Acht securitybedrijven startten dit voorjaar de brancheorganisatie Cyberveilig Nederland. Doel van het initiatief is om de digitale weerbaarheid van Nederland te vergroten en de kwaliteit en transparantie binnen de cybersecuritysector te verhogen.

Nederland behoort tot de digitale voorhoede van Europa. Om de economische en maatschappelijke kansen van deze koploperpositie te benutten, is aandacht voor cybersecurity een absolute noodzaak. Dit is af te leiden uit de Nederlandse Cybersecurity Agenda die minister Grapperhaus eerder dit jaar presenteerde. Grote cyberaanvallen zoals WanaCry en notPetya hebben de digitale kwetsbaarheid van Nederlandse organisaties zichtbaar gemaakt.

Initiatiefnemers Cyberveilig Nederland willen een transparante markt van cybersecuritydienstverlening

De vraag naar cybersecurity-dienstverlening neemt toe. Maar de transparantie en kwaliteit in de sector zijn geen vanzelfsprekendheid. Daarom maakten acht cybersecurityaanbieders in maart bekend de brancheorganisatie Cyberveilig Nederland te starten. Computest, Fox-IT, Guardian360, Hoffmann, Motiv, Northwave, QSight IT en Zerocopter zijn de initiatiefnemers. De samenwerkende partijen willen komen tot een transparante markt waar opdrachtgevers een goede inschatting kunnen maken van prijs en kwaliteit van cybersecuritydienstverlening. Daarnaast willen de leden van Cyberveilig Nederland de maatschappelijke waarde van hun werk en expertise laten zien.

We merken dat er echt behoefte is aan een brancheorganisatie op het vlak van cybersecurity

Onafhankelijke stem om kwaliteit van dienstverlening te waarborgen

“Cybersecurity is een jonge sector waar veel gebeurt, maar waar ook nog veel onduidelijk is, bijvoorbeeld als het gaat om de kwaliteit van de dienstverlening. Er is dringend behoefte aan een onafhankelijke stem binnen de cybersecuritybranche”, zegt Petra Oldengarm, tot voor kort Director Cybersecurity bij Hoffman en nu directeur van Cyberveilig Nederland.

Onduidelijke kwaliteits- en prijsverschillen helder maken

“De leden van Cyberveilig Nederland willen samenwerken aan kwaliteitsstandaarden om afnemers meer helderheid te geven over hun diensten. Op dit moment kunnen klanten niet altijd goed inschatten welke kwaliteits- en prijsverschillen er zijn tussen dienstverleners. Stel dat een organisatie een penetratietest wil laten uitvoeren. Het ene bedrijf levert dan een kwetsbaarhedenscan. Het andere laat een ethische hacker proberen of hij het systeem kan binnenkomen. Daar hangt uiteraard een ander prijskaartje aan. De klant die het aanbod alleen beoordeelt op prijs heeft onvoldoende zicht op de achtergrond daarvan.”

De markt in cybersecurity levert ook kansen op

Cybersecurity is niet alleen een bedreiging

Ook het zichtbaar maken van een brede visie op cybersecurity was een aanleiding voor de oprichting van Cyberveilig Nederland, vertelt beleidsadviseur Liesbeth Holterman, die eerder onder andere werkte bij brancheorganisaties FME en Nederland ICT. “Cybersecurity wordt meestal gepositioneerd als bedreiging. Maar de markt in cybersecurity levert ook kansen op. Zo kunnen cybersecuritydeskundigen bedrijven en organisaties stimuleren om security by design toe te passen – en dat komt de maatschappelijke veiligheid en uiteindelijk economische groei ten goede.”

Belangenbehartiging bij politieke en maatschappelijke discussies

Een derde doelstelling van Cyberveilig Nederland is belangenbehartiging. Oldengarm: “Cybersecurity is in onze visie breder dan IT-security of digitale weerbaarheid in de industrie. Het is net zo goed een kwestie van mensenwerk als van techniek. Die visie willen we uitdragen.” Leden van de vereniging mengen zich actief in politieke en maatschappelijke discussies over bijvoorbeeld beleid, zelfregulering en wet- en regelgeving over cybersecurity.

Brede achterban van de specialist in cyber tot een accountantskantoor

Een van de concrete doelstellingen die Cyberveilig Nederland zich voor 2018 stelde, is om een brede achterban aan te spreken. De vereniging is er voor bedrijven die volledig gespecialiseerd zijn in cybersecurity, maar ook voor ondernemingen waarvan een substantieel deel van de bedrijfsactiviteiten over cybersecurity gaan. Denk aan een accountantskantoor met een flink team dat zich toelegt op cybersecurity.

Aantal leden in paar maanden verdrievoudigd

In de eerste maanden na de start van Cyberveilig Nederland is het aantal leden al bijna verdrievoudigd. Oldengarm: “Opvallend is dat deze een heel breed spectrum van spelers op de cybersecuritymarkt vertegenwoordigen. Het zijn jonge MKB-bedrijven die in een niche actief zijn, maar ook gevestigde namen zoals Fox-IT, Secura en Insite Security. Bovendien zijn zowel consultancybureaus als leveranciers van cybersecurityproducten geïnteresseerd in een lidmaatschap.” Ook certificeringsinstelling Kiwa, dat een expert center heeft waar ruim dertig cybersecuritydeskundigen werken, heeft zich aangesloten.

Zeggenschap en onderlinge afspraken

“Leden betalen een contributie die afhankelijk is van de bedrijfsomvang, maar elk lid heeft evenveel te zeggen”, licht Holterman toe. “We zijn nadrukkelijk een vereniging, geen commerciële instantie.” Leden ondertekenen de gedragscode van Cyberveilig Nederland, waarin afspraken staan over bijvoorbeeld de opleiding van personeel, de beveiliging van de eigen systemen en de toepassing van responsible disclosure-beleid.

Het belang van de vereniging is zo groot dat de onderlinge concurrentie steeds minder een rol speelt

Is het bijzonder dat de cybersecuritybedrijven nauw samenwerken ondanks de stevige concurrentie op de markt? Oldengarm denkt dat brancheverenigingen bij uitstek in staat zijn om de gezamenlijke belangen voorop te zetten. “Het belang van de vereniging is zo groot dat de onderlinge concurrentie steeds minder een rol speelt. Bovendien is de markt in cybersecuritydiensten heel groot, dus er is zeker ruimte voor veel spelers.”

Cyberveilig Nederland richt zich op nationale cybersecurity

Hoewel cybersecurity een internationaal vraagstuk is – en er onder de leden van Cyberveilig Nederland ook diverse internationaal opererende spelers zijn – richt Cyberveilig Nederland zich bewust op nationale aangelegenheden. De vereniging staat open voor bedrijven met een vestiging in Nederland en de activiteiten richten zich op Nederlandse ontwikkelingen.

Invloed Europese wetgeving

Holterman: “Door Europese wetgeving wordt Europa steeds belangrijker voor de cybersecuritysector. Maar we vertegenwoordigen de belangen van de branche in Nederland. We bespreken bijvoorbeeld met de ministeries van Economische Zaken en Justitie en Veiligheid wat de impact is van Europese wet- en regelgeving op Nederlandse bedrijven en cybersecuritydienstverleners.”

Verplichte certificering voor bepaalde Internet of Things producten

Een belangrijk onderwerp van gesprek is bijvoorbeeld de Cybersecurity Act waaraan de Europese Commissie werkt. Naar verwachting introduceert de verordening een verplichte certificering voor bepaalde Internet of Things producten. Vanwege dit soort ontwikkelingen kijkt Cyberveilig Nederland al naar de mogelijkheden om met Europese brancheverenigingen samen te werken.

Betrokkenheid bij diverse werkgroepen en debatten

Het bestuur van de branchevereniging bestaat uit voorzitter Steven Dondorp (CEO van Northwave Security), secretaris Erik de Jong (Chief Research Officer bij Fox-IT) en penningmeester Aksel Dorel (Managing Director van Motiv ICT Security). Het bestuur houdt zich vooral bezig met de interne organisatie. Tegelijkertijd laat de vereniging al van zich horen in diverse werkgroepen en debatten. Zo is Cyberveilig Nederland betrokken bij activiteiten van het Digital Trust Centre (DTC), waar het meepraat over de Cybersecurity Essentials, een set richtlijnen die bedrijven helpen om hun basisbeveiliging op orde te krijgen. Ook over de Nationale Digitaliseringsagenda en de Nederlandse Cybersecurity Agenda hebben vertegenwoordigers van Cyberveilig Nederland meegedacht.

Brancheorganisatie voorziet in een behoefte

“Onze betrokkenheid bij initiatieven zoals het DTC en Kamerdebatten over beleid en wet- en regelgeving laat zien dat er aandacht is voor onze onderwerpen. We merken ook dat er echt behoefte is aan een brancheorganisatie op het vlak van cybersecurity”, zegt Oldengarm, terugblikkend op de eerste maanden na de start van Cyberveilig Nederland. “Politici hebben heel veel onderwerpen op hun bord en die waarderen het dat we praktisch meedenken. We proberen namelijk om de problematiek zo veel mogelijk concreet te maken”, vult Holterman aan. Ze noemt als voorbeeld het melden van datalekken.

Wij leggen haarfijn uit waarom een maatregel niet werkt, of zelfs contraproductief kan uitpakken

“Volgens de Algemene verordening gegevensbescherming (AVG) moet een cyberincident binnen 72 uur worden gemeld. In de Cybersecuritywet staat dat een datalek zo snel mogelijk moet worden gemeld. Zoiets is voor bedrijven niet te begrijpen – en trouwens ook niet voor de cybersecuritysector die daarover moet adviseren. Als we willen dat meldingen op de juiste manier bij de juiste instantie terechtkomen dan is het essentieel dat wetgevers en beleidsmakers goed nadenken over de regels. Wij leggen haarfijn uit waarom een maatregel niet werkt, of zelfs contraproductief kan uitpakken.”

Keurmerk op komst

Een speerpunt in de toekomstige activiteiten van Cyberveilig Nederland is de ontwikkeling van een keurmerk voor cybersecurity, vertelt Oldengarm. “Het Centrum voor Criminaliteitspreventie en Veiligheid (CCV) en het Verbond van Verzekeraars werken – samen met publieke en private partijen, waaronder Cyberveilig Nederland – aan een keurmerk voor cyberrisico’s. Daarmee kunnen bedrijven zelf de risico’s bepalen en aan de hand van die analyse kan vervolgens worden vastgesteld welk type preventiemaatregelen mogelijk en nodig is. Ook de certificering van cybersecuritybedrijven is onderdeel van het project. Belangrijke diensten die veel worden gebruikt, zoals de pentest, worden daarbij ook bekeken.” Cyberveilig Nederland heeft zitting in een aantal werkgroepen die het CCV hierover organiseert.

De reuring in de markt zal zeker doorgaan

Hoe gaat de cybersecuritymarkt zich ontwikkelen?

De komende maanden gaat Cyberveilig Nederland niet alleen met het keurmerk voor cybersecurity aan de slag. Ook visieontwikkeling staat op de agenda. Oldengarm: “We maken een inventarisatie van de markt en analyseren de statistieken, trends en ontwikkelingen waarover we vanuit onze achterban de beschikking hebben. Hoe gaat de cybersecuritymarkt zich ontwikkelen? Welke typen dienstverlening zijn goed vertegenwoordigd en waar zitten de groeikansen? Hoe denken wij over cyberweerbaarheid? De reuring in de markt zal zeker doorgaan. Als vereniging hebben daar als geen ander goed zicht op. Die kennis gaan we ontwikkelen en delen.”


Lynsey Dubbeld is communicatieadviseur, trendanalist, contentstrateeg & copywriter
Bron: https://www.securitymanagement.nl/brancheorganisatie-cyberveilig-nederland-samenwerken-aan-transparantie/.