Ik zie het regelmatig gebeuren. Een leverancier krijgt een mail van een grotere klant met de vraag:
“Kunnen jullie aangeven hoe jullie informatiebeveiliging hebben ingericht in het kader van NIS2?”
En dan zie je meestal deze reactie:
Schrik! Voldoen we eigenlijk wel en kunnen we wel voldoen? Wat hebben we eigenlijk geregeld?
Maar eerlijk gezegd is schrikken in de meeste gevallen helemaal niet nodig.
Je hebt vaak al meer geregeld dan je denkt.
Ik geef je een paar voorbeelden: back-ups draaien automatisch, er is antivirus of endpoint-beveiliging, medewerkers werken met persoonlijke accounts en er zijn wachtwoordregels. Vaak wordt er ook gewerkt met een cloud leverancier die zijn eigen beveiligingsmaatregelen heeft ingericht.
Je hebt dus al vaak meer geregeld dan dat je denkt. Het probleem zit meestal niet in wat er gebeurt. Het probleem zit in wat je kunt laten zien. En precies daar draait NIS2 om: aantoonbaarheid.
Zodra het woord informatiebeveiliging valt, denken veel ondernemers dat ze meteen richting een ISO 27001-certificering moeten. Dat hoor ik regelmatig.
ISO 27001 is lang niet altijd nodig.
Er zijn verschillende manieren om informatiebeveiliging goed te organiseren. Je kunt basismaatregelen vastleggen en aantonen, je kunt werken met een gestructureerd managementsysteem of je kunt kiezen voor certificering.
Overleg dit met je klant, of neem contact met ons op.
Daarnaast bestaat er ook een praktisch instapniveau: NIS2 SC10. Dit is speciaal ontwikkeld voor organisaties die aantoonbaar grip willen hebben op hun informatiebeveiliging, zonder meteen een zwaar traject te starten. In de praktijk vragen opdrachtgevers vaak juist naar deze certificering, omdat het hen de zekerheid geeft dat je informatiebeveiliging structureel en aantoonbaar hebt geregeld.
Wat in jullie situatie het beste past, hangt af van meerdere factoren. Van de eisen die een klant stelt, van de sector waarin je werkt en van de risico’s die je loopt. Voor veel MKB-leveranciers blijkt certificering volgens de NIS2 SC10 bijna altijd voldoende.
Wanneer een klant vraagt hoe jullie informatiebeveiliging geregeld is, gaat het meestal niet over één specifieke technische maatregel.
De vraag gaat eigenlijk over iets anders: hebben jullie het onder controle?
Een klant wil bijvoorbeeld kunnen zien:
Het gaat dus niet alleen om techniek. Het gaat erom dat je kunt laten zien dat het gestructureerd is ingericht.
Gelukkig hoef je dit niet allemaal zelf te bedenken.
Op het gebied van informatiebeveiliging is al ontzettend veel uitgewerkt: voorbeeldbeleid, formats, checklists en systemen die helpen om overzicht te creëren. Kijk bijvoorbeeld eens bij ons NIS2 SC10 aanbod.
In de praktijk komt het er vaak op neer dat je twee dingen doet:
En laten we eerlijk zijn: meestal kom je onderweg ook wel een paar punten tegen die nog beter kunnen. Maar wanneer duidelijk is wat er verwacht wordt en hoe je dat kunt aanpakken, wordt het allemaal een stuk overzichtelijker.
Voor precies deze groep organisaties is het NIS2 SC10-systeem ontwikkeld.
Niet als een papieren norm en ook niet als een verkapte ISO 27001-certificering, maar als een praktische aanpak voor MKB-leveranciers die moeten kunnen aantonen dat hun informatiebeveiliging op orde is.
SC10 helpt je om:
Dat betekent niet dat het vanzelf gaat. Je moet nog steeds nadenken over je processen en maatregelen en aanvullende maatregelen gaan nemen.
Het verschil is alleen dat je niet vanaf een leeg scherm begint. Je werkt met een duidelijke structuur, voorbeelden en software die je helpt om het overzicht te houden.
Wanneer het systeem staat, kunnen externe auditors toetsen of je de 17 maatregelen van NIS2 SC10 op de juiste manier toepast. Als dat het geval is, ontvang je het SC10-certificaat.
Wanneer een klant vraagt hoe jullie informatiebeveiliging hebben geregeld, is dat eigenlijk een goed teken. Het betekent dat je serieus wordt genomen als leverancier. Maar het moment waarop die vraag komt, bepaalt vaak hoe lastig het wordt.
Als je er nog niet over hebt nagedacht, ontstaat er namelijk meteen tijdsdruk. De klant wil een antwoord, soms zelfs binnen een paar dagen. Dan moet je ineens gaan uitzoeken wat er verwacht wordt, welke maatregelen je moet vastleggen en hoe je dat allemaal aantoonbaar maakt. dat gaat dus op die korte termijn niet lukken. En juist op dat moment heb je het vaak al druk genoeg met je dagelijkse werk.
Dat is precies de situatie die je beter kunt voorkomen.
Want eerlijk gezegd is het niet de vraag of een klant deze vraag gaat stellen, maar wanneer. Steeds meer grotere organisaties moeten vanuit hun NIS2 compliance van hun leveranciers eisen dat zij hun informatiebeveiliging aantoonbaar op orde hebben, bijvoorbeeld via een NIS2 SC10-certificering. Daar kun je dus beter op voorbereid zijn.
Wanneer je op tijd begint met het inrichten van een gestructureerd systeem, kun je het stap voor stap opbouwen. Zonder tijdsdruk, zonder paniek en zonder dat het je dagelijkse werk ontregelt. Met ons NIS2 SC10 systeem gaat je dat zeker lukken. Het is gestructureerd opgezet met een super duidelijke uitleg (daar krijgen wij van onze klanten veel goede kritieken over).
En er zit nog een belangrijk voordeel aan. Wanneer je jouw informatiebeveiliging aantoonbaar goed hebt ingericht, wordt dat ook een commercieel voordeel. Je kunt nieuwe klanten laten zien dat je zaken professioneel hebt geregeld en bestaande klanten hebben meer vertrouwen om met je te blijven werken.
Met andere woorden: het helpt niet alleen bij compliance, maar ook bij het aantrekken en behouden van klanten. Wanneer de vraag van een klant dan uiteindelijk komt, hoef je niets meer te improviseren. Je kunt gewoon laten zien hoe jullie informatiebeveiliging is georganiseerd.
Dat geeft rust.
Niet alleen bij je klant.
Maar ook bij jezelf.
Kijk hier hoe ook jullie de NIS2 SC10 kunnen behalen.