Over Wouter Wissink
Als Head of Specialty Engineering Overseas General bij Chubb stuurt hij 8 gespecialiseerde Risk Engineers aan. Zij houden zich bezig met bijzondere internationale risico’s zoals klimaat, cyber en vermogensschade. Wissink heeft jarenlange ervaring als Risk Manager en werkt nog altijd actief mee door het beoordelen van cyber- en aansprakelijkheidsrisico’s. Daarnaast is hij lid van het College van Belanghebbenden Cybersecurity (CVB) van het Centrum voor Criminaliteitspreventie en Veiligheid, het CCV.
1. Je stond aan de wieg van de CCV-keurmerken Cybersecurity. Hoe is het begonnen?
“Mijn collega’s en ik komen vaak bij zakelijke klanten over de vloer voor risicobeoordelingen. In de afgelopen jaren heb ik gezien dat, met name kleinere, bedrijven moeite hebben met het abstracte cyberrisico. Want cyber is voor ondernemers niet zo concreet en tastbaar als bijvoorbeeld het risico op inbraak.”
“Voor het bepalen van dat inbraakrisico werken verzekeraars al decennia met de BORG-risicoklassen, en op een dag vroeg ik me af; is zoiets ook mogelijk voor cyberrisico’s? Ik nam er contact over op met Marko van Leeuwen, Beleidsadviseur Zakelijke Markt van het Verbond van Verzekeraars. Het leek hem goed om dit breder te onderzoeken. Zogezegd, zo gedaan. Naast het Verbond sloten ICT Nederland en het Team High Tech Crime van de politie zich als eerste aan, met het CCV als ondersteunend platform.”
2. Hoe komen dit soort keurmerken eigenlijk tot stand?
“Het begint met het samenstellen van een College van Belanghebbenden, het CVB. Naast deskundigen zitten daar kaderstellende partijen in zoals de overheid, de politie en brancheorganisaties. Vervolgens maakt het CCV een projectplan en benoemt een panel van deskundigen, wat wordt voorgelegd aan het college. Is het college akkoord? Dan werkt het panel dat projectplan uit tot een definitief certificatieschema. Het college geeft daar uiteindelijk een klap op. Voor de controle en uitvoering zijn er de certificatie-instellingen, in dit geval Kiwa en TÚV. En natuurlijk wordt er voorafgaand aan de publicatie altijd een proefaudit gedaan.”
Hij vervolgt: “Het opzetten van deze organisatiestructuur was trouwens niet altijd makkelijk, omdat er continu werd gezocht naar financiering. In de eerste jaren was er funding vanuit het Verbond en de overheid; het ministerie van EZK en het Digital Trust Center. Maar de doorbraak kwam in 2022, toen provincie Zuid-Holland de opdracht voor een keurmerk Awareness Training gaf. Daarmee kreeg het college de middelen om het proces verder te professionaliseren en leidde ertoe dat de overheid echt instapte, meer kon financieren én ook de leiding overnam.”
3. Welke keurmerken Cybersecurity zijn er?
“Om te beginnen is er de Risicoklassenindeling Digitale Veiligheid, een eenvoudige tool die mkb-ondernemers inzicht geeft in hun digitale risico’s en passende maatregelen. Daarna volgde het CCV-keurmerk Pentesten als kwaliteitsstandaard voor aanbieders van penetratietesten. Niet veel later was het Keurmerk Awareness Training gereed. Verder zijn de keurmerken Incident Respons en Monitoring in de fase van de proefaudit. En recent is een start gemaakt met de ontwikkeling van het keurmerk Risico-analyse, waar ik als lid van de werkgroep bij ben betrokken. Er komen dus nog veel mooie dingen aan.”
“Maar dat is niet alles. In opdracht van de overheid is ook het CCV-keurmerk Digitale Basisveiligheid MKB in de maak. Dat keurmerk is te vergelijken met het BORG-certificaat voor inbraakpreventie, waarbij een inbraakbeveiligingsbedrijf zelf een certificaat mag afgeven aan andere bedrijven die voldoen aan de gestelde preventie-eisen.”
4. Waarom zijn deze keurmerken belangrijk voor verzekeraars?
“Verzekeraars kunnen voorwaarden stellen aan het verzekeren van cyberrisico’s. Denk bijvoorbeeld aan het laten uitvoeren van een pentest. Het is voor verzekeraars dan belangrijk dat zo’n test van goede kwaliteit is. Met het CCV-keurmerk Pentesten toont een aanbieder aan dat hun dienst voldoet aan de eisen.”
“Afspraken over kwaliteit zijn óók in het belang van de hele markt. Om dat te illustreren noem ik altijd het voorbeeld van een producent van brie. Door een bacterie werd hun product van de markt gehaald. In eerste instantie stonden concurrenten te juichen, want zo konden zij meer verkopen. Maar… niemand kocht meer brie. Dus het is ook in het belang van de markt om goede kwaliteit te leveren. Dat geldt ook voor goede cyberweerbaarheid.”
5. Tot slot, heb je nog een wensenlijstje dat je meegeeft aan jouw opvolger?
“De organisatiestructuur staat, de overheid is in de lead en belanghebbende partijen werken actief samen. Nu is het belangrijk om vanuit het Verbond het belang van verzekeraars te blijven waarborgen. Makkelijk zal dat niet altijd zijn, omdat er zoveel verschillende partijen meedoen.”
“En zoals gezegd zijn de certificatieschema’s en keurmerken nog volop in ontwikkeling, en moeten meer bekendheid gaan krijgen in de markt. Mijn allergrootste wens is dan ook dat het over 10 á 15 jaar heel gewoon is dat bedrijven een gecertificeerde cybersecurity-dienst afnemen. Eigenlijk net zo gewoon als de BORG-risicoklassen en certificaten voor goede inbraakbeveiliging. Dat zou geweldig zijn.”
Wissink geeft stokje over
Wissink kijkt met trots terug op de afgelopen jaren. “Dit initiatief startte als een klein project waar inmiddels zo’n 150 mensen aan meewerken. Nu de structuur goed is ingericht en de overheid de leiding heeft, merk ik dat mijn invloed minder wordt. En dat is goed! Samen met Marko van Leeuwen ben ik in 2018 gewoon ergens begonnen en ik vind het leuk om te zien dat de eerste keurmerken beschikbaar zijn.” Voor Wissink is dit een logisch moment om uit het College van Belanghebbenden te stappen en het stokje over te dragen. Zijn opvolger is Olav van Raath, Head of Cyber Resilience Benelux and Nordics bij Zurich.
Van Raath: “Allereerst wil ik Wouter bedanken voor de zeer belangrijke rol die hij heeft gespeeld in het CVB. Zonder hem was er nooit zoveel bereikt. Dat wat is gebouwd, moet nu meer gebruikt gaan worden. Daar wil ik aan bijdragen met mijn ervaring in cybersecurity services en advies, en vanuit mijn huidige rol bij een verzekeraar. Ik kijk ernaar uit om met een frisse, kritische blik deel te nemen aan het college.”
Het CCV werkt samen met uiteenlopende partners om de digitale weerbaarheid van het mkb te versterken.
Meer informatie