Wat is het basisidee achter het NIS2 Quality Mark? Peter Noordhoek legt uit: “De NIS2 is een wet die heel veel bedrijven en sectoren raakt. Wetten, en er zijn er veel, kunnen lastig zijn voor bedrijven. Brancheorganisaties zijn gewend aan wetten, normen en keurmerken. In dit geval bleek dat er behoefte was aan een vertaling van de wet in een norm. In Nederland alleen al krijgen naar schatting 50.000 tot 70.000 bedrijven direct of indirect te maken met de NIS2. Dat is een gigantisch aantal, en onze uitdaging was om een norm te ontwikkelen die niet alleen effectief, maar ook betaalbaar en toegankelijk is voor al deze bedrijven, ongeacht hun omvang.”

Wat is het NIS2 Quality Mark? “Het NIS2 Quality Mark is vorig jaar gelanceerd voor Nederland en nu verder ontwikkeld. Internationaal gaan was altijd het plan, en nu is het zover. Nederlandse bedrijven zijn sterk internationaal georiënteerd, en als 5e exportland en 8e importland ter wereld is het essentieel dat onze bedrijven voldoen aan de cybersecurity-eisen van internationale partners. NIS2 Quality Mark-certificering helpt bedrijven om aantoonbaar aan cybersecurity eisen te voldoen. Dat is essentieel voor onze internationale concurrentiepositie.”

Slaat het aan? Werkt het? “Jazeker, het gaat erg goed. We hebben een samenwerking met Samen Digitaal Veilig. Inmiddels wordt dit door 64 brancheorganisaties (met een bereik van meer dan 100.000 bedrijven) naar hun leden gecommuniceerd als norm. Steeds meer NIS2-bedrijven nemen deze norm op in hun inkoopvoorwaarden. Dat is belangrijk, want daardoor kunnen ze met hun leveranciers blijven samenwerken zonder hen op onnodige kosten te jagen. Tegelijkertijd voldoen ze aan de NIS2-wetgeving. Er zijn al veel bedrijven bezig om het te halen, en dat is een goede ontwikkeling.”

Er zijn diverse niveaus, hoe zit dat? “In de markt zijn er zeer goede, maar best wel zware frameworks en normeringen (zoals NIST, ISO27001 en NEN7510) die geschikt zijn voor grote, complexe organisaties. Daaronder was er niets dat echt breed auditeerbaar was. Nu wel. Wij hebben drie niveaus als ladder naar hogere normen gemaakt. Dat kan, want NIS2 draait om risico en niet ieder bedrijf vormt een even zwaar risico. Dus is daar ruimte, en die hebben we benut. ENISA, het Europese cyberagentschap, heeft enkele jaren geleden de deur opengezet met de aankondiging van getrapte normeringen voor wetten. Heel fijn. Daar plukken we nu de vruchten van.”

“De basisnorm NIS2-QM10 biedt bedrijven de mogelijkheid om met een basisniveau van beveiliging te beginnen. Deze standaard ligt op hetzelfde niveau als wat het Nationaal Cyber Security Centrum (NCSC) op hun website heeft staan en helpt bedrijven direct op weg met de eerste cruciale stappen. In de NIS2 staat de verplichting voor de beveiliging van de toeleveringsketen. Dus NIS2-organisaties moeten hun leveranciers controleren als er een risico is. Bij weinig risico is een basisnormering zoals NIS2-QM10 voldoende. Is er meer risico, zoals bijvoorbeeld bij IT-bedrijven, dan kunnen bedrijven, afhankelijk van hun risicoprofiel en behoefte, doorgroeien naar QM20 en QM30. Bedrijven kunnen makkelijk hun NIS2 Quality Mark-certificering halen, en deze als bewijs aan hun grote klanten laten zien, en zo voorkomen dat ze deze kwijtraken.”

Wat zijn de belangrijkste voordelen van het NIS2 Quality Mark? “Het grootste voordeel is de eenvoud en begrijpelijkheid van de norm. Daarnaast is de norm kosteloos te downloaden op onze website. We hebben een structuur gecreëerd die bedrijven snel kunnen implementeren, zonder vast te lopen in complexe certificeringstrajecten die veel tijd en geld kosten. En het is geschikt voor grote en kleine bedrijven.”

Hoe ondersteunt deze norm bedrijven internationaal? “De norm helpt bedrijven niet alleen om te voldoen aan de nieuwe Europese wet- en regelgeving, maar laat mkb-bedrijven ook samenwerken met hun buitenlandse klanten en leveranciers. De eisen vanuit de NIS2 met betrekking tot de toeleveringsketen zijn glashelder. Bedrijven moeten daaraan voldoen om zaken te kunnen blijven doen. Met het NIS2 Quality Mark zorgen we ervoor dat Nederlandse bedrijven klaar zijn om te voldoen aan de cybersecurity-eisen van hun internationale partners.”

Wat was uw specifieke rol in dit proces? “Ik ben verantwoordelijk voor het bepalen van de inhoud van de norm, maar een norm bouwen doe je niet alleen. Zeker niet als deze internationaal gebruikt moet worden. Ik kan beroep doen op een team van cybersecurity-experts met vele jaren ervaring. Waar het vooral juristen en cybersecurity-experts samen waren die de normniveaus hebben vastgesteld, is het essentieel dat het ook wordt opgeschreven in begrijpelijke taal. Bijvoorbeeld Cees van der Wens (de schrijver van het ISO27001 Handboek) heeft daaraan meegewerkt. Daarna is het verbeterd door partijen zoals EY, BDO en Forvis Mazars om het gewenste kwaliteitsniveau te halen. Het is echt een teaminspanning van meer dan twintig mensen geweest.”

“Mijn rol is vooral om ervoor te zorgen dat de norm niet te ingewikkeld wordt voor mkb-bedrijven, maar tegelijkertijd robuust genoeg blijft om internationale standaarden te waarborgen. Het bestuur van de Stichting Kwaliteitsinnovatie en de normcommissie, een vertegenwoordiging van tien brancheorganisaties, heeft mij gevraagd om de norm zo haalbaar mogelijk te maken met behoud van een hoge kwaliteit. Daar lag mijn aandacht op. We willen bedrijven echt ondersteunen en hen niet laten vastlopen in zware, ingewikkelde normeringen. Dat is gelukt en daar zijn we blij mee.”

Tot slot is het heel goed om te weten dat het nu ook al wordt geïntegreerd door grote partijen zoals Samen Digitaal Veilig, Techone en Bitsight. Iedereen is enthousiast.