In 2018 heeft het toenmalige Ministerie van Economische Zaken en Klimaat (EZK) daarom het Digital Trust Center (DTC) opgericht, op verzoek van de Tweede Kamer. Michel Verhagen is als manager van het DTC vanaf het begin erbij betrokken geweest. ‘’Er waren wel overheidsinstanties die zich bezighielden met zo’n 300 vitale bedrijven, maar er was geen organisatie die zich richtte op de ruim 2 miljoen niet-vitale bedrijven. Het was duidelijk dat cybersecurity ook voor hen echt een item ging worden. We ondersteunen daarom iedereen, van zzp’ers tot en met het grootbedrijf.’’

Begrijpelijke taal Het team van het DTC bestaat inmiddels uit zo’n 25 medewerkers, waaronder cybersecurity adviseurs, maar ook mensen die meer verstand hebben van communicatie. Maar ze zijn begonnen met een handvol mensen die alles moesten opzetten. Eerst moest er natuurlijk een website komen om zichtbaar te zijn. Verhagen vertelt dat ze daarbij graag begrijpelijke taal wilden gebruiken: ‘’Zonder te veel jargon en op een dusdanige manier, dat bedrijven snel konden begrijpen welke stappen ze kunnen of moeten ondernemen, en waarom. We zijn bezig geweest met een duidelijk handelingsperspectief, dus niet alleen alarmeren, maar ook oplossingen bieden. En we geven aan welke vraag ze eventueel aan hun IT-leverancier kunnen stellen, want lang niet alle bedrijven hebben de benodigde kennis in huis.’’

NIS2 Mede door de NIS2, de nieuwe Europese richtlijn voor cybersecurity, moeten bedrijven in actie komen. Dit betekent ook dat een veel grotere groep ermee aan de slag moet, verklaart Verhagen. ‘’Ze moeten zich nationaal registreren, en als er een significant cyberincident plaatsvindt, moeten ze dat melden. Daarnaast hebben ze een zorgplicht, wat betekent dat ze maatregelen moeten treffen om niet makkelijk geraakt te worden door een cyberaanval. Als dat wel gebeurt, moeten ze aantonen dat ze snel kunnen reageren, herstellen en melden.’’ Hij benadrukt hierbij dat sommige bedrijven, zoals toeleveranciers, misschien niet onder de NIS2 vallen, maar wel deel uit kunnen maken van de keten. ‘’Dan moet je evengoed aan steeds hogere eisen voldoen, bijvoorbeeld doordat het bedrijf waar je aan levert eisen stelt aan jou.”

Duiding De NIS2 zal uiteindelijk uitmonden in een Cyberbeveiligingswet, waarvan het toepassingsgebied afhankelijk is van onder andere de sector, bedrijfsgrootte en jaaromzet. Het DTC heeft daarom op hun website een speciale sectie, genaamd NIS2-startpunt, om duiding te geven aan deze zorgplichtmaatregelen. Ook hebben ze vijf basisprincipes geformuleerd voor veilig digitaal ondernemen. Zo kunnen bedrijven stapsgewijs de maatregelen doorlopen en op basis daarvan hun beleid afstemmen. Het draait uiteindelijk om het voorkomen van maatschappelijke ontwrichting. Verhagen: ‘’Als bepaalde leveranciers een tijdlang niet bij hun data kunnen of een ransomaanval krijgen, betekent dit dat verderop in de keten economische schade kan ontstaan. Ik wil er echter voor waken dat maatregelen alleen maar zijn gericht op bangmakerij, want digitalisering biedt ook veel kansen. We hopen dat bedrijven daar ook actief in worden, want dat zorgt er bijvoorbeeld voor dat we op allerlei terreinen innovaties kunnen toepassen. Uiteraard moet men aandacht hebben voor de schaduwkant, maar digitalisering biedt zoveel meer.’’

We bieden een duidelijk handelingsperspectief, dus niet alleen alarmeren, maar ook oplossingen bieden

DTC Community Met hun besloten cyberforum ‘DTC Community’ bieden ze een platform voor kennisdeling tussen bijna vijfduizend cybersecurity professionals en ondernemers. Het is een plek waar praktische vragen aan vakgenoten gesteld kunnen worden. Verhagen: ‘’Daar zijn we wel een beetje trots op, dat het tot zo’n community is uitgegroeid.’’ Daarnaast hebben ze een groot aantal samenwerkingsverbanden, meer dan zestig, waarmee ze een landelijk netwerk hebben gevormd dat bedrijven helpt de cyberweerbaarheid te vergroten en de risico’s in de keten te verkleinen. ‘’Soms moet het vanuit een vertrouwde partner komen om een bedrijf in actie te krijgen, dus een lokaal of sectoraal netwerk helpt daar zeker bij.’’ Ook hebben ze dit jaar een offline evenement georganiseerd, wat een groot succes was. In 2026 wordt het DTC samengevoegd met het Nationaal Cyber Security Centrum (NCSC) en het Computer Security Incident Response Team voor digitale dienstverleners (CSIRT-DSP). ‘’Het is leuk en belangrijk dat we samen kunnen optrekken én dat we straks één plek hebben waar alle bedrijven terechtkunnen.’’