Spring naar content

DTX: “Organisaties moeten NIS2 als kans zien, niet als verplichting of kostenpost.”

20 maart 2025
DTX: “Organisaties moeten NIS2 als kans zien, niet als verplichting of kostenpost.”

DTX, of Dutch Technology eXperts, is een IT-bedrijf uit Alkmaar dat organisaties ondersteunt bij veilig samenwerken in de cloud en het versterken van hun cyberweerbaarheid. Cybersecurity-redacteur Jan Meijroos spreekt met DTX’ security expert en product owner Microsoft Security Bart de Leeuw.

Bart, hoe zou je jouw dagelijkse werkzaamheden omschrijven?

Bart: “Op een feestje, tegen iemand die niets met IT doet, zeg ik gewoon dat ik cybersecurity consultant ben. Vaak krijg ik dan reacties als ‘cool’ en hoor ik iets over de Russen. Maar mijn rol is natuurlijk breder. Ik ben deels cybersecurity consultant en werk veel met Microsoft Security. Mijn formele functie is Product Owner Microsoft Security. Dit betekent dat ik mij bezighoud met het Microsoft Security-portfolio binnen DTX, een managed service provider. Dit omvat onder andere Microsoft Security assessments, implementaties rondom NIS2 op Microsoft-technologie en onze SOC-diensten. Naast deze strategische taken vind ik het ook leuk om zelf met techniek en klanten bezig te zijn en daarom werk ik ook als consultant.”

Wat voor soort bedrijf is DTX precies? Wat doen jullie wel en niet?

Bart: “DTX is een IT-service provider met drie hoofdgebieden: security, cloud en solutions. Security richt zich op informatiebeveiliging en compliance, cloud is puur infrastructuurbeheer en solutions is een relatief jonge, maar snelgroeiende tak die zich bezighoudt met data-analyse, AI-toepassingen en slimme inzichten. Steeds meer klanten maken gebruik van alle drie de diensten, waardoor we een compleet IT-pakket kunnen aanbieden.”

Je noemde al dat jullie iets doen met NIS2 en Microsoft Security. Kun je daar kort iets meer over vertellen?

Bart: “Zeker! NIS2, of eigenlijk de Cyberbeveiligingswet, komt eraan en heeft impact op veel bedrijven. We krijgen veel klantvragen over hoe ze NIS2 compliant kunnen worden. Omdat zoveel bedrijven onder deze wet vallen, hebben we een toolkit ontwikkeld die niet alleen wij, maar ook andere IT-dienstverleners kunnen inzetten. Dit is nodig omdat compliance zowel een beleidsmatige als een technologische kant heeft. Wij richten ons op de technologie en werken samen met Bluebird & Hawk, die de beleidskant oppakt. Samen kunnen we een compleet pakket bieden.”

Hoe ziet die toolkit er concreet uit? Wat krijgen klanten als ze deze gebruiken?

Bart: “De toolkit bestaat uit twee onderdelen. Ten eerste een reeks documenten waarin het beleid en de procedures staan beschreven in begrijpelijke taal. Dit maakt het voor bedrijven makkelijker om compliance te begrijpen en toe te passen. Ten tweede bieden wij een technologische standaard op basis van Microsoft-oplossingen, die onder andere een veilige moderne werkplek, security baselines en een Azure landing zone omvatten. Hiermee kunnen organisaties hun IT-omgeving veilig migreren naar de Microsoft Cloud en deze volgens onze ‘gouden standaard’ beveiligen. Dit helpt bedrijven om een cybersecurityniveau te bereiken dat aansluit bij de eisen van de Cyberbeveiligingswet.”

Kan elke organisatie deze toolkit direct gebruiken of is er extra expertise nodig?

Bart: “De toolkit vereist implementatie door een MSP (Managed Service Provider), omdat het niet simpelweg een kwestie is van een knop indrukken. Onjuiste implementatie kan IT-omgevingen verstoren, bijvoorbeeld doordat medewerkers geen toegang meer hebben tot hun systemen. Dit betekent dat óf wij, óf een partnerorganisatie, óf de interne IT-afdeling van een bedrijf de implementatie moet uitvoeren.”

Hoe kijk je naar de NIS2 Quality Mark, een laagdrempeliger keurmerk voor kleinere mkb-bedrijven?

Bart: “Wij zijn er erg enthousiast over. We hebben vaak feedback gekregen van kleinere partners en ketenorganisaties die niet de volledige, zware normering willen of kunnen implementeren. Tegelijkertijd vonden wij het lastig om een ‘uitgeklede’ versie van een securitystandaard aan te bieden, omdat dat al snel zou voelen als een compromis op veiligheid.

We hebben veel tijd besteed aan de vraag: hoe kunnen we een toegankelijkere variant maken zonder concessies te doen aan de kwaliteit? Toen we de NIS2 Quality Mark zagen, wisten we dat dit een goede oplossing was. Zo’n keurmerk geeft veel meer legitimiteit dan wanneer wij zelf een ‘light-versie’ van onze toolkit zouden introduceren. Nu kunnen we zeggen: dit is een erkende standaard, en dat maakt het voor onze klanten veel duidelijker en betrouwbaarder.”

Het dashboard waarin jullie het NIS2 Quality Mark implementeren, is dat vooral op Microsoft gericht?

Bart: “Ja, volledig. De technologiecomponent is geheel gebaseerd op Microsoft-oplossingen. Het beleidsstuk staat daar los van, want dat gaat over processen binnen een organisatie. Maar de technische uitvoering, monitoring en beveiliging gebeurt via het Microsoft-ecosysteem.”

Wordt dit dashboard al door externe partijen gebruikt?

Bart: “We gebruiken een soortgelijk dashboard momenteel intern bij onze eigen klanten, maar nog niet specifiek voor het NIS2 Quality Mark. Op dit moment testen we en bouwen we ervaring op, en de komende tijd gaan we dit verder uitrollen.”

Wat verwacht je straks als NIS2, zoals het er nu naar uitziet, in het derde kwartaal van dit jaar actief wordt? Staat de telefoon dan direct roodgloeiend, of merk je nu al dat bedrijven uit hun ‘winterslaap’ komen en actie ondernemen?

Bart: “Helaas valt dat nu nog tegen. We krijgen wel steeds meer vragen en zien meer aandacht voor het onderwerp, maar we voelen de sense of urgency nog niet. Dit keer lijkt de deadline echter een stuk strakker te zijn, dus de urgentie zal toenemen naarmate het moment dichterbij komt en er een feitelijke wetsintroductiedatum wordt genoemd.”

Zijn jullie ook proactief in het benaderen van klanten? Spreken jullie hen aan over NIS2 compliance?

Bart: “Absoluut, we proberen klanten die aan NIS2 moeten voldoen of binnen zo’n keten opereren wakker te schudden. Als we dat niet doen, komen ze uiteindelijk alsnog bij ons, maar dan met haast en tijdsdruk. We verwachten vooral dat er in het derde kwartaal een flinke toename zal zijn in bedrijven die zich realiseren dat ze iets moeten regelen. Daarom zetten we ook in op onze toolkit, zodat we hen snel en effectief kunnen helpen.”

Wat zou je tenslotte bedrijven aanraden met betrekking tot NIS2 en cybersecurity-certificering?

Bart: “Wat belangrijk is voor bedrijven; de NIS2 Cyberbeveiligingswet brengt strengere verplichtingen met zich mee, zoals de meldplicht, maar vooral de hoofdelijke aansprakelijkheid is iets wat organisaties niet moeten onderschatten. Verantwoordelijken in organisaties kunnen deze verplichtingen niet langer verwaarlozen of afschuiven, omdat ze persoonlijk aansprakelijk gesteld kunnen worden.

Begin daarom op tijd met de voorbereidingen om te voldoen aan de wetgeving en voorkom onnodige risico’s. Als je pas op het laatste moment actie onderneemt, kun je tegen weken- of maandenlange vertragingen aanlopen, afhankelijk van hoe flexibel je organisatie is. En dat wil je niet, zeker als er een risico is dat je klanten hierdoor voor een ander kiezen die het wel geregeld heeft. Vooral als er verouderde systemen of rigide processen zijn, kan implementatie extra tijd vergen. Zo zou je NIS2 ook als kans zien om schoon schip te maken. Het is niet een verplichte kostenpost, maar een business enabler. Dat schone en veilige schip kunnen organisaties zelfs als concurrentievoordeel gebruiken.”

Gerelateerde artikelen

Samen Digitaal Veilig is met 8.000 aangesloten bedrijven het grootste NIS2-platform van Nederland

Nieuw: NIS2 dossier – CEO/bestuur verplicht aan het stuur

Samen Digitaal Veilig lanceert Estimated Risk Index: automatische risicoscore voor 170.000 Nederlandse leveranciers

Datect en Samen Digitaal Veilig starten samenwerking

Bij welke partijen kun je een NIS2 Supply Chain audit laten uitvoeren?
Interesse in dit onderwerp?

We houden je op de hoogte!

Terug naar overzicht