In gesprek met NIS2 Quality Mark: ‘Jouw keten, jouw verantwoordelijkheid: Beveiliging stopt niet bij je eigen organisatie’

Nathalie Verkade is Compliance Officer bij Techone en haar rol is om ervoor te zorgen dat de praktijken van de bedrijven in overeenstemming zijn met de relevante wet- en regelgeving, met name gericht op cyberbeveiliging en gegevensbeschermingsstandaarden zoals NIS2. In onderstaand interview spreekt cybersecurity-redacteur Jan Meijroos met haar over het belang van keurmerken voor verschillende branches. 

Je bent compliance officer en vooral bezig met wet- en regelgeving binnen de organisatie. Kun je die ervaring en kennis overdragen aan jullie klanten? 

Nathalie: ‘In het begin was ik vooral intern gericht, wat logisch is gezien mijn functie. Maar ik merkte al snel dat de issues binnen onze bedrijven vaak voortkomen uit wat leeft bij hun klanten. Als je intern over bepaalde zaken praat, komen er gelijk ideeën naar voren. Het voegt veel toe voor je klanten als je extra expertise kunt leveren. Dus waarom die kennis alleen voor jezelf houden? De bedrijven en mensen bij ons willen ook graag helpen en vragen om tips. Ze komen logischerwijs bij mij terecht, omdat zij zelf niet alle wetteksten lezen.’

Ben je al in de consultatie van de NIS2 gedoken die recent is gestart? En zo ja, wat is jouw eerste indruk? 

Nathalie: ‘Het komt overeen met de NIS2 zoals die oorspronkelijk in de Engelse tekst staat. Het is een wet van maximale harmonisatie, dus lidstaten mogen zwaardere eisen stellen in hun nationale wetgeving maar zullen in de praktijk weinig afwijken. De maatregelen in artikel 21 van NIS2 zijn niet zo verschillend. Ik denk dat Nederland goed heeft gekeken naar hoe andere landen zoals Duitsland en België het hebben geïmplementeerd.

Vanuit jouw expertise als compliance officer, hoe kijk jij aan tegen het NIS2 Quality Mark? 

Nathalie: ‘Niet elk bedrijf valt direct onder de NIS2, er zijn twee categorieën: bedrijven die direct onder NIS2 vallen en bedrijven die via de keten eraan moeten voldoen. Mensen vergeten vaak dat ze indirect toch moeten voldoen door zorgplicht en toeleveringsketen-verplichting. Het NIS2 Quality Mark richt zich hierop, vooral voor het mkb, wat veel bedrijven kan helpen. 

NIS2 is Europese wetgeving die geïmplementeerd moet worden in Nederland. Het NIS2-keurmerk maakt deze wet behapbaar. Na een audit door een erkend auditbureau heb je een bewijs dat je een groot aantal cybersecuritymaatregelen hebt genomen. In de ogen van je grote klant laat het zien dat je serieus bezig bent met cyberveiligheid. Dit toegankelijke, behapbare karakter is een uitkomst voor het mkb. 

In NIS2 zitten ook nieuwe zaken die niet standaard in ISO 27000 zitten, zoals – je geeft het al aan – de ketenzorgplicht. Maakt dat een verschil? 

Nathalie: ‘Jazeker. NIS2 is weer een stukje zwaarder. In ISO heb je leveranciersbeoordeling, maar NIS2 verplicht je leveranciers aanvullend om in geval van risico ook echt maatregelen te treffen. Je bent verantwoordelijk voor de informatiebeveiliging van je keten, niet alleen voor jezelf. Bedrijven denken vaak dat ze met de ISO klaar zijn, maar dat is niet zo. En mkb’ers die denken dat ze aan de zware ISO moeten voldoen, zijn ook vaak verkeerd geïnformeerd. ISO is een prima norm maar voor veel kleine en middelgrote bedrijven te veelomvattend en complex. Het NIS2 Quality Mark vangt dat op. 

Het zet ook de spotlight op de keten van toeleveranciers, waar veel van jullie klanten onder vallen. Ik begrijp dat er duizenden klanten in aanmerking komen voor het NIS2 Quality Mark? 

Nathalie: ‘Ja, we hebben vijftien locaties in Nederland en ongeveer dertig bedrijven. Tel je de klanten van al die bedrijven bij elkaar op, dan kom je snel op grote aantallen. Samen Digitaal Veilig zorgt ervoor dat het mkb goed voorbereid is op de wet, ook al zijn deze bedrijven niet volledig NIS2-plichtig. Wij zijn een goede partner om die kennis door te geven aan onze klanten.’ 

Hoe is de samenwerking met Samen Digitaal Veilig?

Nathalie: ‘SDV zorgt voor veel ondersteuning en informatie. Zij hebben een afdeling voor vragen die specifieker zijn dan onze kennis. Zo kunnen wij klantvragen doorverwijzen. Daarnaast organiseren we samen bijeenkomsten, webinars en ga zo maar door.’ 

Wat verwacht je van de implementatie van de wet, qua timing? 

Nathalie: ‘Nederland loopt iets achter. Andere Europese landen halen de deadline wel. Nederlandse vertraging kan niet als excuus worden gebruikt. Bedrijven uit andere Europese landen gaan namelijk aan de bel trekken.’

Waarom zijn normeringen belangrijk, vooral voor kleinere bedrijven die vaak weerstand voelen tegen nieuwe regels?

Nathalie: ‘Ik snap de frustratie. Vroeger golden wetten vooral voor grote bedrijven, nu steeds meer ook voor het mkb. Mijn tip: begin klein met een norm, begin met een basis. Je ziet dan snel de voordelen in al je processen. Voor je grote klanten is het belangrijk om te laten zien dat je met cybersecurity bezig bent. Bij TechOne kijken we hoe we dit toegankelijk kunnen maken voor onze klanten. We leveren niet alleen basale IT-diensten, maar bieden ook partnerships. En dat is weer goed voor de relatie met je klanten.’

Dit interview is mede mogelijk gemaakt door NIS2 Quality Mark, NIS2 Quality Mark is een norm van de Stichting Kwaliteitsinnovatie: 
https://nis2qualitymark.eu/experts-nathalie-verkade/?lang=nl