“Wie goed met normen werkt, loopt minder risico’s en werkt efficiënter”

Cyberminute geeft cybersecurityadvies, ontzorgt bedrijven op het vlak van digitale veiligheid en begeleidt hen bij de certificatie volgens erkende normen. We spraken met Hans op ‘t Landt, directeur bij Cyberminute, over het belang van normen, het NBN-platform en hoe duurzaamheid ook in hun werking en advies een steeds grotere rol speelt.

Kan je kort schetsen wat Cyberminute precies doet?

‘We beschermen bedrijven tegen cyberbedreigingen en begeleiden hen bij het behalen van certificeringen. We helpen organisaties met gapanalyses, interne audits en vinkjimplementaties voor certificeringen zoals ISO 9001, ISO 27001 en ISO 22301. Daarnaast werken we ook rond NIS2 en DORA.’

Hoe groot is jouw organisatie?

‘We werken met een vaste kern van vijf mensen, met daaromheen een flexibele schil van zestien tot zeventien freelancers. In cybersecurity is het niet eenvoudig om getalenteerde mensen te vinden, dus we zijn blij dat we zo’n team kunnen samenstellen.’

Wat is jouw rol in de onderneming?

‘Ik ben een van de directors. Enerzijds stuur ik de consultants aan, anderzijds ben ik verantwoordelijk voor businessdevelopment. Ik trek dus nieuwe klanten aan. Daarnaast doe ik nog implementaties, want ik wil zelf in het vak blijven staan. Zo begrijp ik ook de uitdagingen waarmee onze consultants te maken krijgen. Het is hands-on management.’

Beheer je de normen binnen de organisatie?

‘Wij verwerken de normen die nodig zijn in functie van onze klanten. De consultants kopen de normen meestal zelf aan via het NBN of via hun eigen contacten. Ook onze klanten adviseren we om de normen zelf aan te schaffen, onder andere vanwege het copyright. Voor een implementatie of certificering heb je de norm sowieso nodig, want je moet kunnen verwijzen naar specifieke passages. Wij hebben die normen allemaal op onze privénaam gekocht, zodat we ze zelf kunnen raadplegen en correct gebruiken.’

Welke normen gebruik je dan concreet?

‘De belangrijkste is ISO 27001 voor informatiebeveiliging. Daarnaast gebruiken we onder meer ISO 22301 (bedrijfscontinuïteit), ISO 9001 (kwaliteit), ISO 14001 (milieu), ISO 27701 (privacy), ISO 31000 (risicobeheer) en ISO 42001 (kunstmatige intelligentie). We kopen altijd wat we nodig hebben en zorgen dat ook de klant de normen in bezit heeft.’

Waarvoor gebruik je die normen?

‘Vooral als naslagwerk en om te controleren of onze klanten de normen correct toepassen. We gebruiken ze om te checken of de implementatie goed gebeurt. Wij worden zelf niet gecertificeerd, maar we begeleiden klanten bij hun traject. En omdat we ook opleidingen geven over deze normen, moeten we die natuurlijk perfect beheersen.’

Hoe ben je in contact gekomen met normen?

‘Vaak ontstaat de vraag vanuit klanten of partners. Bijvoorbeeld: “Kan je ons helpen om ISO 14001 of 27001 te behalen?” NIS2 is dan weer wettelijk verplicht. Maar vaak gaat het om vrijwillige keuzes, omdat bedrijven zichzelf willen verbeteren of onder druk van klanten een norm volgen.’

Wat zijn volgens jou de belangrijkste redenen om normen te gebruiken?

‘De belangrijkste reden is kwaliteitsbewaking. Maar normen zorgen ook voor betere communicatie met klanten en leveranciers. Wie goed met normen werkt, loopt minder risico’s en werkt efficiënter. Daarnaast is er het aspect van conformiteit: een certificaat geeft klanten zekerheid dat je volgens de regels werkt. Bovendien blijf je met normen up-to-date: ze brengen je op de hoogte van nieuwe ontwikkelingen. Dat is allemaal van grote waarde.’

Merk je verschillen in motivatie bij bedrijven om met normen aan de slag te gaan?

‘Zeker. Als een bedrijf gemotiveerd is om zichzelf te verbeteren, verloopt het proces een stuk vlotter en is de toegevoegde waarde merkbaar. Maar wanneer een norm alleen wordt gevolgd omdat een klant het vraagt, blijft die vaak een dode letter. Dan is de implementatie een stuk lastiger.’

Zijn er ook uitdagingen bij het gebruik van normen?

‘Natuurlijk. Kosten worden vaak genoemd, maar dat vind ik zelf geen obstakel. Voor wat je eruit haalt, is het een faire investering. Een grotere uitdaging is kennis. Mensen kopen een norm en denken dat daarmee de kous af is. Maar de norm lezen en hem toepassen zijn twee verschillende dingen. Het is zoals bij autorijden: je rijbewijs halen is één ding, maar op de Brusselse ring rijden is nog iets anders. Het vraagt tijd om een norm te interpreteren en toe te passen op je eigen werking. Dat is waar wij bedrijven bij helpen.’

Gebruik je het NBN-normenplatform?

‘Ja, regelmatig. Het is heel gebruiksvriendelijk: je vindt snel wat je zoekt, bestellen gaat vlot en je krijgt alles netjes als download. Het werkt prima, er valt niets negatiefs over te zeggen.’

Zijn er functies die je extra handig vindt op het platform?

‘De zoekfunctie is echt efficiënt. Je geeft een norm in en je vindt meteen wat je nodig hebt. Bestellen is eenvoudig. Je merkt dat er goed over nagedacht is.’

Heb je ervaring met NBN-medewerkers?

‘Persoonlijk heb ik hen nog nooit hoeven te contacteren – de website werkt altijd goed. Klanten die wel contact hadden, waren altijd tevreden over de service. Maar ik heb daar dus zelf geen directe ervaring mee. Het feit dat ik geen support nodig heb, wijst er vooral op dat het platform goed werkt.’

Hoe gaat Cyberminute om met de uitdagingen van deze tijd?

‘Duurzaamheid wordt steeds belangrijker. ISO 27001 bevat nu een clausule over de klimaatimpact op beleid. Dat dwingt organisaties om na te denken over hun voetafdruk. Wij adviseren klanten bijvoorbeeld over de keuze van datacenters, elektrische wagens en het beperken van verplaatsingen. Zelf maken we maximaal gebruik van Teams voor korte besprekingen. Fysiek contact blijft belangrijk, maar waar het kan, kiezen we voor digitale communicatie. We werken ook vanuit flexkantoren in Brussel en Zaventem. En we printen zo min mogelijk: de normen beheren we digitaal in het systeem. We stimuleren ook onze klanten om het zo te doen. Zo beperk je papiergebruik en vermijd je dat verouderde versies blijven circuleren.’

Bent u betrokken bij de ontwikkeling van normen?

‘Nee, nog niet. Dat heeft vooral met tijdsgebrek te maken. We willen het wel op de agenda zetten, omdat we met onze praktijkervaring zeker een nuttige bijdrage kunnen leveren aan normcommissies. Ik ben zelf wel betrokken bij academisch onderzoek aan de Universiteit Utrecht over de weerbaarheid van kmo’s. Maar normontwikkeling zou een logische volgende stap zijn.’

Hoe zie je de toekomst van normen in jouw sector?

‘Normen blijven aan belang winnen. Zeker in cybersecurity is het belangrijk om volgens een erkend kader te werken. Klanten eisen meer zekerheid, de wetgeving wordt strenger en digitale dreigingen nemen toe. Normen helpen bedrijven om zich daar gestructureerd, geloofwaardig en duurzaam op voor te bereiden.’

‍