De nieuwe Europese Network and Information Security Directive 2 (NIS2) richtlijn rond cybersecurity gaat, wanneer deze naar verwachting in het derde kwartaal van het jaar wordt ingevoerd, grote effecten hebben op veel bedrijven in ons land. Niet alleen voor de ruim tienduizend zogenoemde essentiële bedrijven zoals de zorg, energieleveranciers, overheidsdiensten en de transportsector, maar ook voor internationale grootheden zoals ASML. Maar dan is er nog de toeleverketen voor de bedrijven die als essentieel of belangrijk zijn aangemerkt, wat volgens voorzichtige schattingen neerkomt op nog eens zestigduizend bedrijven extra. Als zij niet kunnen aantonen dat ze de digitale veiligheid op orde hebben, lopen ze grote kans om veel bestaande contracten in rook te zien opgaan.
,,De groep essentiële bedrijven zal in grote lijnen de zaakjes op orde hebben, maar het zijn de kleinere bedrijven in de toeleverketen waar ik nog wel uitdagingen zie,” zegt Erwin Sprengers, Product Manager Security bij KPN. ,,Je kunt die eerste groep vergelijken met het topje van de cybersecurity-ijsberg. Het is de verborgen groep onder water in de toeleverketen waar de uitdagingen zullen zijn.” Vincent Leussink, Propositiemanager Cloud & Security bij KPN, ondersteunt Sprengers. ,,De ASML’s van deze wereld vallen direct onder NIS2. Zij hebben de zaken vast op orde, maar gaan datzelfde ook verwachten van hun toeleveranciers. En dan maakt het niet uit of je een kritieke dienst levert aan het bedrijf of schroeven en bouten voor het gereedschap. Als jouw cybersecurity niet door de screening komt, zullen dit soort bedrijven geen zaken meer met je doen. Het is dus van groot belang om je digitale omgeving op orde te brengen, anders loop je potentieel veel geld mis.”
Ketenverantwoordelijkheid
De zogenoemde ketenverantwoordelijkheid, waarbij elke schakel in een bedrijfsvoering aan dezelfde strenge eisen moet voldoen – ook externe schakels – gaat vanaf volgend jaar een grote rol spelen. Veel bedrijven sorteren hier nu al op voor en hebben duidelijk welke leveranciers wel en welke vooral niet meer ingehuurd worden als ze de security niet op orde brengen. Maar wat houdt de NIS2 nou eigenlijk precies in?
Sprengers: ,,Het goede nieuws over NIS2 is dat er geen zaken in staan die je als ondernemer echt zorgen hoeven te baren, mits je ervoor zorgt dat je de basisveiligheid binnen de online omgeving van je bedrijf maar op orde brengt.” Leussink: ,,Denk hierbij aan het instellen van multifactorauthenticatie, automatische updates voor je online programma’s inschakelen, gebruik maken van een wachtwoordmanager en zorgen voor backups van je systemen. Daarmee haal je echt de grootste risico's weg.” Sprengers: ,,Klopt, en ik zou daar nog het goed trainen van je medewerkers en het maken van een plan van aanpak over hoe te handelen bij een hack of aanval aan toevoegen. En heel belangrijk: blijf dit nalopen. Cybercriminelen worden steeds slimmer en zelfs als je vandaag je zaakjes digitaal op orde hebt, geeft dat geen garanties voor morgen.”
Kwetsbaar
Leussink: ,,Een groot deel van de maatregelen rond NIS2 richt zich op het preventieve vlak. Als je de eerdergenoemde basisbeginselen op orde brengt, voorkom je in verreweg de meeste gevallen verdere ellende. Het plan van aanpak, of informatiebeveiligingsbeleid, is hierin heel belangrijk zodat je weet wat je moet doen bij een aanval en welke partijen waarvoor verantwoordelijk zijn. Zorg dat dit is goedgekeurd door het management en zorg dat al je medewerkers hiervan op de hoogte zijn. Het is in mijn ogen ook gewoon goed dat hier meer aandacht voor komt, want als ondernemingen kwetsbaar zijn, is een land ook kwetsbaar. En in de huidige tijden wil je dat natuurlijk te allen tijde voorblijven.”
Sprengers: ,,Kijk, we snappen echt wel dat ondernemers in de basis gewoon bezig willen zijn met ondernemen en dat het hele online verhaal misschien niet iets is waar je graag mee bezig bent. Of je mist misschien de tijd of de kennis. Maar je moet wel zelf inzien dat aan het eind van de rit alleen jij en je eventuele mede-eigenaren verantwoordelijk zijn voor de continuïteit van je bedrijf. Niemand anders.”
Samen Digitaal Veilig
Er zijn de laatste tijd steeds meer initiatieven die ondernemers en anderen in het bedrijfsleven niet alleen wijzen op hoe ze om moeten gaan met het thema cybersecurity, maar ook handvatten bieden voor wanneer je er even niet meer uitkomt. Naast verschillende overheidswebsites is het platform Samen Digitaal Veilig een absolute aanrader. Dit platform, een stichting en initiatief van MKB-Nederland en VNO-NCW, helpt je in een aantal simpele stappen om digitaal veilig te worden. Met maar liefst 83 brancheorganisaties aan boord is het grootste deel van ondernemend Nederland vertegenwoordigd. Daarnaast bieden verschillende partners, waaronder KPN, hun diensten aan via het platform.
Sprengers: ,,Het platform van stichting Samen Digitaal Veilig is een enorm goed initiatief, waar we als KPN graag aan meehelpen. Het helpt ondernemers om middels dashboards, vragenlijsten, tools en webinars stap voor stap te zien wat ze moeten doen om eerst de basisveiligheid op orde te brengen en daarna te voldoen aan de NIS2-richtlijnen. En hoe je hieraan kunt blijven voldoen. En het mooie is: de stichting is bezig om een certificering uit te kunnen geven, zodat je, als je aan de NIS2-richtlijnen voldoet, dit ook echt kunt aantonen.”
Leussink: ,,Laten we eerlijk zijn, we moeten met zijn allen inderdaad een tandje bijzetten om aan de nieuwe regelgeving te voldoen. En ja, dat betekent extra werk, even dan. Maar het is net als met de invoering van de AVG. In het begin was ook iedereen tegen, maar anno nu hoor je er niemand meer over en vinden de meesten het zelfs wel fijn dat je privacy beter is gewaarborgd. Ik zou het eigenlijk vooral als een kans willen zien, een manier waarop jij je met je business kunt onderscheiden. Vergelijk het met de ISO-certificaten van vroeger. Als jij met jouw organisatie aan alle NIS2-spelregels voldoet, heb je nu al echt een kans om je te onderscheiden. Zo ben je niet alleen zelf beter beschermd, maar verhoog je mogelijk ook je klandizie.”
Bekijk hier de voorwaarden.
