Aucuba Automatisering had de digitale en fysieke beveiliging van haar organisatie al goed op orde. “Maar aantonen dat je alles inderdaad goed hebt geregeld, is nog iets heel anders”, vertelt Wouter Nouwens, oprichter en algemeen directeur van Aucuba. “Daarvoor moet je onder andere alle processen beschrijven. Van Oers heeft ons daarbij ondersteund, via een NIS2 Supply Chain 20-begeleidingstraject.”
Aucuba is al meer dan 25 jaar ICT-partner voor het mkb. Vanuit die rol regelt het Bredase bedrijf het beheer, het onderhoud en de ondersteuning van ICT-zaken voor een diverse klantengroep, variërend van bedrijven met een paar medewerkers tot organisaties met honderden mensen op de loonlijst. Aucuba heeft, met een team van elf mensen, zo’n drieduizend werkplekken in beheer en zorgt dat de automatisering van deze bedrijven vlot loopt. De afgelopen jaren werden de beveiligingsmaatregelen van de systemen opgeschroefd, maar nog nergens was gedetailleerd omschreven op welke manier. En juist daar begonnen klanten naar te vragen.
Met de NIS2 Supply Chain-certificering kunnen bedrijven laten zien dat hun cyberbeveiliging aantoonbaar in orde is. Als ICT-partner voor het mkb kreeg Aucuba Automatisering steeds vaker vragen van bestaande en potentiële klanten naar hun maatregelen om systemen en netwerken te beschermen tegen cyberdreigingen.
Wouter: “Die vragen waren voor mijn compagnon Mark Vissers en mij de aanleiding om te onderzoeken wat mogelijk was om te laten zien dat we de verantwoordelijkheid nemen voor onze systemen en beveiliging. Als eerste verdiepten we ons in het behalen van een ISO 27001-certificering. Het behalen daarvan zou behoorlijk belastend en tijdrovend zijn voor onze organisatie. Bovendien leverde dat niet direct veel voordelen op voor ons. We merkten dat vanuit de NIS2 ketenaansprakelijkheid een NIS2 Supply Chain-traject veel beter aansloot bij Aucuba, vanwege de praktische insteek.”
Wouter startte zelf met het beschrijven van alle risico’s maar liep daarmee snel vast. Wouter: “De wetgeving lijkt simpel, maar zodra je je erin gaat verdiepen, wordt het toch ingewikkeld. Ook omdat het lastig is om je erop te blijven focussen naast de bestaande werkzaamheden. We zochten een partner die ons daarbij kon begeleiden en kwamen daarvoor bij Van Oers uit. Bij klanten waren we Van Oers weleens tegengekomen als IT-audit- of adviespartner, maar we werkten niet eerder samen.”
Een oriënterend gesprek bij Van Oers volgde. Wouter: “Het mooie van de aanpak van Van Oers is dat zij werken met een levend model: dat wat je zelf kan, doe je zelf en waar je hulp bij nodig hebt, schakel je hen in. Dat zorgt voor betrokkenheid aan beide kanten. Jochem Holleman heeft ons in het gehele proces ondersteund, onder andere bij het in kaart brengen van de risico’s die we lopen en wat de impact daarvan is op onze bedrijfsvoering. Je denkt steeds in scenario’s. Stel de wachtwoordtool is uit de lucht, wat betekent dat dan voor onze dienstverlening? Verhelderend om te doen! Ook maakten we met Van Oers de keuze voor de juiste gradatie; we kozen voor NIS2 Supply Chain 20. Niveau 10 was voldoende geweest, maar wij wilden als ICT-dienstverlener meer doen dan noodzakelijk.
Nu we na de audit ook de NIS2 Supply Chain 20-certificering behaald hebben, vergroot dat het vertrouwen van (potentiële) klanten in onze organisatie. En mochten we ooit toch kiezen voor ISO-certificering dan kunnen we daarvoor zaken uit NIS2 Supply Chain overnemen. Voor het omschrijven van alle processen en het beleid, ondersteunde Jochem ons enkele dagdelen op locatie, verspreid over een langere periode. Nu de processen zijn omschreven, is het belangrijk dat we het levend houden, vooral door het regelmatig in de praktijk te testen.”
Nu Aucuba de risico’s in kaart heeft gebracht en de bijbehorende maatregelen heeft omschreven, verbaast Wouter zich over de onwetendheid over deze wetgeving bij andere bedrijven. “Als directie moet je weten hoe het zit en waar de risico’s liggen. Daar ben je als NIS2 plichtige zelfs bestuurlijk aansprakelijk voor. Het feit dat wij dit nu voor Aucuba hebben geregeld, wil niet zeggen dat het daarmee ook voor onze klanten is geregeld. Wij proberen het bewustzijn bij directies te vergroten dat ze hier zelf verantwoordelijk voor zijn. We hebben zelfs al een klant doorverwezen naar Van Oers vanwege de heel pragmatische en heel fijne aanpak, waarbij je als organisatie precies de hulp krijgt die nodig is. Ik ben blij met het behaalde resultaat en de verkregen inzichten.”
Jochem Holleman, IT Consultant: “Het was fijn werken met Aucuba. Na de kennismaking, maakten we samen een risicoanalyse: waar liggen de risico’s en wat is de impact daarvan op de bedrijfsvoering. Ook een fit-gap analyse behoorde tot het proces. Daarbij breng je in kaart waar je nu staat en welke gaten nog te dichten zijn. Vervolgens vertaalden we dat naar procesbeschrijvingen en naar beleid. Dit alles pragmatisch ingestoken. Juist in die pragmatische insteek vonden we elkaar en was het fijn samenwerken.”
Oeps! We konden je formulier niet vinden.
