Jan Meijroos sprak met Peter Noordhoek directeur-secretaris van de Stichting Kwaliteitsinnovatie, de houder van het NIS2 Quality Mark.
Peter, vertel ons eens over het NIS2 Quality Mark.
Peter: “Bijna twee jaar geleden, in december 2022, heeft de EU de NIS2-richtlijn gepubliceerd. Op basis daarvan is nu al het NIS2 Quality Mark, een nieuwe norm, ontwikkeld. Deze norm, met focus op de toeleveringsketen, helpt bedrijven om maatregelen te treffen ter voorbereiding op NIS2.
Als je het NIS2 Quality Mark-certificaat behaalt, kun je stellen dat je, net zoals met bijvoorbeeld ISO27001, door de implementatie van het NIS2 Quality Mark al grote stappen zet richting naleving van NIS2. Daarmee ben je dus goed voorbereid op de aankomende Cyberbeveiligingswet.”
Ben je dan helemaal in orde en klaar voor de NIS2?
Peter: “Je bent er dan echter nog niet, want elk land maakt zijn eigen interpretatie van de richtlijn. Hierdoor zal er per land een kleine GAP ontstaan. Deze GAP dichten wij zodra de wetgeving is gepubliceerd. En dan kunnen bedrijven de laatste zaken regelen.”
Hoe maken jullie het NIS2 Quality Mark bekend?
Peter: “Dat gaat heel goed. Het NIS2 Quality Mark wordt namelijk al geadopteerd door 64 brancheorganisaties, zoals TLN, BOVAG, Techniek Nederland, NEVI en Bouwend Nederland. Deze branches vertegenwoordigen samen meer dan 100.000 bedrijven. Daarnaast werken we samen met 50 kennis- en marktpartijen zoals EY, BDO, Forvis Mazars, KPN, ABN AMRO, Bitsight, Northwave, enz. Deze grote namen stellen het NIS2 Quality Mark voor aan hun grote en kleine klanten. Jullie zijn onze grootste partner. Samen Digitaal Veilig als initiatief van brancheorganisaties om hun leden te ondersteunen op het gebied van cyberveiligheid, is voor ons heel belangrijk. Jullie staan ook op onze site, net als anderen.
De grote spelers binnen de cybersecuritywereld doen mee, omdat zij zelf ook al bezig waren met een interpretatie van NIS2. Wanneer je de Europese tekst naast ISO27001 legt, kom je uit op ongeveer 50-60 ISO-controls die erop lijken te passen. Hetzelfde geldt voor CIS en het NIST-framework: veel vergelijkbare maatregelen. Nu kunnen ze als ze willen nog een maatstaf gebruiken, het NIS2 Quality Mark. Dit is de norm om op een uniforme manier voorbereidingen te treffen voor NIS2.”
Hoe werkt het halen van een NIS2 Quality Mark certificaat?
Peter: “Auditbare kwaliteit is ingebouwd in het NIS2 Quality Mark. Het proces van ontwikkelen, samenstellen en valideren was uitdagend, maar met hulp van vijf teams, meer dan 20 experts en de medewerking van bekende audit- en consultancyorganisaties hebben we de norm ontwikkeld en is deze nu ook auditbaar. E auditbedrijven die dat doen staan op onze website.
De focus van het NIS2 Quality Mark ligt op de leveranciers van NIS2-bedrijven. Daarom zijn er drie niveaus. Niet elke leverancier heeft hetzelfde risicoprofiel voor de toeleveringsketen. Een leverancier die relatief makkelijk vervangbaar is, heeft een lager risicoprofiel dan een leverancier waarvan het wegvallen je productie of dienst direct stillegt.
De wereld van cybersecurity verandert snel. Deze nieuwe norm, gelanceerd op 31 oktober 2023, is op 10 oktober 2024 al beschikbaar gesteld voor alle landen in Europa. Nederland is het 5e exportland ter wereld en het 8e importland. Onze bedrijven kunnen nu samenwerken met hun Europese klanten en leveranciers volgens deze nieuwe norm, die dichter bij NIS2 komt dan welke andere norm dan ook.
Mooi, toch?”
Peter, dank je wel voor deze informatie. Dit lijkt mij een prima stap voor mkb-bedrijven.
