Interview met Constant Kohler, expert normontwikkeling

‍Constant, kun je kort uitleggen wat jouw rol is bij Siemens en hoe je betrokken bent bij normontwikkeling?

Constant Kohler: Natuurlijk! Ik werk in Brussel en mijn rol bij Siemens is voornamelijk gericht op normontwikkeling en regelgeving, met name op het gebied van cyberbeveiliging (zowel op Europees als internationaal niveau). Voordat ik bij Siemens kwam, werkte ik vijf jaar bij het managementcentrum van CEN en CENELEC, de Europese normalisatiecomités. Daar ontdekte ik de wereld van normen en de bijbehorende processen en inhoud. Hierdoor kon ik kennis opdoen op verschillende gebieden, zoals cyberbeveiliging, kunstmatige intelligentie en blockchain, of het uitgebreide gebied van elektrotechniek.  Ik ben nu verantwoordelijk voor het ontwikkelen van normen, met name voor de Cyber Resilience Act (CRA) en het Digital Product Passport (DPP). In deze hoedanigheid neem ik deel aan het werk van commissies op Europees niveau (CEN, CENELEC) en ook op internationaal niveau (ISO, IEC).

Waarom is het zo belangrijk voor een bedrijf als Siemens om deel te nemen aan normontwikkeling?

Constant Kohler: Voor Siemens is normontwikkeling essentieel omdat het een gelijk speelveld creëert voor de verschillende spelers in een bepaalde sector. Normen zorgen voor duidelijkheid en consistentie, vooral wanneer ze ontwikkeld zijn om de Europese regelgeving te ondersteunen; dit is cruciaal om compliance-processen te vergemakkelijken. Het is inderdaad belangrijk om normen te ontwikkelen die voldoen aan de wetgeving en die ook de specifieke behoeften van een sector vertegenwoordigen. Dit is vooral relevant in snel evoluerende sectoren zoals cyberbeveiliging, waar we ons voortdurend moeten aanpassen aan nieuwe wetgeving en technologische ontwikkelingen.  Het is daarom essentieel om ervoor te zorgen dat normen worden aangepast aan onze behoeften (voor onze producten en systemen) en tegelijkertijd het meest geschikte beveiligingsniveau garanderen - niet alleen voor onze producten en systemen, maar uiteindelijk voor het hele ecosysteem.

Je zei dat het ontwikkelen van een norm meerdere jaren kan duren. Kan je ons meer vertellen over dit proces?

Constant Kohler: Ja, de ontwikkeling van een norm duurt over het algemeen twee tot drie jaar. Het begint allemaal op nationaal niveau, waar organisaties zoals het NBN experten aanstellen om deel te nemen aan de activiteiten van Europese of internationale technische comités (TC's). Deze TC's brengen een waaier van experten samen, waaronder vertegenwoordigers van de industrie, KMO's, wetgevers, academici, vertegenwoordigers van maatschappelijke organisaties, enz. De werkgroepen (WG's), die opereren onder het gezag van de TC's, zijn ook zeer divers en bestaan uit experten met een brede achtergrond. Het doel van de werkgroepen is om op basis van consensus te werken, wat betekent dat er binnen een werkgroep niet wordt gestemd, maar het doel is altijd om ervoor te zorgen dat alle leden het redelijk eens zijn met de normen en technische specificaties die worden ontwikkeld.

Het tempo van de werkgroepen is over het algemeen erg hoog, met soms meerdere vergaderingen per maand, vooral wanneer deze werkgroepen normen ontwikkelen ter ondersteuning van Europese regelgeving. Een van de grootste uitdagingen is het combineren van verschillende expertises (bijv. technisch, juridisch, procedureel), met name op gebieden zoals cyberbeveiliging, waar bedreigingen voortdurend veranderen en een breed scala aan vaardigheden nodig is om ervoor te zorgen dat normen voldoen aan de eisen van de Europese Commissie. Daarnaast moeten de werkgroepen voldoen aan de steeds strakkere deadlines die de Europese Commissie stelt (bijvoorbeeld voor de CRA of de DPP). Een norm die vroeger drie jaar nodig had om te ontwikkelen, moet steeds vaker in minder dan anderhalf of twee jaar worden afgerond.

Wat zijn de belangrijkste voordelen voor een bedrijf als Siemens om actief deel te nemen aan normontwikkeling?

Constant Kohler: Er zijn veel voordelen. Ten eerste geeft het ons een vroeg zicht op toekomstige normen, wat ons helpt om onze producten en processen proactief aan te passen. Ten tweede geeft het ons de mogelijkheid om direct mee te werken aan de ontwikkeling van normen, wat een strategisch voordeel kan zijn. Normen bepalen de wettelijke eisen waaraan producten moeten voldoen. Bedrijven die actief deelnemen aan het proces van normontwikkeling hebben de mogelijkheid om deze eisen vanuit technisch oogpunt vorm te geven, wat hen een duidelijk voordeel kan geven op de markt.

Wat is de rol van Europa op het gebied van normen voor cyberbeveiliging? Lopen we voorop of volgen we internationale trends?

Constant Kohler: De Europese Unie loopt inderdaad voorop als het gaat om wetgeving op het gebied van cyberbeveiliging. Dit blijkt uit initiatieven zoals de Cyber Resilience Act en de NIS2-richtlijn, die bedrijven verplichten strengere beveiligingsmaatregelen te nemen voor hun IT-producten en -systemen. Wat Europa kan onderscheiden is de risicogebaseerde aanpak. Dit betekent dat bedrijven maatregelen moeten treffen die zijn afgestemd op de specifieke risico's waarmee ze worden geconfronteerd, in plaats van een standaardoplossing. Dit geeft bedrijven een zekere mate van flexibiliteit om de beste aanpak en technische oplossingen te kiezen voor hun specifieke situatie en de risico's die inherent zijn aan hun functionaliteit of gebruiksomgeving. Deze aanpak maakt het mogelijk om producten of informatiesystemen op de meest geschikte manier te beveiligen.

Internationaal ontwikkelen andere regio's zoals de Verenigde Staten, China en India ook hun eigen wetgeving. Sommige regio's laten zich inspireren door de Europese Unie, zoals het geval was met de RGPD. Dit maakt de kwestie van het harmoniseren van regelgeving bijzonder belangrijk voor bedrijven zoals Siemens, die wereldwijd actief zijn. In dit opzicht helpen Europese of internationale normen om de regelgeving te harmoniseren. Dit is ook de reden waarom Siemens betrokken is bij normontwikkeling.‍

Wat is je rol in de ontwikkeling van specifieke normen? Kan je ons een concreet voorbeeld geven?

Constant Kohler: Een recent project waaraan ik heb bijgedragen was de ontwikkeling van de EN 18031 normenreeks, die de cyberbeveiligingseisen voor radioapparatuur definieert. Deze norm is ontwikkeld als reactie op de Europese richtlijn voor radioapparatuur (RED). Het interessante aan deze norm is dat hij van toepassing is op een breed scala aan producten, van aangesloten tandenborstels tot industriële automatiseringssystemen. Naast de technische bijdragen was ik vooral betrokken bij het toetsen van de normen aan de eisen van de Europese Commissie, dat wil zeggen het analyseren van de technische inhoud vanuit een juridisch perspectief. Dit omvatte het controleren van de technische inhoud, maar ook het opstellen van rapporten waarin de aanpak van de norm wordt uitgelegd, de toepasbaarheid ervan en hoe deze voldoet aan de eisen van de Europese Commissie. ‍

Wat is je persoonlijke ervaring met het werken in deze internationale werkgroepen?

Constant Kohler: De samenwerking in deze werkgroepen is zeer intensief, maar ook zeer de moeite waard. We werken met mensen uit verschillende landen, sectoren en disciplines, wat een zeer diverse werkomgeving creëert. Dit kan soms een uitdaging zijn, vooral wanneer de deelnemers een verschillende achtergrond hebben en niet noodzakelijk dezelfde taal spreken.  Bijvoorbeeld, ingenieurs en advocaten kunnen problemen vanuit heel verschillende invalshoeken benaderen en het kan moeilijk zijn om een gemeenschappelijke taal te vinden. Maar dat is ook wat deze baan zo lonend maakt. Het gaat altijd om het vinden van compromissen en het bouwen van bruggen tussen verschillende perspectieven, wat zorgt voor een rijke uitwisseling van ideeën.

Wat ik vooral waardeer is dat alle experten in deze werkgroepen een gemeenschappelijk doel hebben: het ontwikkelen van normen die breed toepasbaar zijn en die helpen om het veiligheidsniveau in Europa en de rest van de wereld te verhogen. De sfeer is over het algemeen erg collegiaal en constructief, zelfs als er meningsverschillen zijn.

Zijn er uitdagingen verbonden aan deelname aan deze commissies?

Constant Kohler: Absoluut, er zijn veel uitdagingen. Een van de grootste is het werktempo, dat aanzienlijk is toegenomen. Zoals ik al zei, worden de deadlines voor het ontwikkelen van normen steeds korter en dat betekent steeds meer vergaderingen. Waar we vroeger misschien één plenaire vergadering per jaar hadden, komen de werkgroepen nu meerdere keren per maand bij elkaar. Dit kan het moeilijk maken om deze verplichtingen naast mijn andere verantwoordelijkheden te managen.

Bovendien vereist de ontwikkeling van normen steeds meer specialistische kennis. Technische expertise is niet langer voldoende; er moet ook rekening worden gehouden met juridische en zelfs geopolitieke aspecten! Bovendien zijn naast “hard skills” vooral “soft skills” belangrijk en gewaardeerd (ideeën duidelijk kunnen verwoorden, ze kunnen “verkopen”, experten kunnen overtuigen, enz.) Dit vereist een breed scala aan vaardigheden en een goed begrip van de context waarin deze normen worden ontwikkeld.

Wat vind je het meest bevredigend aan het werken in deze werkgroepen?

Constant Kohler: Voor mij is het een zeer lonende ervaring. Het is niet alleen een intellectuele uitdaging, maar ook een unieke kans om samen te werken met ongelooflijke experten van over de hele wereld. Je leert voortdurend nieuwe dingen. Het netwerk dat je opbouwt door deel te nemen aan deze commissies is van onschatbare waarde. Je leert van anderen, maar je kunt ook je eigen expertise delen en de toekomst van de industrie beïnvloeden.

Bovendien is het erg bevredigend om te weten dat het werk dat we doen een directe invloed heeft op de veiligheid en betrouwbaarheid van producten die over de hele wereld worden gebruikt. Normen helpen bedrijven niet alleen om aan de wet te voldoen, ze zorgen er ook voor dat consumenten vertrouwen kunnen hebben in de producten die ze kopen.

Als je terugkijkt op uw carrière in normontwikkeling tot nu toe, wat is dan een van jouw grootste prestaties?

Constant Kohler: Een van de projecten waar ik het meest trots op ben, is mijn bijdrage aan de EN 18031-norm. Het was een zeer complex project, zowel technisch als logistiek vanwege de strakke deadlines (18 maanden). Maar het was ook heel bevredigend om alle experten te zien samenwerken om de norm op tijd af te krijgen.

Wat dit project voor mij bijzonder maakte, was mijn rol in het overbruggen van de kloof tussen de technische experten en de wettelijke vereisten van de Europese Commissie. Het was mijn taak om ervoor te zorgen dat de norm niet alleen technisch goed in elkaar zat, maar ook voldeed aan de huidige wetgeving. Het was een uitdaging, maar ook een zeer lonende ervaring.

‍