Mkb-keurmerk voor it-leveranciers in de maak

De Tweede Kamer wil voor het mkb een cyberkeurmerk voor it-leveranciers in het leven roepen. Hiertoe is een motie van VVD, SP, D66 en PvdA aangenomen. Zo’n keurmerk moet kleine ondernemers helpen het kaf van het koren te scheiden.

De regering wordt gevraagd om hierover in overleg te treden met het Digital Trust Center en betrokken brancheorganisaties. Volgens het VVD-Kamerlid Queeny Rajkowski maakt de huidige wildgroei aan it-leveranciers op gebied van cybersecurity een keuze moeilijk. Vooral voor kleinere bedrijven is het lastig om in te kunnen schatten of iemand nou goed werk levert of dat je te maken hebt met een beunhaas.

Rajkowski: ‘Mkb’ers hebben vaak niet de kennis, kunde of capaciteit in huis om hun informatiebeveiliging zelfstandig op orde te krijgen. Ze krijgen om die reden ook vaak hulp van externe it-leveranciers die kunnen helpen bij hun cybersecurity-beleid.’ Volgens haar voorkomt het instellen van een keurmerk dat verkeerde keuzes worden gemaakt.

Minister Micky Adriaansens (Economische Zaken en Klimaat) is het met de Tweede Kamer eens dat duidelijkheid, zeker in dit soort situaties, kan helpen. ‘Het is van oudsher echter wel aan het bedrijfsleven om marktinstrumenten zoals keurmerken, labels, certificeringen en dergelijke te ontwikkelen. Maar gezien de grote belangen die hier spelen, wil het kabinet ook zelf de ontwikkeling van dit instrumentarium stimuleren’, aldus de minister.

Andere keurmerken

Een cyberkeurmerk voor mkb-leveranciers op gebied van informatiebeveiliging zou goed passen bij de andere keurmerken voor cybersecurity die het Centrum voor Criminaliteitspreventie en Veiligheid (CCV) onder zijn hoede heeft. Deze onafhankelijke stichting ontwikkelt en beheert certificatieschema’s. Met een keurmerk of certificaat toont een bedrijf aan dat de geleverde producten en/of diensten aan de norm voldoen. Jacco van den Heuvel, adviseur keurmerken bij het CCV, meent dat je z’n keurmerk moet zien als een kwaliteitsstempel. ‘Je weet dan dat je met een betrouwbare partij te maken hebt die een goede dienst levert.’

Om te borgen dat de aanbieders van pentesten kwalitatief goed werk leveren is het CCV-keurmerk Pentesten ontwikkeld. Inmiddels hebben dertien pentesters zo’n certificaat ontvangen, terwijl nog een behoorlijk aantal aanvragen op een beoordeling wachten. Verder is een keurmerk voor ‘cybersecurity-awarenesstrainingen’ in de maak.

Ook wordt de mogelijkheid onderzocht van een keurmerk voor monitoring. Als vierde ligt nog een keurmerk voor incident-response en risicoanalyse in het verschiet.

Beoordeling

Een certificatie-instelling die een overeenkomst heeft met het CCV, beoordeelt of een bedrijf in aanmerking komt voor een keurmerk. Inmiddels zijn er drie certificatie-instellingen die cybersecurity-bedrijven mogen certificeren voor het CCV-keurmerk Pentesten. Vorig jaar sloten Kiwa en Dekra zo’n overeenkomst met het CCV af. Eind oktober kwam DigiTrust hierbij. Het CCV heeft een onafhankelijke regierol.

Voor het opstellen van de schema’s, werkt het CCV samen met Commissies van belanghebbenden. Deze commissies behartigen de belangen van zowel de afnemers, leveranciers, kaderstellende partijen en certificatie-instellingen. Ook bij het nieuwe cyberkeurmerk voor it-leveranciers zal zo’n Commissie van belanghebbenden worden gevormd. Het Digital Trust Center die het mkb helpt met advies en tools om veilig digitaal te ondernemen, hoort daar zeker bij. Dat geldt ook voor verschillende brancheorganisaties.