Cybersecurity nog steeds niet op orde? Vanaf volgend jaar kans op boetes
Ruim twintig procent van de Nederlandse bedrijven met meer dan 250 werknemers werd in 2020 slachtoffer van minimaal één ICT-veiligheidsincident, zo becijferde het CBS in juli van dit jaar. De nieuwe Europese Netwerk- en Informatiebeveiligingsrichtlijn 2 (NIB2) gaat ook
Nederlandse bedrijven binnenkort bij wet verplichten zich goed te wapenen tegen online dreigingen. Wie zijn cybersecurity niet tijdig op orde heeft, loopt dan het risico een forse boete te krijgen.
Het is een publiek geheim dat veel Nederlandse bedrijven achterlopen op het gebied van cybersecurity. Zowel het MKB als grootbedrijven zien cybersecurity nog in veel gevallen als een kostenpost of een noodzakelijk kwaad. Ze doen vaak het minimale, of nog net iets minder dan dat, om aan wet- en regelgeving te voldoen, zonder daarbij echt in control te zijn wat betreft hun online veiligheid. Om de gevolgen daarvan te zien, hoef je de krant maar open te slaan.
Cybersecurity-incidenten in Nederland geen uitzondering
Over cyberincidenten bij de Universiteit Maastricht en gemeente Hof van Twente berichtten landelijke media uitvoerig, maar ze vormen slechts het topje van de ijsberg. Alleen al in oktober 2022 werden de Hogeschool Utrecht, de TU Eindhoven en ID-ware, het bedrijf dat de toegangscontrole in onder meer de Tweede Kamer regelt, gehackt. In alle gevallen werden er door hackers gevoelige gegevens buitgemaakt.
Cybersecurity-incidenten zijn in Nederland dus geen uitzondering, maar eerder regelmaat. Sommige experts denken zelfs dat letterlijk ieder bedrijf wel een keer gehackt zal worden. Om daarop voorbereid te zijn, moet er de komende twee jaar een hoop werk worden verzet. Grofweg bestaat dat
werk uit twee delen: bewustwording en implementatie van maatregelen.
Onvoldoende aandacht voor cybersecurity aan veel MT-tafels
Wanneer een cyberaanval slaagt, komt dat in veel gevallen doordat het getroffen bedrijf heeft de zogenaamde ‘basishygiëne’ niet op orde. Dat wil zeggen dat basale veiligheidsmaatregelen niet goed zijn geïmplementeerd . Ook laat de controle of de beveiligingsmaatregelen voldoen vaak nog te wensen over.
Aan beide tekortkomingen ligt daar één grondoorzaak aan ten grondslag: te weinig aandacht voor cybersecurity vanuit het management van het bedrijf of de organisatie. De discussies over cybersecurity worden aan veel MT-tafels nog regelmatig gevoerd vanuit het perspectief van kosten. Bedrijven willen wel compliant zijn aan wetgeving, maar kiezen graag de weg van de minste weerstand, ook op financieel gebied.
Dat levert in veel gevallen helaas niet de beste beveiliging tegen cyberaanvallen op. Dan zijn er wellicht wat kosten bespaard, maar het personeel is bijvoorbeeld matig getraind, waardoor er alsnog een zeer realistisch risico op cyberaanvallen bestaat. Als dat dan gebeurt, is de schade voor zo’n bedrijf of organisatie vaak omvangrijk.
Bedrijven onderschatten impact: bedrijfscontinuïteit in het geding
Veel ondernemers onderschatten die mogelijke schade nogal eens. Als een bedrijf zijn cybersecurity niet op orde heeft, is het voor professionele hackers een fluitje van een cent om dat bedrijf volledig lam te leggen, bijvoorbeeld door middel van een ransomware-aanval.
Liefst 73 procent van de ondervraagde Nederlandse bedrijven gaf eind 2021 in een internationaal onderzoek door Crowdstrike aan ooit een ransomware-aanval te hebben meegemaakt. Als zo’n aanval slaagt, doordat de juiste beveiligingsmaatregelen niet ingeregeld zijn, kan dit gevolgen hebben voor de continuïteit van de bedrijfsvoering en ook leiden tot omzetverlies. In sommige gevallen betekent het definitief het einde voor het bedrijf. Cybersecurity is dan ook niet iets om lichtzinnig op te vatten.
Daarom: nieuwe richtlijn met boetes in het verschiet
In dat kader bereikte de Europese Commissie afgelopen mei overeenstemming over NIB2: de nieuwe cybersecurity-richtlijn die overal in de Europese Unie gaat gelden. Vergelijkbaar met de AVG, maar dan van toepassing op cybersecurity. NIB2 vervangt de oude NIB-richtlijn en onderscheidt zestien sectoren in het bedrijfsleven die worden gelabeld als zijnde ‘essentieel’ of ‘belangrijk’. Het gaat dan om sectoren die, als ze plat zouden worden gelegd door cyberaanvallen, de maatschappij ernstig zouden ontwrichten. Denk aan de elektriciteitsvoorziening, internetservers en de gezondheidszorg, maar ook koeriersdiensten, levensmiddelenproducenten en producenten van machines, apparatuur en meubels.
Anders dan NIB, dat alleen van toepassing is op de grootste organisaties en multinationals van Nederland, is NIB2 ook van toepassing op andere grootbedrijven en zelfs op het MKB. De Nederlandse overheid heeft op dit moment al meer dan 4.000 bedrijven geidentificeerd die onder de NIB2-richtlijn gaan vallen zodra deze wordt ingevoerd. Heb je als bedrijf tegen die tijd je cybersecurity niet op orde, dan loop je risico op een boete ter hoogte van maximaal twee procent van de wereldwijde jaaromzet of maximaal 10 miljoen euro. Dat kan dus om enorme bedragen gaan. Overigens kan op dit moment óok al een boete worden uitgedeeld aan bedrijven die onder de bestaande NIB vallen ter hoogte van maximaal 5 miljoen euro.
NIB2 als onderdeel van nieuwe Cybersecuritystrategie 2022 – 2028
Het Nationaal Cyber Security Centrum (NCSC) heeft NIB2 opgenomen in zijn nieuwe Nederlandse Cybersecuritystrategie 2022-2028. In het bijbehorende Actieplan wordt een implementatiemoment van 2024 genoemd. Dat betekent dat bedrijven nog iets langer dan een jaar de tijd hebben om te voldoen aan alle eisen. De tijd begint dus al te dringen, vooral voor bedrijven die nog veel vooruitgang te boeken hebben.
Het achterliggende doel van de nieuwe Cybersecuritystrategie is niet alleen het eenmalig op orde brengen van maatregelen op het gebied van cybersecurity. De overheid wil hiermee bedrijven ook vooral aansporen om continu in control te blijven. Digitale veiligheid is niet iets wat je één keer neerzet, maar moet je continu blijven verbeteren, updaten en optimaliseren. Hackers zitten immers niet stil.
Hulp op drie vlakken: consultancy, implementatie en controle
Bij RiskNow zien we dat veel bedrijven moeite hebben met het implementeren van de juiste cybersecuritymaatregelen. Ook als cybersecurity wel
degelijk hoog op de agenda staat en er een aangewezen security officer in dienst is, blijkt het in de praktijk vaak lastig om in control te zijn
en blijven. Echter, met NIB2 in het verschiet wordt dat nu juist extra belangrijk.
Daarom bieden we bij RiskNow hulp aan bedrijven om grip te krijgen op hun digitale veiligheid en aantoonbaar te voldoen aan de NIB2-richtlijn. Dat kan op drie vlakken:
Consultancy.
We werken samen met de beste consultants om een goede en doortastende analyse te maken van de organisatie. Zo komen we erachter welke richtlijnen en regels er voor een specifieke organisatie gelden, wat er allemaal moet gebeuren om compliant te worden en waar de eerste quick wins liggen.
Implementatie.
We ondersteunen bij het inrichten van een veilige werkomgeving die voldoet aan de laatste standaarden. Daarmee is de bedrijfscontinuïteit gewaarborgd en is het bedrijf onaantrekkelijk voor cyberaanvallen.
Controle.
Aantoonbaar in control zijn is een essentieel sluitstuk. Niet alleen als er een steekproefsgewijze controle plaatsvindt zodra NIB2 eenmaal van kracht is, maar vooral om een veilige bedrijfsvoering te kunnen waarborgen. Met onze Risk & Control Management module is het eenvoudig om interne controles binnen een organisatie te organiseren.
Benieuwd naar wat RiskNow voor uw organisatie kan betekenen of gewoon eens van gedachten wisselen over cybersecurity, NIB of NIB2? Neem vrijblijvend contact met ons op!