Cybersecurity is al lang geen zorg meer voor enkel grote bedrijven. Ook het mkb staat steeds vaker in de vuurlinie. Hackpogingen, datalekken en ransomware-aanvallen richten zich juist op organisaties die denken “te klein” te zijn om interessant te zijn. Met de komst van de Europese NIS2-richtlijn en de aankomende Nederlandse Cyberbeveiligingswet neemt de druk op het mkb en hun IT-partners toe. Arie den Heijer en Frank Bruijnes van Foxnet Cybersecurity hebben een missie: kleine en middelgrote IT-dienstverleners en hun klanten helpen om aantoonbaar compliant en cyberweerbaar te worden.
Veel mkb-bedrijven beschikken inmiddels wel over firewalls, antivirussoftware of endpoint-detectie. Toch ontbreekt vaak een structurele aanpak. Back-ups worden niet getest, multi-factor authenticatie (MFA) wordt halfslachtig ingezet, en incidenten worden zelden gemeld uit angst voor reputatieschade of boetes. Arie: “Bij een audit vragen we bijvoorbeeld of er recent een restore-test van de back-up is uitgevoerd. Het antwoord is meestal nee. En dat terwijl juist beschikbaarheid en herstelvermogen kernonderdelen zijn van NIS2. Bedrijven moeten nadenken over hoe lang ze zonder cruciale systemen kunnen. Drie dagen uitval kan voor een bakker, apotheek of accountantskantoor het einde betekenen.”
Daarnaast onderschatten veel ondernemers hun rol in de supply chain, zo menen Frank en Arie. Een mkb’er hoeft misschien zelf niet direct NIS2-plichtig te zijn, maar als toeleverancier van een grotere organisatie wordt hij indirect wél geraakt, legt Frank uit. “Een IT-partner met vier medewerkers die het netwerk van een bedrijf met 250 werknemers beheert, wordt plotseling onderdeel van de compliance-keten. Dat besef is nog lang niet overal doorgedrongen.”
Van technische naar organisatorische maatregelen
Wat Foxnet Cybersecurity onderscheidt van andere aanbieders, is dat het bedrijf zich niet primair richt op technische oplossingen. Frank voegt toe: “De meeste MSP’s hebben de technologie best op orde. Wat ontbreekt, zijn de organisatorische en beleidsmatige maatregelen. Governance, risicomanagement en documentatie: dáár lopen veel kleinere partijen op stuk. En precies daar helpen wij ze mee.”
“Centraal in deze aanpak staat ons Information Security Management System (ISMS) met uitontwikkelde templates en flows, dat volledig is toegespitst op de eisen van NIS2”, stelt Arie. Hiermee kan een MSP zijn eigen organisatie en die van zijn klanten structureren. Denk aan directieverklaringen, risicoanalyses, backup- en herstelprocedures en afspraken rondom incidentmelding. Arie vult aan: “Het is eigenlijk een continu verbeterproces. Plan, Do, Check, Act. Steeds weer nagaan: voldoen onze maatregelen nog, zijn de risico’s acceptabel, of moet het beleid worden aangescherpt?”
Kwaliteitsstandaarden en trainingen
Een belangrijk hulpmiddel is de NIS2 Quality Mark. Dit certificeringskader, in de varianten QM10, QM20 en QM30, is erkend door meer dan 80 brancheorganisaties. Het geeft bedrijven een objectieve maatstaf van hun cyberweerbaarheid. Foxnet Cybersecurity koppelt dit kader aan praktijkgerichte trainingen en workshops. MSP’s worden niet alleen voorzien van tooling, maar leren ook hun klanten te begeleiden. Frank vertelt: “We doen het klassikaal en hand in hand. Geen dure consultants die maandenlang meelopen, maar praktische begeleiding waarmee een IT-partner zelf de regie houdt. Zo wordt compliance haalbaar en betaalbaar.”
Van verplichting naar kans
Hoewel veel kleinere IT-dienstverleners huiverig zijn voor de administratieve last, benadrukt Foxnet Cybersecurity dat NIS2 ook kansen biedt. “Het is meer dan een verplichting; het is ook een verdienmodel”, stelt Arie. “Een MSP die compliance structureel borgt voor zijn klanten, creëert een extra dienst waarmee hij zich onderscheidt. Tegelijkertijd wordt hij zelf aantoonbaar compliant.” Een concreet voorbeeld is multi-factor authenticatie. “Soms weigert de directie van een bedrijf MFA in te voeren omdat ze het ‘lastig’ vinden”, vertelt Frank. “Met onze templates kan de MSP aantonen dat hij MFA heeft aangeboden en vastleggen dat de klant bewust het risico draagt. Daarmee verschuift de verantwoordelijkheid en kan de MSP vervolgens zelfs besluiten om niet langer met die klant in zee te gaan.”
Bewustwording via de ‘Gehackt-dag’
Om de urgentie van security tastbaar te maken, organiseert Foxnet Cybersecurity regelmatig evenementen zoals de zogenoemde Gehackt-dag. Serviceproviders nodigen daarbij hun klanten uit voor live-demo’s van ethische hackers, presentaties van digitale recherche en best practices voor crisismanagement. Arie: “Veel ondernemers denken pas na over security als er bij de buren wordt ingebroken. Met zo’n dag maak je zichtbaar hoe kwetsbaar je bent en hoe groot de gevolgen kunnen zijn. Het doel is niet om angst te zaaien, maar om bewustwording te creëren en concrete stappen aan te reiken.”
Toekomstbestendige cyberweerbaarheid
De combinatie van strengere wetgeving, toenemende dreigingen en afhankelijkheid van digitale ketens maakt cybersecurity voor het mkb onvermijdelijk. Waar veel bedrijven de complexiteit en kosten als obstakel zien, wil Foxnet Cybersecurity juist laten zien dat structurele weerbaarheid bereikbaar is. Frank besluit: “Het gaat uiteindelijk om bedrijfscontinuïteit. Cybersecurity is geen IT-feestje meer, maar een integraal onderdeel van ondernemen. Door risico’s slim te managen en beleid concreet te maken, zorgen we dat ook kleinere organisaties hun rol in de keten verantwoord kunnen vervullen.”
Meer weten over Foxnet Cybersecurity? Neem dan contact op met Arie den Heijer via arie@foxnetcybersecurity.nl, of met Frank Bruijnes via frank@foxnetcybersecurity.nl. Of bel 088 836 9696.