Een certificaar is snel te halen

NIS2 en de Nederlands versie Cbw (Cyberbeweiligngswet) zijn nu wet.  Geen vrijblijvendheid meer en dat gaat gevolgen hebben, voor grote bedrijven, maar zeker ook voor het MKB.

Aantoonbaar met NIS2SC niveaus

Met 3 niveaus is er altijd een NIS2SC niveau wat bij jouw onderneming past. Dikke kans dat je al een en ander gereed hebt zonder het te weten.

Voor elk niveau is een certificaat te halen. Voor 750 tot 2000 euro heb je jouw niveau al aantoonbaar gemaakt.

NIS2 = Cyberbeveiliginsgwet, een wet met brede werking

De Europese NIS2 (Network and Information Security directive) richtlijn wordt in juli 2026 in Nederland als Cyberbeveiligingswet (Cbw) ingevoerd. Doel is verhogen van de algehele digitale en economische weerbaarheid van de Europese Unie. Dat gebeurt met concrete eisen aan cybersecurity ‘posture’ heel Europa voor de meeste ondernemingen.

Onder de scope van de Cbw vallen bedrijven in 3 categorieën:

• Essentiële sectoren, zoals: Energie, vervoer, bankwezen, financiële marktinfrastructuur, gezondheidszorg, drinkwater, afvalwaterbeheer, digitale infrastructuur, overheid en de ruimtevaart. 
• Belangrijke sectoren, zoals: Post- en koeriersdiensten, afvalstoffenbeheer, productie, fabricage en distributie van chemische stoffen, voedselproductie, fabrikanten van medische hulpmiddelen, onderzoeksorganisaties en aanbieders van digitale diensten (zoals datacenters en cloudcomputing)
• Op basis van omvang / omzet: organisaties vanaf 50 werknemers en/of met een jaaromzet/balanstotaal van minimaal 10 miljoen euro

Ook belangrijk in het MKB vanwege doorwerking in toeleveringsketens

Veel (kleinere) MKB-bedrijven denken dat ze niks met deze wetgeving hoeven te doen, want ze leveren geen diensten die hierboven genoemd zijn of vallen onder de grenzen van omzet of werknemers.
Maar helaas, dat is een misvatting. Belangrijker is dat bedrijven die wel onder de Cbw vallen, zwaar moeten in zetten op beheersen van hun toeleveringsketen. 

Alle ondernemingen die wel onder de Cbw vallen moeten dus controleren of bedrijven in hun keten ook hun cybersecurity op orde hebben. Die willen (of beter moeten) aangetoond hebben dat jij als toeleverancier ook alles voldoende op orde hebt.  En omdat de Cbw een wet is en niet vrijblijvend, kan je wachten op verzoeken van jouw klanten.

Hoe toon je voldoende mate van cybersecurity aan? Wanneer is het goed?

Wat je nodig hebt een is concrete lijst met zaken die je moet regelen. En daarna een methode om daarna aan te tonen dat je die dingen voor elkaar hebt. En het liefst ook nog in opzet die je in stappen brengt waar je wezen moet. Zoiets zou ons als ICT-provider ook helpen, want dat maakt het gesprek met onze klanten ook makkelijker!

De NIS2SC norm biedt duidelijkheid in 3 stappen

Maar goed nieuws, die lijst in stappen is er!  In de vorm van het NIS2 Supply Chain norm (NIS2SC). De NIS2SC is een norm van de Stichting Kwaliteitsinnovatie, helemaal gebaseerd op de geldende NIS2-richtlijn in Europa en speciaal voor MKB-bedrijven ontwikkeld, i.s.m. toonaangevende cybersecuritybedrijven en brancheorganisaties.

Stapsgewijs naar volwassen cybersecurity in het MKB

NIS2SC biedt een pad om in 3 stappen cybersecurity te verbeteren en per stap, indien desgewenst, al een certificering te behalen. Deze 3 stappen, of beter gezegd niveaus, worden Quality Marks genoemd. 

Een certificering hoeft niet, maar maakt wel aantoonbaar hoe je voor staat. Een certificering op basis van Quality Marks halen kan al vanaf ongeveer € 750. Dat is een bedrag wat te dragen is in een MKB-onderneming.

Wij maken cybersecurity meetbaar

CoDesk biedt een unieke opzet die direct past bij  90% van alle organisaties in MKB.  Zelfs en eigenlijk vooral voor de kleinere bedrijven.

Onze opzet is de standaard die bedacht is met cybersecurity, certificering en (dus) best practices in het achterhoofd.  Omdat je standaarden kan automatiseren, houden we de kosten laag, voorspelbaar én meetbaar. 

70% direct geregeld

In onze opzet hebben 70% van alle eisen uit NIS2SC al direct afgedekt. Gewoon door onze flexibele diensten te gebruiken! Wij zorgen dat je aantoonbaar ‘in control’ bent.

100% hulp

En die laatste 30% zit vooral in wat een organisatie zelf nog moet doen. Maar daar hebben we complete templates en tools voor ontwikkeld. Dus ook daar hoef jij het wiel niet opnieuw uit te vinden.

NIS2-SC20 – Gevorderd

De focus verandert op niveau naar aantoonbaarheid en management. Er is een formeel, door de directie goedgekeurd informatiebeveiligingsbeleid en de directie moet verplicht een cybersecurity-training volgen. De heeft haar spullen duidelijk op orde en organisatie voert interne audits uit.

Concrete maatregelen die je voor SC20 moet nemen zijn:

• Formeel informatiebeveiligingsbeleid
• Huishoudelijk reglement op ICT gebied
• Company owned, managed devices met standaardisatie
• Assetmanagement / centraal accountbeheer / autorisatiematrix
• Basale netwerksegmentatie (bv VPN vanuit huis)
• Data classificatie en encryptie
• Directie met uitgebreidere cybersecurity training
• Cybersecurity training
• Monitoring en rapportages
• (Interne) audits
• Disaster recovery plan met restore testing
• Inkoopafspraken / leveranciersbeoordelingen

En natuurlijk bouwt dit verder op SC10, dus die maatregelen zijn sowieso nodig. SC10 is daarmee een ideale opstap naar dit niveau als je met nog niks op papier begint.

NIS2-SC30 – Volwassen

Op het hoogste niveau is het bestuur wettelijk persoonlijk aansprakelijk voor cyberrisico’s en tekent voor het risicobeheer. Informatiebeveiliging is volledig geïntegreerd in de bedrijfsvoering, inclusief continue monitoring, incident response en uitgebreide ketenbeveiliging onder de hoede van een dedicated Security Officer en een geautomatiseerd managementsysteem (ISMS).

Concrete maatregelen die je voor SC30 extra moet nemen zijn:

• Dedicated Security Officer / CISO / FG

• Vast crisisteam, bekend met meldprocedures

• Jaarlijkse crisissimulatie

• ISMS: Centrale registratie van beleid, risico’s, incidenten en audits

• 24/7 Monitoring (SOC)

• Netwerksegmentatie in IT en OT systemen, logisch én fysiek

• Centraal Identity & Access Management (IAM)

• Geavanceerde encryptie, ‘in transit’ en ‘at rest’

• Redundante systemen

• Doorlopende cybersecurity training met (phishing) simulaties

• Doorlopende kwetsbaarheidsscans

• Periodieke penetratietesten

• Onafhankelijke toetsing