DNV beoordeelt systemen en maatregelen die organisaties nemen om de informatiebeveiliging en weerbaarheid te verbeteren. Daarnaast ondersteunt DNV hen bij het aantoonbaar maken van het voldoen aan stakeholder-eisen. ’Hiervoor bieden we certificeringen, assessments, opleidingen en trainingen’, zegt Rob Jansen, Business Leader voor ICT, informatiebeveiliging en business services. 

DNV is een onafhankelijke, internationaal erkende certificatie-instelling die organisaties van dienst is in alle sectoren met betrekking tot de eisen die ze zichzelf opleggen, maar die ook stakeholders of wetgevers verwachten. ’Dat doen we door het verstrekken van certificaten of auditverklaringen’, zegt Jansen. ’We zien echter ook een grote vraag in de markt naar kennis over informatiebeveiliging, flexibiliteit en veerkracht. Daaraan komen we tegemoet met een breed pakket aan trainingen en opleidingen. Zo zorgen we ervoor dat organisaties weten welke risico’s zij lopen en welke maatregelen en certificeringen nodig zijn.’

Cyberbeveiligingswet 

De Europese Commissie scherpte in 2020 de Network and Information Security (NIS)-richtlijn aan. ‘NIS2 moet organisaties weerbaar maken tegen de toenemende dreiging vanuit cyberterrorisme en geopolitieke spanningen’, weet Jansen. ’De regels zijn strakker opgesteld en nu voor alle lidstaten gelijk.’ In Nederland zal de Cyberbeveiligingswet (Cbw) uitvoering geven aan de NIS2-richtlijn.

NIS2 Quality Mark

Hoe bewijzen organisaties dat zij aan de eisen van de Cbw voldoen? Jansen: ‘Het meest voor de hand liggend is de ISO/IEC 27001-certificering. Die dekt grotendeels de lading. Voor sommige organisaties zijn de criteria van de Cbw weliswaar niet van toepassing, maar zij moeten mogelijk toch aan onderdelen van de wet voldoen. De zorgplicht van de Cbw dwingt namelijk ook beheersing van partners in de toeleveringsketens af. Organisaties kunnen als toeleverancier kiezen voor een zogenoemd NIS2 Quality Mark. Dat is een keurmerk voor de maatregelen die zij nemen op het gebied van informatiebeveiliging en veerkracht.’

DNV ondersteunt dit proces ook met opleidingen en trainingen zodat mensen de kennis hebben om de informatiebeveiliging en de veerkracht van de organisatie te verbeteren. Vervolgens beoordeelt DNV de maatregelen en systemen voor informatiebeveiliging en bedrijf continuïteit met objectieve en onafhankelijke audits. ‘Als de klant in voldoende mate kan aantonen dat de bedrijfsvoering aan de gestelde eisen voldoet, geven wij het certificaat en/of een verklaring af.’

De datum van de inwerkingtreding van de Cbw is nog ongewis, maar Jansen raadt organisaties aan om zo snel mogelijk te starten. ’Begin met het nemen van de belangrijkste maatregelen om de basis op orde te krijgen binnen de organisatie. Kijk welke certificering of audit het aansluit bij de wensen en verplichtingen van de organisatie. Onderzoek de opties, verdiep je in de inhoud en zijn er dan nog vragen: volg een opleiding of training bij DNV. Wij leggen uit wat er in de documenten staat, wat er van je verwacht wordt en hoe daar invulling aan gegeven kan worden. Dan ondersteunen wij om dat aantoonbaar te maken.’