Klantcase: IT-Value

IT-Value is een mensgerichte IT-kennispartner die organisaties ondersteunt bij strategie, implementatie en beheer van IT-oplossingen. Dit doen zij bewust voor maatschappelijke- en mensgerichte organisaties zoals de zorg en (semi-)overheid. IT-Value helpt organisaties om hun IT-omgeving onder andere betrouwbaar, veilig en toekomstbestendig te houden. Onlangs volgde IT-Value een NIS2 training via CertificeringsAdvies Nederland (CAN). Daarbij werd bewust ingezet op verdieping: geen vinkje zetten voor compliance, maar het gesprek voeren over wat informatiebeveiliging betekent voor hun organisatie en waarom dat ertoe doet. De NIS2-training gaf IT-Value de bevestiging dat echte veiligheid niet alleen uit een verplichting komt, maar ook uit betrokkenheid.

De NIS2-richtlijn komt eraan. Voor veel organisaties klinkt dat als: “weer een nieuwe wet waar we aan moeten voldoen.” Ook binnen IT-Value speelde die gedachte bij sommigen. “Eerlijk is eerlijk,” vertelt Thijs Kleemans, Manager Professional Services: “Hoewel het vanuit onze organisatie een belangrijke stap is, zag ik de training in eerste instantie vooral als iets wat moest gebeuren. Maar tijdens de sessie veranderde dat beeld totaal. Door de manier waarop de trainer, Tobias, het bracht, met veel praktijkvoorbeelden en dialoog, werd duidelijk wat de échte waarde is: snappen wat er speelt, waarom het ertoe doet en hoe je er als organisatie sterker van wordt.”

De NIS2 training bij IT-Value werd verzorgd door Tobias op den Brouw, Adviseur bij CertificeringsAdvies Nederland.

De training richtte zich niet alleen op de formeel verantwoordelijken, maar juist ook op het bredere (management)team. “Dat was belangrijk,” vertelt Tobias. “Goede sturing op informatiebeveiliging ontstaat pas als directie en management samen begrijpen wat er nodig is, welke risico’s er spelen en hoe ze daar effectief op kunnen sturen.” De sessie  was bewust interactief, met casussen, een quiz en veel ruimte voor discussie.

Juist doordat mensen vanuit verschillende disciplines deelnamen, ontstond er een breed gesprek waarin ieder vanuit zijn eigen expertise bijdroeg. Dat maakte de training waardevol én veel meer dan een verplichte vinkoefening. Tijdens de training werd ook duidelijk dat NIS2 verder gaat dan alleen compliance. Het raakt de kern van goed management .

Bob Masselink, Manager Managed Services bij IT-Value, legt uit:

“De NIS2 is in de basis natuurlijk wetgeving, maar wel een hele belangrijke. Het legt iets vast wat voorheen vaak impliciet bleef: dat de directie eindverantwoordelijk is voor informatiebeveiliging binnen de organisatie. En dat besef moet echt doordringen. Veel mensen realiseren zich nog niet dat bestuurders straks ook persoonlijk aansprakelijk zijn als het misgaat.”

Volgens Bob is die bewustwording broodnodig in de huidige tijd.

“Elk bedrijf wordt vroeg of laat aangevallen, vaak zonder dat ze het weten. Juist daarom is het cruciaal dat processen op orde zijn, dat je weet wie waarvoor verantwoordelijk is en dat de directie snapt wat er in de organisatie gebeurt. De NIS2 helpt dat gesprek afdwingen. Niet als extra last, maar als middel om grip te krijgen.”

Tijdens de gesprekken binnen IT-Value kwam ook naar voren dat ISO 27001 een uitstekend fundament biedt om aan de eisen van de NIS 2 te voldoen. Het framework zorgt ervoor dat processen, rollen en verantwoordelijkheden al helder zijn ingericht. Thijs vult aan: “Omdat wij al ISO 27001-gecertificeerd zijn, merkten we dat de basis al goed stond. De training maakte duidelijk hoe we die bestaande structuur kunnen gebruiken om verder te groeien richting NIS2. Eigenlijk sluit het naadloos op elkaar aan.” Conclusie: begin met ISO 27001; daarmee leg je de basis en kun je pragmatisch doorpakken richting NIS2.

Door de brede samenstelling van het deelnemersveld ontstond er tijdens de training een waardevol gesprek over risico’s, verantwoordelijkheden en samenwerking. Tobias: “We hebben het niet alleen gehad over compliance, maar ook over continuïteit, aansprakelijkheid, contractuele afspraken met klanten en leveranciers, en zelfs verzekeringsvraagstukken. Het ging over realistische scenario’s: wat doe je als er iets misgaat?” Daarbij keken we ook naar de rol van IT-Value binnen de keten: hoe om te gaan met klanten die zelf grote risico’s lopen, hoe verantwoordelijkheden vast te leggen in contracten en hoe leveranciers en onderaannemers daarin mee te nemen.

Er was expliciet aandacht voor de vraag ‘voor wie geldt NIS2 nou precies?’, inclusief het verschil tussen belangrijke en essentiële entiteiten, zodat teams niet (langer) op duidelijkheid blijven wachten. De gesprekken gingen verder dan beleid: ook over gedrag, bewustwording en hoe ‘in control’ de organisatie écht is, bijvoorbeeld in het gebruik van wachtwoordbeheer of het herkennen van risico’s in de praktijk. De training bood ruimte om stil te staan bij de vragen die er écht toe doen: hoe volwassen is onze informatiebeveiliging nu? Waar liggen onze risico’s? En hoe sturen we daar effectief op als (management)team?

Voor IT-Value leverde de training meer op dan kennis. Het zorgde voor bewustwording en eigenaarschap. “De training heeft ervoor gezorgd dat we intern anders over informatiebeveiliging praten,” zegt Bob Masselink. “NIS2 is geen vinkje, het is gezond verstand. Uiteindelijk gaat het om verantwoordelijkheid nemen voor je data, die van je klanten en leveranciers. Dat besef moet in elke laag van de organisatie leven, niet alleen in de directie.”

Thijs vult aan: “Het gaf me inzicht dat NIS2 juist helpt om je organisatie te professionaliseren. Veel klanten zien het als een verplichting, maar eigenlijk biedt het structuur en duidelijkheid. Het maakt je sterker, ook operationeel.”

IT-Value raadt organisaties aan om te investeren in kennis en voorbereiding.

Bob: “We willen niet alleen tegen klanten zeggen dat ze iets moeten doen, terwijl we het zelf niet doen. We dragen samen risico’s. Daarom willen wij het gewoon goed geregeld hebben. Vanuit overtuiging, niet omdat het verplicht is. Zo blijft de boodschap naar klanten geloofwaardig: wat we adviseren, léven we zelf ook; omdat je risico’s in de keten samen draagt.”

De samenwerking tussen IT-Value en CAN is er één van gelijkwaardigheid. Tobias: “IT-Value is al ver in volwassenheid als het gaat om informatiebeveiliging, maar door samen die verdieping op te zoeken, kregen we gesprekken op een niveau dat echt impact maakt. De training werd geen theoretische sessie, maar een levendige discussie die leidde tot concrete acties.”

Bob sluit af: “Wat ik prettig vond, was dat Tobias inhoudelijk sterk is, maar nooit belerend. Hij legt uit waarom iets belangrijk is en daardoor krijg je draagvlak. Dat maakt het verschil.”