“Nu AI alle spelregels in heel korte tijd verandert, heeft cybercriminaliteit een kans om toe te slaan”, zegt Geert-Jan van der Snoek, bestuurder van Lefebvre Sdu. “En dus moet je kunnen aantonen dat je er als organisatie alles aan doet om je zaken op orde te hebben en te houden.” Lefebvre Sdu schakelde om die reden Van Oers in voor een NIS2 Supply Chain (voorheen Quality Mark) 30 Audit.
Lefebvre Sdu, onderdeel van Lefebvre Group, is als multimediale uitgeverij Europees marktleider in dienstverlening aan professionals op het gebied van wet- en regelgeving. Waar Sdu zich in de twintigste eeuw zich nog vooral bezighield met het publiceren van wetsartikelen en wetboeken, heeft het zich ontwikkeld tot een van de meeste innovatieve software-uitgevers op het gebied van wet- en regelgeving. De overheid heeft de diensteverlening van Lefebvre Sdu opgeschaald van ‘belangrijk’ naar ‘essentieel’. Dit betekent dat Lefebvre Sdu als essentieel wordt gezien in de Nederlandse samenleving. Zo worden de technologische oplossingen van Lefebvre Sdu, met geïntegreerde kennis van wet- en regelgeving ingezet in de rechtspraktijk van elke dag.
De NIS2 is een Europese richtlijn voor cyberbeveiliging. In Nederland is dit vertaald naar een nationale wet, de Cyberbeveiligingswet. Deze wet verplicht organisaties in vitale sectoren en met essentiële digitale diensten tot het treffen van passende technische en organisatorische maatregelen om hun systemen en netwerken te beschermen tegen cyberdreigingen, maar ook de toeleveranciersketen hierop te beoordelen. De NIS2 Supply Chain certificering is een nieuw product in Nederland dat hieraan bijdraagt en waarmee bedrijven kunnen laten zien dat hun cyberbeveiliging aantoonbaar in orde is. Er zijn maar enkele partijen in Nederland die hiervoor de certificeringsaudit mogen uitvoeren. Van Oers is een van de partijen die een onafhankelijke toetsing mag uitvoeren op het hoogste niveau. Lefebvre Sdu was één van de eerste klanten die daarvoor bij Van Oers aanklopte.
Geert-Jan: “Als je AI inzet om je werkprocessen te verbeteren, kun je niet om NIS2 heen. Dat begint door te dringen in Nederland. En als dat nog niet doorgedrongen is, is mijn boodschap: word wakker Nederland! Want cyberbeveiliging is essentieel voor alle bedrijven, daar zou helemaal geen wetgeving voor nodig moeten zijn. Nieuw in de huidige wetgeving rondom cybersecurity is dat je als statutair directeur persoonlijk aansprakelijk bent voor het op orde hebben van je processen én voor je leveranciersmanagement. Het is een risico waar je je niet zomaar tegen kunt verzekeren en dat om urgentie vraagt. Het gaat bij implementatie van AI-technologie om vier geïntegreerde domeinen, waar je als bestuurder een mening over moet formuleren: AI, cloud, dataopslag en cybersecurity.”
Geert-Jan van der Snoek vervolgt: “In deze tijd is vertrouwen, alles; het meest fundamentele dat we hebben. Met de NIS2 Supply Chain certificering zetten we daarin een hele grote stap vooruit om aan te tonen dat we op orde zijn. Want in tegenstelling tot andere certificeringen is het geen stempel maar een levend proces waarbij het gaat om blijvend waarborgen van het op orde houden van je processen en je leveranciersmanagement. Ik zie het als een unieke kans om je organisatie verder te professionaliseren.”
Geert-Jan: “De grootste uitdaging is daarin om je medewerkers mee te krijgen. Het is complexe materie, wat vraagt om volledig commitment vanuit de top. Dat hebben we bij Lefebvre Sdu gedaan. Als organisatie stellen we risk en compliance boven sales. Ofwel, de hoogste prioriteit.”
Om het belang van NIS2 te laten leven binnen de organisatie, werd het binnen Lefebvre Sdu een terugkerend onderwerp op personeels- en teambijeenkomsten.
Geert-Jan: “Als het mankeert aan risk en compliance, hoef je namelijk geen sales meer te bedrijven. Het is corvee, je moet het gewoon doen! Je bedrijf is niet helemaal op orde als je niet compliant bent. Dat betekent dat we een datum hebben afgesproken met elkaar waarop we compliant aan NIS2 wilde zijn en mensen de handen hebben vrijgegeven om daarvoor te gaan, onder wie Alexander den Engelsman als security officer ai. en Michel de Beer als projectmanager.”
Alexander den Engelsman was vanuit Lefebvre Sdu betrokken bij de keuze voor Van Oers als auditpartner. “Je hebt een externe partij nodig voor de audit. Na een aanbesteding zijn we binnen ons netwerk op zoek gegaan naar een auditpartij en hebben we expliciet voor Van Oers gekozen als een niet al te groot Nederlands bedrijf met korte lijnen.”
Geert-Jan: “Van Oers snapt het auditproces vanuit hun oorspronkelijke accountancy-achtergrond. Ofwel ze zijn als beoordelaar onafhankelijk genoeg om kritisch te zijn. Voordeel is dat Van Oers niet behoort tot de big four en zo dicht genoeg tegen het ondernemerschap aan zit.”
Na de keuze voor Van Oers om de audit uit te voeren, volgde voor Lefebvre Sdu de voorbereiding.
Alexander: “Omdat de overheid ons ziet als essentieel binnen BV Nederland hadden wij te maken met het hoogste niveau van NIS2 Supply Chain, NIS2-SC30 High. Vanuit Lefebvre Sdu was onder andere projectmanager Michel de Beer nauw betrokken bij het verzamelen en opstellen van alle benodigde documenten om überhaupt aan de audit te mogen deelnemen. We werkten met het Framework Samen Digitaal Veilig. Daaruit kwamen checks op 30 thema’s. Michel de Beer zorgde ervoor dat alle punten werden opgevolgd. Tijdens dit proces waren er diverse meetings via Teams met Van Oers, als voorbereiding op de auditdag op het hoofdkantoor van Lefebvre Sdu in Den Haag. Voor Van Oers waren we één van de eerste klanten met wie zij dit traject hebben doorlopen. Zij keken kritisch en stelden zich volledig neutraal op. De aanpak en kundigheid van de hele jonge professionals bij Van Oers vond ik verfrissend. Dat past bij een organisatie als de onze, die vaak als corporate wordt gezien maar dat niet is.”
De NIS2 Supply Chain 30 Audit in november 2025 bij Lefebvre Sdu leidde tot een NIS2 Supply Chain certificering met een geldigheid van drie jaar. Alexander: “Het belang van NIS2 is een no-brainer! Je moet klanten, in ons geval de overheid, kunnen garanderen dat je er alles aan doet om je processen veilig te houden. En dat betekent ook iets voor onze vele leveranciers met wie we samenwerken. De zwakste schakel in je leveranciersketen bepaalt namelijk je eigen security. Daarom doen we bij elke leverancier een risicoanalyse om in te schatten wat de impact is op onze bedrijfsvoering als zij niet kunnen leveren. Ons doel is dat al onze leveranciers binnen drie jaar voldoen aan de NIS2-vereisten op het gebied van leveranciersmanagement. Daarna werken wij uitsluitend samen met leveranciers die aan deze eisen voldoen. NIS2 heeft een zelfregulerende werking.”
Geert-Jan zegt daarover tot slot: “Er gaan veel uren zitten om dit alles op orde te krijgen en te houden. Dat geldt niet alleen voor ons maar ook voor onze toeleveranciers. Je moet in Nederland de tweedeling tussen kleine en grote bedrijven voorkomen. De kleine bedrijven zitten, als bijvoorbeeld installatiebedrijf of vervoerder, óók in onze keten en kunnen straks hun werk niet meer doen als zij niet kunnen aantonen dat ze compliant zijn. Tegelijkertijd kunnen zij niet zomaar iemand vrij maken om dit er even bij te doen. Het MKB moet worden geholpen om de aansluiting te behouden zodat hun business niet in het gedrang komt. Uiteindelijk zijn we allemaal afhankelijk van elkaar.”
Marnix Buijs, IT Auditor: “Lefebvre Sdu ziet de noodzaak in van deze audit van processen rondom informatiebeveiliging en de onafhankelijke toetsing daarvan. Het NIS2 Supply Chain raamwerk en de onafhankelijke kritische certificeringsaudit helpt organisaties om te beoordelen wat al goed gaat en waar organisaties kunnen versterken om cyberweerbaar te zijn. Deze certificering kan in elke branche worden ingezet.”
Wesley Riool, Manager IT-Audit “De onafhankelijke certificeringsaudit heeft laten zien dat Lefebvre Sdu de benodigde maatregelen op orde had, resulterend in de NIS2 Supply Chain 30 certificering. Deze certificering is voor Lefebvre SDU een mooie mijlpaal na de inspanning om het volwassenheidsniveau van de interne beheersing rondom informatiebeveiliging naar een passend niveau te tillen en dit structureel te verankeren binnen de organisatie.”
Oeps! We konden je formulier niet vinden.
