Een lezer vroeg me:
Ons bedrijf (een middelgrote managed service provider) wil meer focus op security introduceren, ik ben aangewezen als de kwartiermaker van het nieuwe team. Het probleem is dat mijn team weinig voor elkaar krijgt, omdat alles te duur gevonden wordt en security geen selling point is voor de klant. Zijn er juridische argumenten waarmee ik het belang van mijn team meer naar voren kan brengen?
Deze vraagsteller is niet de eerste of enige die worstelt met security als deel van commerciële dienstverlening. Het lastige is immers dat security primair een kostenpost is, en als deze dienst goed geleverd wordt dan merk je niets van de security. Pas als het niet goed gaat, dan komen er klachten, maar dan is het natuurlijk al te laat.
De insteek om wetgeving – oftewel dreiging met boetes – te gebruiken als argument is een goede. We hebben bijvoorbeeld sinds 2018 de AVG, die een adequate beveiliging van persoonsgegevens eist. Die regels gelden ook voor MSPs die voor hun klanten data met persoonsgegevens opslaan of verwerken.
Meer algemeen is de Network and Information Security (NIS2) Richtlijn, die afgelopen januari van kracht werd en voor oktober 2024 in de Nederlandse en andere Europese wetten moet komen te staan. Ook deze regels eisen passende en proportionele security bij zo ongeveer iedereen in de IT-sector, op straffe van forse boetes. Voor IoT-apparaatmakers (en hun leveranciers) komt er de Cyber Resilience Act, wie met AI werkt krijgt ook een berg regels over zich heen, en ga zo maar door.
Genoeg argumenten dus om van security een selling point te maken: Koop bij ons want dan voldoet u aan de wet.
Ik zie dat alleen niet zo goed werken als het bedrijf security als een aparte kostenpost neerzet, op afstand van de ‘echte’ dienstverlening. Want die belofte moet je wel waar kunnen maken, en dat kan alleen als je samenwerkt in de productontwikkeling en -verbetering.
Verder is er het probleem dat al deze wetgeving vrij nieuw is, en dus weinig praktische impact heeft laten zien. Daardoor kan een organisatie nog vrij makkelijk kiezen voor “we merken het wel als andere, grotere bedrijven beboet worden en dan passen we ons aan” en daar is weinig tegenin te brengen.
Wat wel kan werken is wanneer het bedrijf zich wil gaan richten op grote klanten. Die zijn hier namelijk wél serieus mee bezig, en zullen van leveranciers garanties vragen dat ook zij aan de nieuwe regels voldoen. Inclusief documentatie en mogelijk audits om het te onderbouwen. Dat vertaalt zich naar een commercieel argument: je krijgt de offerte of aanbesteding niet als we de security niet aantoonbaar op orde hebben, dus daarom heb ik budget nodig om dit te regelen.
Arnoud