Dijkverzwaring voor je cyberveiligheid
Zijn het er duizenden? Tienduizenden? Of slechts honderden? Het exacte aantal cyberaanvallen op Nederlandse bedrijven is niet bekend. We gaan af op cijfers van securitybedrijven, aangiftes bij de politie en meldingen van bedrijven die bewust de openheid opzoeken. En deze optelsom is in veel gevallen slechts het puntje van de ijsberg, schrijft Michel Verhagen van het Digital Trust Center (DTC) in deze blog.
We kennen de exacte omvang van de digitale dreigingen voor de BV Nederland niet. Maar in 2023 is gebleken dat 58 procent van de bedrijven die door ransomware getroffen zijn, geen back-up hadden. Daarmee waren deze bedrijven nog eens extra kwetsbaar voor de impact van een cyberaanval.
Het is mijn missie als manager van het Digital Trust Center (DTC), onderdeel van het ministerie van Economische Zaken en Klimaat, om samen met mijn mensen de ondernemers van Nederland te helpen weerbaar te zijn tegen de golfbewegingen aan cyberincidenten. We weten ook niet met zekerheid te zeggen wanneer het volgende springtij met storm komt, maar dat is geen reden om de dijken niet te verzwaren.
Dijkverhoging voor kleine bedrijven
En dus richten we onze inspanningen op zowel de plekken waar de dijken het laagst zijn, als op de dijken die te laag zijn voor wat er achter de dijk staat. We weten uit onderzoek dat kleine bedrijven te weinig cybermaatregelen treffen en dus extra risico's lopen om slachtoffer te worden.
Dijkverhoging is nodig. Dit kan al door een paar simpele basismaatregelen, zoals het maken van back-ups, het doen van je updates en inloggen in meerdere stappen toe te passen. Met praktische informatie en tools helpen we deze groep aan hogere dijken.
Dijkverzwaring voor belangrijke bedrijven
Maar met de hoogte van een dijk ben je er nog niet. Ze moeten ook sterk en robuust genoeg zijn om de zwaarste golfslagen op te kunnen vangen. Daarom komt er wetgeving aan die extra cyberweerbaarheid vraagt van bedrijven die belangrijk zijn voor de Nederlandse samenleving en economie. Bijvoorbeeld omdat ze opereren in een sector waarbij we geen uitval kunnen lijden, zoals betalingsverkeer, internet of zorg. De Europese NIS2-richtlijn, die momenteel wordt omgezet naar Nederlandse wetgeving, verlangt van deze ‘belangrijke’ of ‘essentiële’ bedrijven 10 zorgplichtmaatregelen.
Het uitvoeren van een risicoanalyse is de onbetwiste eerste stap. Je bouwt er een stevig fundament mee waar je veel inzichten uit krijgt en op voort kunt borduren in vervolgstappen. Als je nog geen inventarisatie hebt gedaan van je ‘kroonjuwelen’, belangrijke systemen, risico’s en leveranciers, dan vraagt het nemen van deze NIS2-maatregelen maanden doorlooptijd. Daarom is ons advies om er nu alvast mee te beginnen. Natuurlijk helpen we hierbij met praktische tips en handvatten. Via de net gelanceerde NIS2-Quickscan ontdek je hoe je je bedrijf kunt voorbereiden op de NIS2.
De NIS2-richtlijn gaat - indirect - ook impact hebben op de cyberveiligheid van toeleveranciers van NIS2-organisaties. Veel meer organisaties zullen cybersecuritymaatregelen moeten nemen, ook organisaties die nog niet eerder te maken hadden met cyberwetgeving. Dat kan aanvoelen als extra regeldruk, maar de NIS2 is er met name op gericht om Nederland als geheel digitaal veiliger te maken.
Hulp op afroep
Je staat er niet alleen voor. Je kunt je aansluiten bij het cyberforum van Nederland, waar je zowel soortgelijke bedrijven en ook experts kunt vinden: de DTC Community. Daar helpen ondernemers en cyberprofessionals elkaar met best practices, zoals op het onderwerp NIS2, en bij het melden van kwetsbaarheden in bedrijfssoftware. Met ruim 4.000 leden is er altijd wel iemand die je brandende vraag over cybersecurity kan en wil beantwoorden. De mate van behulpzaamheid onder de leden is enorm. En dat stemt mij positief. Zo maken we samen Nederland digitaal weerbaar.
Voor wie nog aan het begin staat van werken aan de eigen cyberweerbaarheid: begin bij de basis. Voor bedrijven waar een hoge mate van cybersecurity verlangd wordt, begin bij de risicoanalyse. Bekijk je organisatie door de ogen van een aanvaller. Waar zouden zij in geïnteresseerd kunnen zijn? Wat wil je absoluut niet in handen zien van hackers? En wie kan je bellen als het echt fout gaat?
Kortom, een beetje huiswerk, want: een gewaarschuwd en voorbereid mens telt voor twee. En is het huiswerk eenmaal klaar, dan ben je al een heel eind op de goede weg naar cyberweerbaarheid. En kunnen we met droge voeten van de lente blijven genieten.
Michel Verhagen is manager van het Digital Trust Center (DTC).