Geert-Jan van der Snoek, bestuurder Lefebvre Sdu
Lefebvre Sdu is geen klein bedrijf dat nog moet nadenken over cybersecurity. Als Europees marktleider in juridische informatiedienstverlening, door de overheid geclassificeerd als essentiële organisatie, weet men precies wat er op het spel staat. Bestuurder Geert-Jan van der Snoek koos ervoor om de NIS2 Supply Chain certificering niet te zien als administratieve last, maar als kans.
Word wakker, ook als je dacht dat je al wakker was
Lefebvre Sdu bevindt zich in een bijzondere positie. Het bedrijf, onderdeel van de Franse Lefebvre Group, levert juridische software en kennisoplossingen aan professionals in de rechtspraktijk en aan de overheid. Die overheid heeft Lefebvre Sdu inmiddels aangemerkt als essentiële dienstverlener. Dat betekent: hogere eisen, meer verantwoordelijkheid, en weinig ruimte voor vrijblijvendheid.
Geert-Jan van der Snoek ziet dat als een gegeven, maar ook als een wake-up call voor de rest van Nederland:
“Nu AI alle spelregels in heel korte tijd verandert, heeft cybercriminaliteit een kans om toe te slaan. En dus moet je kunnen aantonen dat je er als organisatie alles aan doet om je zaken op orde te hebben en te houden. Word wakker, Nederland!”
Wat hem daarbij raakt: bestuurders zijn inmiddels persoonlijk aansprakelijk. Niet alleen voor hun eigen processen, maar ook voor hun leveranciersketen. Dat is nieuw. En dat vraagt om urgentie.
Risk en compliance boven sales
Binnen Lefebvre Sdu werd NIS2 geen project voor de IT-afdeling. Het werd een bestuurlijke prioriteit. Geert-Jan maakte een bewuste keuze: risk en compliance gaan vóór sales.
“Als het mankeert aan risk en compliance, hoef je namelijk geen sales meer te bedrijven. Het is corvee, je moet het gewoon doen. Je bedrijf is niet helemaal op orde als je niet compliant bent.”
Om dat intern te laten landen, werd NIS2 een vast onderwerp op personeels- en teambijeenkomsten. Er werd een concrete streefdatum afgesproken. Mensen kregen de handen vrij om eraan te werken. Alexander den Engelsman trad aan als security officer, Michel de Beer als projectmanager.
De keuze voor een onafhankelijke auditpartner
Voor de daadwerkelijke certificeringsaudit zocht Lefebvre Sdu een externe partij, iemand die kritisch genoeg is om echt iets te zeggen, maar ook dicht genoeg bij de praktijk van het ondernemen. Na een aanbesteding viel de keuze op Van Oers.
Alexander den Engelsman, die de selectie begeleidde: „We hebben expliciet gekozen voor een niet al te groot Nederlands bedrijf met korte lijnen.”
Geert-Jan vult aan:
“Van Oers snapt het auditproces vanuit hun accountancy-achtergrond. Ze zijn onafhankelijk genoeg om kritisch te zijn, maar zitten dicht genoeg tegen het ondernemerschap aan. Dat is de combinatie die je zoekt.”
Het hoogste niveau: NIS2-SC30 High
Omdat Lefebvre Sdu als essentiële organisatie wordt aangemerkt, lag de lat hoog: het NIS2 Supply Chain 30-framework op High-niveau. Dat betekende checks op dertig thema’s, uitgebreide documentatie en meerdere voorbereidingssessies met het Van Oers-team.
Alexander over het proces:
“De aanpak en kundigheid van de jonge professionals bij Van Oers vond ik verfrissend. Ze keken kritisch en stelden zich volledig neutraal op. Dat past bij een organisatie als de onze.”
In november 2025 vond de auditdag plaats op het hoofdkantoor in Den Haag. Het resultaat: een NIS2 Supply Chain certificering met een geldigheid van drie jaar.
De zwakste schakel bepaalt je eigen security
De certificering is voor Lefebvre Sdu geen eindpunt. Alexander is helder over wat er nu volgt:
“Het belang van NIS2 is een no-brainer. De zwakste schakel in je leveranciersketen bepaalt je eigen security. Daarom doen we bij elke leverancier een risicoanalyse. Ons doel: al onze leveranciers voldoen binnen drie jaar aan de NIS2-vereisten. Daarna werken wij uitsluitend samen met partijen die dat kunnen aantonen.”
Dat heeft directe gevolgen voor de keten. En Geert-Jan is zich bewust van wat dat betekent voor kleinere spelers:
“Je moet in Nederland de tweedeling tussen kleine en grote bedrijven voorkomen. De kleine bedrijven , een installatiebedrijf, een vervoerder, zitten óók in onze keten. Het MKB moet worden geholpen om de aansluiting te behouden. Uiteindelijk zijn we allemaal afhankelijk van elkaar.”
Wat dit verhaal betekent voor jouw organisatie
Lefebvre Sdu laat zien dat NIS2 Supply Chain certificering niet alleen iets is voor grote corporates met grote budgetten. Het is een bewuste strategische keuze: zichtbaar betrouwbaar zijn, in een tijd waarin vertrouwen de sleutel is tot samenwerken in de keten.
Ben jij al begonnen? Slimme bedrijven regelen dit nu, zodat hun klanten straks geen moment hoeven te twijfelen.
