Vorige week kwam beroepsorganisatie NOREA met het plan van een soort APK-regeling voor de informatiebeveiliging van bedrijven. De jaarlijkse controles worden dan uitgevoerd door een auditor van een accountantskantoor en vooral dat laatste stuit op veel kritiek van IT-beveiligers, zo laten zij weten in het FD.

Behalve de bedrijven zelf lopen ook hun financiers risico bij een grote cyberaanval met bijvoorbeeld ransomware. Bedrijven zouden daarom moeten kunnen bewijzen dat hun IT-security op orde is, voordat zij voor een lening in aanmerking komen. Dat is het plan van beroepsvereniging NOREA, dat toegejuicht wordt door onder andere banken en accountants. Minder enthousiast is Alex Bik van BIT Datacenters. “Dit klinkt als de financiële wereld die probeert meer geld te verdienen.” Hij vertrouwt er net als enkele branchegenoten niet op dat accountantskantoren hiervoor de juiste expertise in huis hebben. Zo verwacht Roel van Rijsewijk, directeur cyberbeveiliging van defensiebedrijf Thales, dat de door NOREA beoogde verklaring vooral zal leiden tot een hoop bureaucratie, wat zal afleiden van de daadwerkelijk verdediging tegen cyberaanvallen. Andere IT-beveiligers spreken van een papieren, statische werkelijkheid, terwijl cyberrisico’s continu wisselen.

Europese standaard
Jelmer Schreuder van NLdigital wijst op de komst van een Europese standaard voor IT-security-checks, die het NOREA-plan overbodig maakt. En Bik vindt dat het weinig toevoegt aan de al bestaande certificeringen als ISO27001 en NEN7510. Michiel Steltman, directeur van brancheorganisatie Digitale Infrastructuur Nederland en voorstander van het initiatief van NOREA, wuift de kritiek af als ’typisch een reactie van techneuten’. Het gaat volgens hem niet om de techniek, maar om de procedures. Juist die blijken vaak niet in orde als een bedrijf wordt gehackt. Net zo belangrijk is het beleid na een aanval, benadrukt voorzitter Irene Vettewinkel-Raymakers van NOREA. “De bestaande normen bieden daarvoor geen oplossing.” Haar organisatie is betrokken bij de Europese standaard en maakt zich er hard voor dat naast de techniek ook naar het beleid van bedrijven wordt gekeken en of bedrijven zich daaraan houden.