De Tweede Kamer wil voor het mkb een cyberkeurmerk voor it-leveranciers in het leven roepen. Hiertoe is een motie van VVD, SP, D66 en PvdA aangenomen. Zo’n keurmerk moet kleine ondernemers helpen het kaf van het koren te scheiden.
De regering wordt gevraagd om hierover in overleg te treden met het Digital Trust Center en betrokken brancheorganisaties. Volgens het VVD-Kamerlid Queeny Rajkowski maakt de huidige wildgroei aan it-leveranciers op gebied van cybersecurity een keuze moeilijk. Vooral voor kleinere bedrijven is het lastig om in te kunnen schatten of iemand nou goed werk levert of dat je te maken hebt met een beunhaas.
Rajkowski: ‘Mkb’ers hebben vaak niet de kennis, kunde of capaciteit in huis om hun informatiebeveiliging zelfstandig op orde te krijgen. Ze krijgen om die reden ook vaak hulp van externe it-leveranciers die kunnen helpen bij hun cybersecurity-beleid.’ Volgens haar voorkomt het instellen van een keurmerk dat verkeerde keuzes worden gemaakt.
Minister Micky Adriaansens (Economische Zaken en Klimaat) is het met de Tweede Kamer eens dat duidelijkheid, zeker in dit soort situaties, kan helpen. ‘Het is van oudsher echter wel aan het bedrijfsleven om marktinstrumenten zoals keurmerken, labels, certificeringen en dergelijke te ontwikkelen. Maar gezien de grote belangen die hier spelen, wil het kabinet ook zelf de ontwikkeling van dit instrumentarium stimuleren’, aldus de minister.
Andere keurmerken
Een cyberkeurmerk voor mkb-leveranciers op gebied van informatiebeveiliging zou goed passen bij de andere keurmerken voor cybersecurity die het Centrum voor Criminaliteitspreventie en Veiligheid (CCV) onder zijn hoede heeft. Deze onafhankelijke stichting ontwikkelt en beheert certificatieschema’s. Met een keurmerk of certificaat toont een bedrijf aan dat de geleverde producten en/of diensten aan de norm voldoen. Jacco van den Heuvel, adviseur keurmerken bij het CCV, meent dat je z’n keurmerk moet zien als een kwaliteitsstempel. ‘Je weet dan dat je met een betrouwbare partij te maken hebt die een goede dienst levert.’
Om te borgen dat de aanbieders van pentesten kwalitatief goed werk leveren is het CCV-keurmerk Pentesten ontwikkeld. Inmiddels hebben dertien pentesters zo’n certificaat ontvangen, terwijl nog een behoorlijk aantal aanvragen op een beoordeling wachten. Verder is een keurmerk voor ‘cybersecurity-awarenesstrainingen’ in de maak.
Ook wordt de mogelijkheid onderzocht van een keurmerk voor monitoring. Als vierde ligt nog een keurmerk voor incident-response en risicoanalyse in het verschiet.