De Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) heeft het Cybersecuritybeeld Nederland (CSBN) 2023 gepubliceerd. Het CSBN geeft de trends, incidenten, dreigingen en uitdagingen weer op het gebied van cybersecurity binnen onze nationale veiligheid.
Wat kun jij als ondernemer met deze informatie? Het Digital Trust Center (DTC) van het ministerie van Economische Zaken en Klimaat vat de voor bedrijven relevante punten samen.
Digitale dreiging voor Nederland onverminderd groot
Het geopolitieke speelveld, met de Russische oorlog tegen Oekraïne als prominent voorbeeld, verhardt. De complexiteit van verweven processen, systemen en netwerken in combinatie met verouderde informatiesystemen zorgt voor het ontstaan van kwetsbaarheden die cybercriminelen kunnen misbruiken.
Nieuwe technologie zoals ‘Generatieve AI’ die kansen maar zeker ook bedreigingen met zich meebrengen. Het zijn enkele van de ontwikkelingen in het CSBN 2023 beschreven om aan te duiden dat de digitale dreiging voor Nederland onverminderd groot is.
Scheefgroei tussen digitale dreiging en weerbaarheid
Het verkleinen van de scheefgroei tussen de digitale dreiging en de weerbaarheid blijft een opgave. Terwijl de bedreigingen blijven groeien is de digitale weerbaarheid nog niet overal op orde. Deze cyberweerbaarheidskloof is mede te verklaren doordat basismaatregelen nog altijd niet voldoende doorgevoerd worden. Denk hierbij bijvoorbeeld aan het gebruik van multifactorauthenticatie en het maken en testen van back-ups.
Het treffen van veiligheidsmaatregelen wordt gezien als kostenpost en vaak reactief toegepast. Dat kan anders. Kijk naar de 5 basisprincipes van digitaal veilig ondernemen van het DTC wat je concreet kunt doen om de basis op orde te krijgen.
Operationele technologie (OT) is een kwetsbare bouwsteen voor vitale processen
OT speelt een centrale rol in het aansturen, monitoren en beheren van fysieke processen binnen organisaties. Veiligheid van OT is van vitaal belang, maar kent belangrijke uitdagingen. Maakt jouw onderneming gebruik van OT-apparaten, doe dan de Security Check Procesautomatisering en krijg inzicht in de veiligheid van jouw procesautomatisering.
Ook het Industrial Internet of Things (IIoT) speelt een steeds belangrijker rol in industriële omgevingen. Deze ‘slimme’ aan het internet gekoppelde apparaten zijn erg functioneel maar vormen ook kwetsbaarheden. Het is als ondernemer cruciaal om deze IoT-apparaten goed te beveiligen.
Vrijwel alle organisaties zijn onderdeel van een breder ecosysteem. Denk bijvoorbeeld aan outsourcing van onderdelen van de bedrijfsvoering, zoals de salarisadministratie, toegangspasbeheer of marktonderzoek. Het is lastig grip te krijgen op de afhankelijkheden en kwetsbaarheden binnen dit ecosysteem. Maar deze afhankelijkheden en kwetsbaarheden vormen wel degelijk een substantieel onderdeel van de digitale risico’s. Voor ondernemers is het belangrijk deze risico’s beheersbaar te maken. Doe dit bijvoorbeeld door na te denken over een risicoanalyse en een uitwijk- en herstelplan.
Verzekerbaarheid digitale risico’s onder druk
Hoewel organisaties veel kunnen doen aan digitale weerbaarheid, kunnen cyberincidenten zich toch voordoen en/of is schade niet altijd te voorkomen. De verzekerbaarheid van digitale risico’s staat onder druk. Het resultaat van deze druk is, of kan zijn dat organisaties met een verhoogd risicoprofiel worden uitgesloten en premies worden verhoogd. Dit alles kan er uiteindelijk toe leiden dat financieel gezonde organisaties ten onder gaan aan de schade die zij lijden door cyberincidenten.
De EU vergroot de eisen voor digitale veiligheid met verschillende wet- en regelgeving. Zo bepaalt de NIS2-richtlijn welke bedrijven aan welke verplichte security-eisen moeten voldoen. Door de NIS2-richtlijn gaan meer organisaties onder de werking van de Wet beveiliging netwerk- en informatiesystemen (Wbni) vallen dan nu.
De NIS2-richtlijn heeft implicaties op eisen voor risicomanagement, het gebruik van encryptie, een verplichting voor het afhandelen van datalekken en het melden van cybersecurity-incidenten. Ook organisaties die ketenpartner zijn van NIS2-organisaties zullen te maken krijgen met de effecten van de implementatie. De NIS2-richtlijn zal in 2024 via de Wbni in Nederland worden geïmplementeerd.