Datect vindt dat iedere IT-omgeving veilig moet zijn, zodat bedrijven zich kunnen focussen op ondernemen. Wij spreken met Managing partner Paul Verhoef over het accepteren van risico’s, het procesmatig inrichten van IT-security en het toegankelijk maken van cybernormen.
In het kort… wat doet Datect?
Paul Verhoef: ‘Wij verkopen geen angst en ik probeer bedrijven niet bang te maken voor allerlei risico’s. Ik zeg altijd dat ik hoop bij te dragen aan de bedrijfscontinuïteit, vooral op het gebied van IT en informatiebeveiliging. Dat is altijd het doel. We focussen ons niet op cyberdreigingen en risico’s, maar op bedrijfscontinuïteit als uitgangspunt.’
Jullie werken voor bedrijven die vallen onder de NIS2 regulering. Dus grote en essentiële bedrijven. Wat zijn dat voor bedrijven?
Verhoef: ‘We zijn sterk vertegenwoordigd in transport en logistiek. We hebben ook veel productiebedrijven als klant, zoals bakkerijen. Maar eigenlijk werken we in bijna alle sectoren in de profitsector, zoals advocaten, notarissen, productiebedrijven, accountants, handel, groothandel en webwinkels.’
Wat doen jullie precies voor deze organisaties?
Verhoef: ‘De kern van ons product of dienst is bedrijfscontinuïteit. We starten altijd met het doel om een Information Security Management System (ISMS) op te zetten. We zorgen ervoor dat IT-processen en -risico’s beheerst worden vanuit een procesmatige aanpak en een managementcyclus. Dit omvat normering, IT-beleid, incident response, security testen en awareness. Het is verrassend hoe vaak IT en IT-security ver van het verantwoordelijke management georganiseerd zijn. Ons doel is om dit management te helpen in control te komen op het gebied van IT-risicomanagement.’
Komt het vaak voor dat klanten naar jullie toe komen nadat ze al een incident hebben meegemaakt?
Verhoef: ‘Helaas wel. Dat zijn vaak de momenten dat het urgent wordt. We hebben klanten gehad die pas na een incident, waarbij ze flinke financiële schade leden, inzagen hoe belangrijk het procesmatig inrichten van IT en IT-security is. Dat zijn vaak de triggers om dan toch wel echt meer vaart achter beveiligingsmaatregelen te zetten.’
Een proactieve aanpak is belangrijk?
Verhoef: ‘Absoluut. Na zo’n incident sturen we direct een incident response team en beginnen met een forensisch onderzoek, wat op zichzelf al kostbaar is, nog los van de schade en de onzekerheid die het met zich meebrengt. We benadrukken altijd dat voorkomen beter is dan genezen, hoewel je natuurlijk nooit klanten de les leest die zich al in een moeilijke situatie bevinden. We bieden hulp en ondersteuning, maar adviseren ook nadrukkelijk over de stappen die ze moeten nemen om toekomstige problemen te voorkomen.’
Hoe kijk jij als expert naar het NIS2 Quality Mark, de trapsgewijze norm voor kleine en middelgrote bedrijven dat SDV in licentie heeft?
Verhoef: ‘Wij zijn daar erg blij mee. Ik was vorig jaar bij de kickstart van Samen Digitaal Veilig en heb daar toen een pleidooi gehouden. Er is veel onzekerheid bij het mkb over wat goed genoeg is en hoe je risico’s goed beheerst. Er is veel onduidelijkheid over wat cybersecuritybedrijven concreet leveren en volgens welke normen ze diensten aanbieden. Een normering kan hier goed bij helpen. Het NIS2 Quality Mark biedt klanten meer zekerheid over wat wij doen en helpt hen aan te tonen dat hun veiligheidsmaatregelen erkend en genormeerd zijn.’
Wat is in jouw perspectief nog meer het voordeel van een dergelijke norm?
Verhoef: ‘Het dicht een gat in de markt voor bedrijven waarvoor ISO’s en NEN’s vaak te complex en kostbaar zijn. Onze klanten zijn bijna allemaal geïnteresseerd in het NIS2 Quality Mark als we het bespreken. Het maakt cybersecurity behapbaar en overzichtelijk, zowel qua tijd als kosten. Vooral voor het mkb is dit een goede stap. Het creëert daarnaast meer bewustzijn over de noodzaak van onderhoud om veilig te blijven werken. Dat is uiteindelijk het doel: continu werken aan de kwaliteit en effectiviteit van het veiligheidssysteem.’
Zijn er ook praktische zaken die je bedrijven sowieso aanraadt?
Verhoef: ‘Het klinkt misschien als een cliché maar wij zeggen altijd, begin met het in kaart brengen welke impact een cyberincident heeft op de onderneming en vertaal dit naar euro’s. Vanuit dit startpunt kun je dan beoordelen welke maatregelen nodig en haalbaar zijn om de impact (dus schade) te beperken.’
‘De volgende stap is het bepalen van je eigen normenkader. Dat is altijd een superinteressante fase, want als wij voor bedrijven hiermee aan de slag gaan zetten we het altijd heel scherp neer: accepteer je het risico of juist niet? Hierbij is er vaak spanning tussen functionaliteit enerzijds en de kosten van securitymaatregelen anderzijds. Door alles systematisch nog eens te evalueren en daar bewuste keuzes in te maken, heb je een fantastisch startpunt.’
Is NIS2 al een thema bij jullie klanten?
Verhoef: ‘Zeker, maar dat komt deels ook wel omdat we dit zelf op de agenda zetten. Maar je merkt dat veel bedrijven – die daar wel al over nadenken – nog niet in de actiemodus staan. Er is nog veel onduidelijkheid, vindt men. De kern is dat je zelf je eigen normenkader opstelt en dat je zorgt dat je in control bent. En dan ga je vanzelf voldoen aan de NIS2-regelgeving. Maar er bestaat nog steeds een beeld dat NIS2 exact voorschrijft wat je iedere dag moet doen om te zorgen dat je aan de wet voldoet. En dat beeld is iets wat we proberen uit de wereld te helpen. Ga zelf aan de slag en laat je helpen door partners.’
Waarin zijn jullie onderscheidend?
Verhoef: ‘Het kenmerk van ons bedrijf is dat we heel pragmatisch zijn, dat wil zeggen dat we de onderneming als uitgangspunt nemen en niet cybersecurity risico’s. Ik werk al zo lang voor het mkb. Dus ik denk dat de wijze waarop wij werken heel goed aansluit bij de behoefte van onze klanten. Onze klanten hebben geen behoefte aan hoogdravende consultancy en dikke rapporten met mooie grafiekjes. Voor sommige partijen is dat nuttig (en dan doen we dat ook), maar veel van onze klanten willen gewoon weten: Wat koop ik? Wat krijg ik? En wat levert het op?’
