Simac is een Nederlands familiebedrijf dat al meer dan 50 jaar bestaat en vestigingen in zeven Europese landen heeft. Het bedrijf heeft momenteel 19 werkmaatschappijen, met een sterke focus op veilige IT-dienstverlening. Simac Cyber Security richt zich specifiek op cybersecurity dienstverlening. Het is volgens het bedrijf een bewuste keuze geweest om dat naast Simac IT Nederland op te zetten. Cybersecurity redacteur Jan Meijroos spreekt met Director Sales & Marketing Klaas Sytze de Jong over basis cyberhygiëne, het NIS2 Quality Mark en persoonlijke aansprakelijkheid voor directie.
Waarom hebben jullie een aparte cybersecurity-tak opgericht?
Klaas Sytze: ‘Het is essentieel om een duidelijke scheiding van taken en verantwoordelijkheden tussen IT en cybersecurity te hebben om klanten optimaal beschikbaar en veilig te houden. We maken daarbij gebruik van de kracht van de specialisaties van de afzonderlijke werkmaatschappijen om op die manier op zowel IT als security dé betrouwbare partner te zijn voor onze klanten.’
Wat is jouw rol binnen Simac Cyber Security en met wat voor klanten werken jullie?
Klaas Sytze: ‘Ik ben verantwoordelijk voor sales en marketing bij Simac Cyber Security. We hebben een tweekoppig management waarbij mijn collega Robbert Vriens verantwoordelijk is voor de algemene zaken en operatie en ik me focus op sales en marketing. Onze klanten komen uit diverse sectoren zoals overheid, industrie en hospitality, maar de grootste sectoren voor ons zijn retail en zorg.’
Bedienen jullie ook kleinere klanten of alleen grotere organisaties?
Klaas Sytze: ‘Onze focus ligt voornamelijk op de bovenkant van het mkb en grotere organisaties. Wij hebben onze organisatie ingericht op bedrijven met een omvang vanaf zo’n 200 medewerkers tot en met vele duizenden medewerkers.’
Hoeveel collega’s houden zich bezig met security bij Simac?
Klaas Sytze:‘We hebben in totaal ruim 1200 medewerkers, en hoewel security in alle rollen terugkomt, zijn het natuurlijk niet allemaal specialisten op dat vlak. We hebben enkele tientallen collega’s die zich securityspecialist mogen noemen.’
Wat is nu het verschil in taken tussen Simac IT NL en Simac Cyber Security?
Klaas Sytze: ‘Simac IT NL levert een zeer breed scala aan IT-diensten, gericht op het ontwikkelen, leveren en beheren van een veilige IT-omgeving voor onze klanten. Simac Cyber Security richt zich meer op het bewaken van de gehele IT-omgeving en het detecteren en ingrijpen bij afwijkende activiteit. Dit vertaalt zich in diensten als security monitoring, incident response (digitale brandweer) en advisering. Daarnaast hebben we ook security awareness dienstverlening omdat de menselijke factor een cruciale rol speelt in de veiligheid van een organisatie.’
Hoe belangrijk is security awareness?
Klaas Sytze: ‘Heel belangrijk. Goedbedoelende medewerkers worden nog steeds slachtoffer van phishing aanvallen. Wij streven ernaar om de medewerkers de eerste verdedigingslinie van de organisatie te maken. We bieden daarom e-learning en phishing simulatie dienstverlening om medewerkers bewust te maken van hun rol in het waarborgen van cybersecurity.’
Kun je ons iets vertellen over de dagelijkse werkzaamheden binnen de Managed Detection and Response (MDR) dienstverlening van Simac en hoe jullie je daarmee onderscheiden in de markt?
Klaas Sytze: “Elke dag monitoren wij vanuit ons SOC continu de IT-omgevingen van onze klanten op verdachte activiteiten, waarbij we gebruik maken van geavanceerde tools en threat intelligence. Ons team analyseert security events in realtime en reageert direct op potentiële bedreigingen. Wat ons echt onderscheidt is onze proactieve aanpak; we gaan verder dan alleen reageren. We werken nauw samen met onze klanten om hun digitale beveiliging voortdurend te verbeteren en hun omgeving te versterken tegen toekomstige dreigingen. Door slim in te zetten op verregaande automatisering en gebruik te maken van AI hebben onze security analisten maximaal tijd voor proactief zoeken naar verdachte activiteit en complexe analyse. Bovendien biedt Simac een persoonlijke benadering, waarbij we niet alleen de techniek, maar ook de bedrijfsprocessen van onze klanten begrijpen, zodat we écht maatwerk kunnen leveren.’
De NIS2 richtlijn wordt steeds relevanter. Hoe wordt dit ontvangen door jullie klanten?
Klaas Sytze: ‘De NIS2 richtlijn begint bij een aantal van onze klanten te leven. Wij hebben hierover een whitepaper geschreven en vorig jaar al een event georganiseerd om onze klanten op de hoogte te brengen van de nieuwe richtlijn en de implicaties ervan. Hoewel we continu in gesprek zijn met onze klanten over NIS2, merken we dat velen zich nog niet volledig bewust zijn van wat deze richtlijn voor hun organisatie betekent. Veel klanten hebben kennis genomen van NIS2, maar zijn nog niet in de actiemodus gekomen om zich hierop voor te bereiden of de impact te bepalen.’
‘Organisaties denken dat ze goed voorbereid zijn, omdat ze bijvoorbeeld al voldoen aan normen zoals NEN 7510 of ISO 27001, maar ze realiseren zich niet altijd dat er net wat meer nodig is om volledig compliant te zijn met NIS2.’
Je ziet nog steeds veel mkb’ers zonder IT-afdeling die de complexiteit van NIS2 moeilijk vinden. Wat zeg je tegen deze partijen?
Klaas Sytze: ‘Ten eerste raden we mkb’ers toch aan zich te verdiepen in de NIS2 richtlijn. Zij hebben hun IT vaak voor een bepaald deel uitbesteed aan hun IT-leverancier, die ze vervolgens kunnen vragen om te toetsen of de basismaatregelen goed op orde zijn. Ten tweede: als die basismaatregelen in orde zijn, ben je al een heel eind op weg om bijvoorbeeld het NIS2 Quality Mark Basic te halen. Ten derde: bedrijven die de ambitie hebben om op termijn door te groeien naar bijv. ISO27001 kunnen prima nu met het NIS2 Quality Mark starten en hierna doorgroeien naar ISO-certificering. Zo beginnen ze met een groeiladder die zowel financieel te begroten – en qua tijd realistischer is.’
Hoe verhoudt dit zich tot de basis cyberhygiëne die het Digital Trust Center voorschrijft?
Klaas Sytze: ‘Het klopt dat de basismaatregelen overeenkomen met de basis cyberhygiëne die het Digital Trust Center aanbeveelt. Er zijn initiatieven zoals het NIS2 Quality Mark, wat een toegankelijke optie biedt voor kleinere mkb-bedrijven zonder dat ze behoorlijke kosten hoeven te maken, zoals bij ISO 27001.’
Wat is je mening over het NIS2 Quality Mark in vergelijking met andere bestaande keurmerken?
Klaas Sytze: ‘Positief, omdat het helpt om de naleving van wetgeving meetbaar en tastbaar te maken. Dit keurmerk is een waardevol hulpmiddel voor organisaties om aan de wetgeving te voldoen. Het maakt de eisen laagdrempeliger en eenvoudiger voor mkb-bedrijven die geen grote IT- of securityafdelingen hebben.’
Hoe zie je de samenwerking met Digitaal Veilig in de toekomst?
Klaas Sytze: ‘Ik zie een vruchtbare samenwerking tegemoet. We merken dat veel organisaties in sectoren zoals zorg en retail, die onder de NIS2 wetgeving vallen, nog niet precies weten hoe deze wetgeving zich verhoudt tot hun huidige certificeringen. Het is onze taak om hen daarbij te helpen en hen bewust te maken van de noodzaak om nu al in actie te komen. Samen Digitaal Veilig kan daarbij helpen.’
Hoe kun je de mentaliteit “we moeten voldoen aan een wet” van bedrijven ombuigen naar een meer proactieve houding ten opzichte van cybersecurity?
Klaas Sytze: ‘Het is belangrijk om continu het gesprek met klanten te blijven voeren, vooral met het management en de directie. We moeten hen wijzen op praktijkvoorbeelden en de reële risico’s die er zijn als de security niet op orde is. Brancheorganisaties spelen hierbij een cruciale rol door regelmatig aandacht te besteden aan cybersecurity. Door vanuit alle hoeken, inclusief leveranciers en brancheorganisaties, te blijven communiceren over het belang van cybersecurity, kunnen we organisaties helpen een meer proactieve houding aan te nemen.’
Welke stappen raad je aan voor bedrijven die niet precies weten waar ze staan op het gebied van informatiebeveiliging?
Klaas Sytze: ‘Ik adviseer bedrijven om in ieder geval een nulmeting te doen om inzicht te krijgen in hun huidige stand van informatiebeveiliging. Van daaruit kunnen ze een roadmap opstellen om hun security te verbeteren en zichzelf weerbaarder te maken. Daarbij is niet alleen de beveiliging van de eigen organisatie belangrijk, maar juist ook de verbetering van de beveiliging van de toeleveringsketen. Als je daar nog niet mee begonnen bent is het advies om daar zo spoedig mogelijk mee te starten, want het is best veel werk.’
Wat zijn de gevolgen voor bedrijven die hun security niet op orde hebben?
Klaas Sytze: ‘Bedrijven lopen niet alleen het risico dat hun bedrijfsprocessen stil komen te liggen, maar ook dat hun samenwerking met grote klanten wordt stopgezet als ze niet aan de normeringen kunnen voldoen, wat in het slechtste geval kan leiden tot onnodig omzetverlies. Daarnaast brengt de NIS2 wetgeving persoonlijke aansprakelijkheid voor de directie met zich mee als de security niet geregeld is. Hoewel ik geen voorstander ben van een stok achter de deur, helpt dit wel om actie te stimuleren.’