Northwave: “NIS2 legt meer nadruk op keten- en managementverantwoordelijkheid”

Northwave is een toonaangevend cybersecuritybedrijf in de Benelux, Duitsland en de Nordics. De missie van het bedrijf is helder: organisaties weerbaar maken in het digitale tijdperk. Cybersecurity-redacteur Jan Meijroos spreekt met business development manager Edward Ho.

Edward, in het kort; wat doen jullie en wat maakt jullie uniek?

Edward: “We integreren informatiebeveiliging in bedrijfsprocessen, bieden hoogwaardige technische ondersteuning en versterken de menselijke verdedigingslinie door effectieve training. Ons onderscheidend vermogen ligt in onze complete aanpak, waarin we organisaties volledig ontzorgen op het gebied van cybersecurity, zodat zij zich kunnen richten op hun kernactiviteiten.”

We werken met diverse sectoren, van dienstverleners tot maakindustrie en semioverheid. Onze focus ligt op middelgrote tot grote bedrijven, net onder de grote corporate bedrijven, die vaak eigen security-afdelingen hebben.”

Cybersecurity is tegenwoordig een hot topic. Wat merken jullie van de toenemende urgentie?

Edward: “Het onderwerp is inderdaad veel prominenter aanwezig. Jaren geleden las je af en toe iets over een cyberincident, maar nu hoor je wekelijks over storingen en aanvallen. Wat in het nieuws komt, is echter nog maar het topje van de ijsberg. Wij zien veel meer achter de schermen gebeuren.

De impact van digitale storingen op de maatschappij groeit ook. Denk bijvoorbeeld aan een software-update die een hele luchthaven tijdelijk platlegt. Daarom zijn wij blij met de introductie van Europese regelgeving zoals de NIS2 richtlijn. Die zet een standaard en helpt bedrijven en de maatschappij om cybersecurity serieus te nemen.”

NIS2 wordt waarschijnlijk in Q3 2025 in de Nederlandse wet opgenomen. Leeft dit bij jullie klanten?

Edward: “Zeker. NIS2 legt meer nadruk op keten- en managementverantwoordelijkheid, wat voor veel bedrijven een uitdaging is. Cybersecurity was vaak een IT- of CFO-aangelegenheid, maar nu moet het hele management betrokken zijn. Grote bedrijven zijn meestal al goed voorbereid en focussen op compliance. Voor anderen is NIS2 een wake-up call om risico’s opnieuw te beoordelen en prioriteiten te stellen.”

Kun je meer vertellen over de ketenzorgplicht?

Edward: “Bedrijven moeten analyseren hoe ketenzorgplicht hun bedrijfsvoering beïnvloedt. Ze willen weten welke eisen ze aan leveranciers kunnen stellen en hoe ze die praktisch controleren, zonder alles zelf te beheren. Heldere afspraken en samenwerking zijn cruciaal, zodat bij incidenten direct duidelijk is wie welke actie onderneemt.”

Een uitdaging, zeker nu IT en security vaak worden uitbesteed?

Edward: “Absoluut. Bedrijven moeten niet alleen intern, maar ook richting leveranciers regie voeren. Voor bedrijven met een sterke interne regierol is dit een logische stap, maar voor anderen is het een grote uitdaging.

Daarnaast raken sommige toeleveranciers indirect door NIS2 en willen ze aantonen dat ze aan de eisen voldoen om commerciële schade te voorkomen. Vaak doen ze dat met certificeringen zoals ISO 27001, wat zowel controle biedt als een bewijs richting klanten.”

Maar wat als een bedrijf kleiner is? Is een ISO-certificering dan niet te zwaar?

Edward: “Dat klopt, ISO 27001 is vaak te zwaar voor kleinere bedrijven. Voor hen zijn er alternatieven, zoals het NIS2 Quality Mark. Dit keurmerk biedt een laagdrempelige manier om aan te tonen dat je basis cyberhygiëne op orde is. Het is een startpunt waarmee je klanten kunt laten zien dat je bezig bent met beveiliging en dat je op termijn kunt doorgroeien naar een ISO-certificering, als dat nodig is.

Kleine bedrijven, bijvoorbeeld met 25 medewerkers, hebben vaak geen complexe IT-structuur. Voor hen is het belangrijk om te zorgen voor onder andere sterke wachtwoorden, multi-factor authenticatie en een IT-leverancier die de basis goed regelt. Het NIS2 Quality Mark kan hierbij helpen en biedt een praktische manier om aan de basis eisen te voldoen.”

Er zijn verschillende normen. Is het lastig voor bedrijven om een keuze te maken?

Edward: “Dat klopt. Bedrijven willen het keurmerk dat het meeste “waarde” heeft, maar in de praktijk draait het om de inhoud: kun je aantonen dat je veilig bent? Er zijn verschillende normen in omloop, zoals het NIS2 Quality Mark dat Samen Digitaal Veilig in licentie heeft. De normen bieden allemaal een basis, maar uiteindelijk ligt de focus op wat bij jouw organisatie past.

Ons advies is om vooral te zorgen dat je aantoonbaar in controle bent. Een certificering is een mooie toevoeging, maar de basismaatregelen en processen zijn wat telt. Voor kleinere bedrijven is het NIS2 Quality Mark vaak een goed begin, terwijl grotere organisaties baat hebben bij een ISO-certificering. Wij blijven hierin onafhankelijk en kijken altijd naar wat het beste werkt voor de specifieke situatie van de klant.”

Waar zie jij de meeste waarde van het NIS2 Quality Mark in de praktijk?

Edward: “Het keurmerk is vooral nuttig voor leveranciersmanagement. Grote klanten kunnen eisen stellen aan kleinere toeleveranciers en bijvoorbeeld vragen om een keurmerk als bewijs dat de basisbeveiliging op orde is. Het helpt bedrijven om hun keten beter te beheren en de risico’s te verkleinen.

Wat wij tegelijkertijd benadrukken: beveiliging gaat verder dan alleen een keurmerk. Het doel is om aantoonbaar te laten zien dat je in controle bent. Je moet je processen regelmatig testen en oefenen. Een certificering is een mooie stap, maar het is slechts één onderdeel van het bredere plaatje.”

Hoe staat het in zijn algemeenheid met de algemene cybervolwassenheid van bedrijven?

Edward: “Helaas gaat het nog regelmatig mis. Ransomware is nog steeds het grootste probleem en verantwoordelijk voor zo’n 85% van de huidige cyberincidenten. Daarna volgen (bekende) kwetsbaarheden, interne fraude en business email compromise, zoals phishingmails.

Bij ransomware gaat het om grote verstoringen waarbij hele systemen stil komen te liggen door het gijzelen van je data of systemen. Bij interne fraude of phishing zie je vaak dat medewerkers de zwakke schakel vormen. Veel bedrijven hebben moeite om dit preventief aan te pakken, wat benadrukt hoe belangrijk een combinatie van technische maatregelen, bewustwording en training is.”

Wat zijn de belangrijkste oorzaken waardoor aanvallen nog steeds slagen?

Edward: Veel aanvallen slagen door relatief eenvoudige fouten, zoals het ontbreken van een sterk toegangsmiddel zoals multi-factor authenticatie (MFA). Je zou denken dat MFA standaard is, maar het wordt nog vaak vergeten, bijvoorbeeld bij beheerdersaccounts of servers. Andere zwakke plekken zijn slechte wachtwoorden, gebrekkige netwerksegmentatie en verkeerd geconfigureerde systemen, bijvoorbeeld Microsoft-omgevingen die niet optimaal zijn ingesteld.

Ook zien we vaak dat bedrijven wel back-ups hebben, maar die nooit testen. Als er dan iets gebeurt, blijkt dat het terugzetten veel langer duurt dan verwacht. Veel bedrijven realiseren zich pas tijdens een incident dat hun herstelplan niet werkt zoals gepland.”

Tot slot, wat is jouw belangrijkste advies voor cybersecurity en veilig werken met data?

Edward: “Zorg dat cybersecurity een verantwoordelijkheid van de bestuurder is. Daar begint het. Het moet een integraal onderdeel worden van ondernemerschap. Net zoals ondernemers door de jaren heen hebben geleerd om finance, HR en operatie te begrijpen, moet je nu ook begrijpen wat security betekent voor jouw bedrijf. Je hoeft geen expert te zijn, maar je moet wel voldoende kennis hebben om de risico’s te herkennen en te begrijpen hoe dit impact heeft op je bedrijfsvoering. Als ondernemer moet je strategische keuzes maken en specialisten inhuren waar nodig. Onwetendheid is in deze tijd geen excuus meer, want cybersecurity raakt iedere organisatie die digitaal werkt. Dit hoort bij modern ondernemerschap.”