Spring naar content

Lentink de Jonge: “Zie cybersecurity als iets dat je bedrijf verder helpt, in plaats van beperkend”

11 maart 2025
Lentink de Jonge: “Zie cybersecurity als iets dat je bedrijf verder helpt, in plaats van beperkend”

Lentink De Jonge is een full-service accountants- en advieskantoor met diensten als accountancy, fiscaal advies, corporate finance, audit & assurance, HR-advies en online administratie. De gespecialiseerde IT-audit en consultancy-afdeling ondersteunt mkb-organisaties ondersteunt bij digitale veiligheid en NIS2 certificering. Cybersecurity-redacteur Jan Meijroos spreekt met Ron van den Berg en René Hop over autorisatiebeheer, het belang van audits en het NIS2 Quality Mark.

Ron van den Berg werkt ruim vier jaar bij Lentink De Jonge en heeft tien jaar ervaring in de controlepraktijk. Hij richt zich op IT-audits, jaarrekeningcontroles en dashboarding. René Hop, partner bij Lentink De Jonge, is registeraccountant en IT-auditor. De IT-afdeling van het bedrijf, inmiddels acht man sterk, speelt een cruciale rol binnen jaarrekeningcontroles en advies.

Jullie hebben klanten in het mkb die mogelijk geraakt worden door de NIS2-richtlijn, in Nederland de Cyberbeveiligingswet. Hoe ervaren jullie de bewustwording hierover?

Ron: “We merken dat NIS2 steeds meer begint te leven. Sommige klanten vallen direct onder de wet en moeten ermee aan de slag. Nu de beoogde periode van het 3e kwartaal van 2025 steeds dichterbij komt, beginnen ondernemers zich meer af te vragen wat de impact zal zijn. Dat is een positieve ontwikkeling, want bewustwording is de eerste stap. Daarnaast krijgen wij vragen van bestuurders hoe zij zich kunnen voorbereiden, zoals de verplichte trainingen, en zijn zij voornamelijk op zoek naar de concrete impact op hun organisatie.”

De NIS2-richtlijn is geen gemakkelijke regelgeving om te begrijpen. Hoe gaan jullie om met het vertalen hiervan naar ondernemers?

Ron: “Het is voor ondernemers niet zinvol om de hele wettekst te lezen. Wij richten ons op de hoofdlijnen en maken de vertaalslag naar wat voor hen relevant is. Ze willen vooral weten of het op hen van toepassing is, wat ze moeten doen om te voldoen en wat de impact is op hun bedrijf. Dit verschilt per onderneming, afhankelijk van hun risicoprofiel en positie in de keten.”

Dus jullie benaderen NIS2 vooral praktisch?

Ron: “Precies. We kijken wat de wet betekent voor een specifieke klant en hoe we ze praktisch kunnen ondersteunen. Veel ondernemers zien het als extra regeldruk, maar we proberen hen te laten inzien dat dit een kans is om hun cybersecurity serieus te nemen.”

Bellen klanten jullie wel eens in paniek omdat ze een cybersecurityincident hebben meegemaakt?

Ron: “Ja, dat gebeurt. Maar wij worden in dergelijke gevallen later op de hoogte gebracht. Dat wordt ons een paar dagen na een incident verteld als er schade is ontstaan. Dit is belangrijke informatie voor ons bij een audit. Later komen er vragen zoals: hebben we data verloren? Zijn er gegevens uit ons ERP-systeem verdwenen? Dat zijn zaken die wij dan helpen onderzoeken.”

René: “Een van de grootste blinde vlekken is autorisatiebeheer: wie heeft toegang tot welke informatie? Bij veel klanten zien we dat dit vrij open is. In de praktijk betekent dat vaak dat iedereen overal bij kan, op een paar uitzonderingen na. Dit maakt bedrijven kwetsbaar. Bij een aanval heb je dan heel veel potentiële ingangen in de organisatie.

“Daarnaast zien we dat veel bedrijven denken “Onze IT-leverancier regelt dat wel.” Maar als je dan vraagt “Wat regelt hij precies?” Dan weten ze dat niet. Ze hebben geen monitoringmechanismen om te controleren of hun IT-leverancier zijn werk goed doet. Dat is gevaarlijk, want veel bedrijven merken pas dat er iets mis is als het te laat is.”

Stellen jullie kritische vragen aan IT-leveranciers van klanten?

Ron: “Ja, absoluut. Die vragen gaan eerst via de klant, maar soms zegt de klant: bel ze maar direct. Dan schakelen we met de IT-leverancier. We willen weten hoe de beveiliging geregeld is en of er risico’s zijn.”

Jullie zijn zogezegd geen pure cybersecurityspecialisten. Hoe zorgen jullie ervoor dat jullie expertise up-to-date blijft?

René: “Wij zijn inderdaad geen grote speler op het gebied van cybersecurity, maar zijn vanuit onze audit expertise goed in staat om risico’s te onderkennen en hierop in te spelen. Voor wat betreft de specifieke cybersecurity kennis zoeken we waar nodig kennispartners op binnen ons netwerk. Een van die partners is Datect. We werken in dit traject ook samen met Samen Digitaal Veilig.”

Wat was de reden voor jullie samenwerking met Samen Digitaal Veilig?

René: “De belangrijkste reden was dat we via SDV kunnen terugvallen op een netwerk van specialisten en kunnen aanhaken op het grote bereik van SDV in diverse sectoren. Daarnaast biedt het platform handige tools, ook voor onze klanten. We hebben ervoor gekozen om een partnership aan te gaan, met een focus op het auditen van het NIS2 Quality Mark.”

Wat houdt dat auditen precies in?

René: “Onze rol ligt vooral bij het auditen van de NIS2 Quality Marks (QM10, QM20 en QM30 -red.). Dit sluit goed aan bij onze ervaring met jaarrekeningcontroles en IT-audits. We gaan niet adviseren over cybersecurity zelf, daarvoor zetten we partners als Datect in. Zo borgen we ook onze onafhankelijkheid.”

Hoe verloopt de verdeling tussen jullie en Datect? Waar begint en eindigt jullie rol?

René: “Datect is echt een cybersecurity-adviespartner. Zij helpen klanten met het inrichten van beveiligingsmaatregelen en zorgen ervoor dat systemen veilig worden opgezet. Onze rol begint bij het auditen van die maatregelen en het verstrekken van assurance via de Quality Mark-certificeringen. In principe is dat de scheidslijn: zij adviseren en implementeren, wij toetsen en brengen een certificeringsadvies uit aan de instantie die het kwaliteitskeurmerk (het QM-certificaat) uitgeeft.

Natuurlijk komen we tijdens audits wel eens verbeterpunten tegen. In dat geval adviseren we klanten over mogelijke aanpassingen, maar echt het implementeren van die oplossingen ligt dan weer bij Datect of een andere specialist.”

Hoe ziet een audit eruit voor een mkb-bedrijf, bijvoorbeeld een bedrijf dat zonnepanelen installeert en beheert?

Ron: “Stel dat zo’n bedrijf hun zonnepanelen op afstand beheert. Dan willen hun klanten weten of ze dat veilig doen. Zo’n bedrijf kan dan een NIS2 Quality Mark behalen, bijvoorbeeld QM20. Er zijn verschillende niveaus van certificering: basic, substantial en high, respectievelijk QM10, QM20 en QM30 afhankelijk van het risiconiveau.

Wij kijken namelijk tijdens zo’n audit vooral naar de bedrijfsomgeving en de specifieke risico’s voor die klant. We volgen niet klakkeloos een checklist, maar beoordelen echt wat er speelt bij het bedrijf, wat de kritische systemen zijn en waar de zwakke plekken zitten. Dat is hoe we altijd werken, en dat zal bij de NIS2 Quality Mark-audits niet anders zijn.”

Hoe kijken jullie eigenlijk vanuit jullie auditrol naar het NIS2 Quality Mark?

René: “Onze eerste indruk was eerlijk gezegd “Weer een keurmerk?” Er zijn veel cybersecurity-keurmerken in omloop, vaak opgezet door organisaties die hun eigen lijst met eisen hebben opgesteld zonder harde normering. Maar toen we er verder in doken, zagen we dat dit anders is. Het NIS2 Quality Mark komt voort uit de keten en brancheverenigingen zelf, en helpt bedrijven om aan NIS2 te voldoen.”

Wat viel jullie nog meer op?

Ron: “Wat ik echt goed vind, is de schaalbaarheid. Veel bedrijven hebben al een aantal beveiligingsmaatregelen zonder dat ze het doorhebben. De QM10 is daardoor toegankelijk en relatief snel te behalen. Maar belangrijker nog: bedrijven kunnen stapsgewijs doorgroeien naar QM20 of QM30, afhankelijk van hun ambitie en risicoprofiel.

Daarnaast is de hertoetsing, die elke drie jaar plaatsvindt, een sterke factor. Je haalt het keurmerk niet eenmalig en stopt het vervolgens in de la. Het is een dynamische norm, je blijft eraan werken en dat zorgt ervoor dat cybersecurity een continu aandachtspunt blijft.”

Cyberveiligheid wordt dus steeds vaker een harde eis in zakelijke samenwerkingen?

Ron: “Ja en dat is maar goed ook. In sommige sectoren zien we nu al dat bedrijven zonder bepaalde certificeringen niet meer in aanmerking komen voor opdrachten. Dit gaat in de toekomst alleen maar verder toenemen. Ondernemers die nu in actie komen, positioneren zich beter voor de toekomst.”

René: “Als ondernemer ben je onderdeel van een keten. Dus het is beter om de handschoen eerder op te pakken. Zelfs als je niet direct onder NIS2 valt, laat je door proactief te handelen zien dat je een volwassen organisatie bent. Dan ben je voorbereid, in plaats van dat je pas actie onderneemt als de keten of wetgeving het afdwingt.

Het draait dus niet alleen om naleving, maar vooral om awareness. Cybersecurity moet gezien worden als iets dat je verder helpt, in plaats van iets dat beperkingen oplegt.”

Gerelateerde artikelen

Samen Digitaal Veilig is met 8.000 aangesloten bedrijven het grootste NIS2-platform van Nederland

Nieuw: NIS2 dossier – CEO/bestuur verplicht aan het stuur

Samen Digitaal Veilig lanceert Estimated Risk Index: automatische risicoscore voor 170.000 Nederlandse leveranciers

Datect en Samen Digitaal Veilig starten samenwerking

Bij welke partijen kun je een NIS2 Supply Chain audit laten uitvoeren?
Interesse in dit onderwerp?

We houden je op de hoogte!

Terug naar overzicht