal de plichten op het gebied van risicoanalyse, de melding van incidenten en de te nemen maatregelen. Elk bedrijf kan checken of het aan NIS2 moet voldoen met een speciaal ontwikkelde tool van de Rijksinspectie Digitale Infrastructuur en DTC.
De wet is duidelijk over de essentiële en belangrijke bedrijven. Maar het als gaat om het mkb zijn er nog veel vragen: Waar moet ík precies aan voldoen? Wie gaat me daarbij helpen? Wat gaat dat kosten? De ketenzorgplicht zorgt voor veel druk bij mkb’ers. Het onderzoek laat zien dat normen zoals ISO veel te zwaar zijn. En eigenlijk zijn er geen normen die daaronder zitten. Dat basisidee is opgepakt en wordt nu vertaald naar een NIS2 Quality Mark met drie levels. Het doel: NIS2 haalbaar maken voor mkb’ers die vanuit de toeleveringsketen meet te maken gaan krijgen.
Dynamiek in de toeveringsketen
De toeleveringsketen bestaat uit een reeks stappen en entiteiten die betrokken zijn bij het leveren van producten of diensten aan eindgebruikers. In het kader van NIS2 omvat de toeleveringsketen vaak leveranciers, fabrikanten, distributeurs en serviceproviders die essentieel zijn voor de continuïteit van kritieke diensten.
Organisaties moeten de risico’s binnen de toeleveringsketen van hun directe leveranciers identificeren en beoordelen. Contracten met leveranciers moeten duidelijke afspraken bevatten over de beveiliging van netwerk- en informatiesystemen. Leveranciers moeten verplicht worden om veilig te werken. Er moeten ook mechanismen zijn voor het rapporteren van beveiligingsincidenten binnen de toeleveringsketen.
Organisaties moeten dus plannen ontwikkelen om de continuïteit van kritieke diensten te waarborgen, zelfs bij verstoringen binnen de toeleveringsketen.
Techniek Nederland Remco van der Linden
De kans op een cyberincident is 1 op 5. Vergelijk dat eens met de kans op brand (1 op 8.000) of een inbraak (1 op 250). En toch vinden we het heel gewoon om onze voordeur op slot te doen maar hebben we minder aandacht voor onze digitale sloten, aldus Remco van der Linden van brancheorganisatie Techniek Nederland. Hij is verantwoordelijk voor digitalisering en ervaringsdeskundige als het gaat om ISO-normering en weet: ISO is te zwaar voor veel van de leden. Hij pleit dan ook voor concrete en praktische dienstverlening en een andere, lagere norm voor bedrijven die kleiner zijn en minder risico lopen.
Remco vult aan dat Techniek Nederland zich als een van de eerste branches heeft aangesloten bij Samen Digitaal Veilig. Veel leden maken gebruik van de basisversie met onlinevideo’s en vragenlijsten. Dit bevalt zo goed dat de brancheorganisatie onlangs de uitgebreide Plusversie heeft aangeschaft voor alle leden. Nu NIS2 eraan komt zal ook hiervoor het SDV-platform worden ingezet. Sterker nog, Remco ziet een kans om vanuit zijn branche ook inhoudelijk waarde aan het platform toe te voegen. In de techniekbranche wordt niet alleen met IT maar ook met OT, Operationele Technologie, gewerkt. Zo snijdt het mes aan twee kanten.
Normen in de praktijk
Robert van Vianen is partner bij BDO en is daar al meer dan 12 jaar verantwoordelijk voor cybersecurity. In die hoedanigheid adviseert hij grote en kleine ondernemingen over digitale veiligheid. Daarnaast is hij voorzitter van de Nederlandse ISO/NEN normcommissie. In die rol probeert hij juist het aantal normen te verminderen. Hij vindt het belangrijk dat bestuurders en directeuren begrijpen wat NIS2 inhoudt. Zij moeten dit niet overlaten aan anderen maar zelf cybersecuritytraining krijgen. Het is belangrijk om aantoonbaar bezig te zijn met digitale veiligheid, ook al kan niet alles binnen het eerste jaar naar 100% worden gebracht.
Op dit moment krijgt Robert veel vragen over wat kleine en middelgrote bedrijven moeten doen om aan NIS2 te voldoen. Tegelijkertijd zijn veel grote bedrijven geneigd om de ISO-normen in hun voorwaarden op te nemen. Robert raadt hen aan om leveranciers in te delen in verschillende risicocategorieën en bij elke categorie passende veiligheidsmaatregelen te nemen. Hij ziet de voordelen van een NIS2 Quality Mark omdat je dan makkelijker afspraken kunt maken met de toeleveranciers. Verder benadrukt hij dat je niet moet wachten en nu al moet beginnen met het identificeren van je leveranciers. Andersom geldt dat ook voor mkb-bedrijven: begin nu al het gesprek met je grote klanten.
Ondersteuning, samen, praktisch en persoonlijk
Ten slotte introduceert Ron Vermeulen van IVBB het partnermanagementteam, dat zal samenwerken met de brancheorganisaties om NIS2 en het NIS2 Quality Mark aan de leden te introduceren. Hij benadrukt dat de communicatie hierover moet aansluiten bij ondernemers, dus alles in begrijpelijke taal en gericht op praktische hulp.
Als een bedrijf aan de slag gaat met het halen van het NIS2 Quality Mark, is de eerste stap een persoonlijke sessie met een NIS2 ondersteuner. Daarnaast zijn er maandelijks invulwebinars en is er een supportdesk. Ron laat alvast wat schermen zien van de nieuwe NIS2 Quality Mark oplossing. Daarbij valt op dat er wordt gewerkt met praktische hulpmiddelen en toelichtingsdocumenten.
Ook de kant van de NIS2-bedrijven wordt belicht. Ron laat zien hoe je leveranciers kunt indelen in risicoklassen. Aan de hand daarvan wordt automatisch de daarbij behorende vragenlijst gestuurd. De resultaten worden getoond in een overzichtelijk dashboard. Een ander belangrijk onderdeel is de meldplicht die je via het platform kunt sturen als er een incident is. En dus ook ontvangen.
De bijeenkomst eindigt met vragen en antwoorden, waarbij verschillende aspecten van NIS2 en het NIS2-keurmerk werden besproken, evenals de verantwoordelijkheden van bedrijven ten aanzien van hun leveranciers en het belang van communicatie in begrijpelijke taal. Deelnemers werden aangemoedigd om proactief aan de slag te gaan met hun cybersecurity-maatregelen en te kijken hoe het NIS2-keurmerk kan helpen bij het verbeteren van digitale veiligheid.
