Grote bedrijven maken zich over het algemeen meer zorgen om cyberrisico's dan middelgrote en kleine bedrijven. Om zich tegen een aanval te beschermen, kiezen ze er nu voor om hun kleinere ketenpartners te helpen de digitale deur op slot te doen. Want bij hen is het nog lang niet op orde, allemaal.
Een derde van de bedrijven met maximaal vijftig medewerkers heeft volgens het Digital Trust Center (DTC), onderdeel van het ministerie van Economische Zaken, geen enkele maatregel getroffen ten behoeve van digitaal veilig gedrag. Slechts 42 procent van hen heeft een tweefactorauthenticatie ingesteld en zo’n 60 procent heeft een beleid voor sterke wachtwoorden. Op antivirussoftware wordt beter gescoord. 84 procent van de organisaties geeft aan dat binnen hun bedrijf antivirussoftware aanwezig is op bedrijfsapparatuur.
De sector vervoer is een gemiddeld gedigitaliseerde sector waar ondernemers meestal niet de beschikking hebben over een team van professionals dat helpt met de digitale weerbaarheid. Op cyberweerbaarheidsmaatregelen scoort de sector benedengemiddeld, aldus het DTC.
Relatief goed voorbereid op cyberdreigingen
Grote en middelgrote partijen in de sector doen het beter, blijkt uit onderzoek in opdracht van KPN onder ruim 450 IT-verantwoordelijken. Vergeleken met de andere branches denkt men relatief vaak goed of zelfs volledig voorbereid te zijn op cyberdreigingen, melden de onderzoekers. “Desondanks heeft minder dan een kwart een beleid voor het melden van beveiligingsincidenten. Ook kampt de branche onder meer met een gebrek aan kennis/bewustzijn en aan gekwalificeerd cybersecurity-personeel.”
Middelgrote organisaties zeggen in dit onderzoek van KPN minder vaak geconfronteerd te zijn met cyberrisico’s en onderschatten deze vaker. Ze maken zich minder zorgen over cyberdreigingen en denken ook minder interessant te zijn voor criminelen. Grote organisaties zijn zich daarentegen bewuster van de risico’s en ervaren vaker uitdagingen zoals een hoge werkdruk op hun IT- en cybersecurityafdelingen.
Kleine ketenpartners helpen met cybersecurity
Opmerkelijk is dat grote bedrijven de laatste tijd vaker ervoor kiezen om hun kleinere ketenpartners te helpen de digitale deur op slot te doen. Dat ziet Ad Buckens, cybersecurity-expert van CGI Nederland. En omdat zeker in een logistieke keten veel wordt samengewerkt tussen grote en kleine bedrijven, speelt dit relatief veel in de sector transport en logistiek. “Een aanvaller zoekt de weg van de minste weerstand”, weet Buckens. Hij vergelijkt het met de strategie van een inbreker. Die gaat het huis binnen waar de voordeur van openstaat, niet dat van de buurman met de voordeur op slot. “Maar via de poort in de achtertuin komt diezelfde inbreker misschien wel ook bij de buurman binnen.”
Het goed beschermen tegen cyberrisico’s wint aan belang, ziet Buckens, die zelf al ruim twintig jaar in dit vakgebied actief is. Dat komt onder andere door de NIS2-regelgeving die in enkele Europese landen al bekrachtigd is. Bedrijven vanaf een bepaald formaat of die opereren in een kritieke sector, moeten aan de cyberveiligheidsregels voldoen. In Nederland is de precieze invulling van de directive nog niet helemaal uitgetekend. “Het lastige aan een directive is dat ieder land zelf kiest hoe gedetailleerd de regels gevolgd moeten worden. België is een koploper op het gebied van NIS2. Het CyberFundamentals Framework dat is opgesteld, bestaat uit een reeks concrete maatregelen om gegevens te beschermen en kent vier niveaus: small, basic, important en essential. Hoe strikt Nederland gaat zijn, is nog niet bekend. Wat wel duidelijk is, is dat de mate van toezicht hier verandert de laatste tijd. Toezichthouders als Autoriteit Persoonsgegevens laten meer hun tanden zien en delen zichtbaarder boetes uit.”
Internationale aanpak gewenst
Buckens vindt alle acties die leiden tot betere digitale beveiliging goed, maar pleit wel voor een internationale aanpak. Er bestaan al internationale standaarden zoals ISO, zoiets zou ook voor NIS2 ideaal zijn. Recent lanceerde de Nederlandse Stichting Kwaliteitsinnovatie een getrapte norm waarmee bedrijven op hun eigen niveau kunnen voldoen aan de Europese cybersecuritywetgeving, de NIS2 Quality Mark. Sommige leden van TLN hebben de norm, die drie niveaus telt, al getest. De norm is geldig in heel Europa, zo geeft de stichting aan. “Nu moet uitwijzen of de norm daadwerkelijk in andere landen wordt geaccepteerd. Want dan wordt het interessant”, zegt Buckens.
"Als de NIS2 Quality Mark daadwerkelijk in heel Europa wordt geaccepteerd, dan wordt het interessant"
Als de NIS2 Quality Mark in heel Europa geaccepteerd wordt, hoef je als bedrijf immers maar één stempel te behalen. Anders moet je per land kijken in hoeverre de invulling van NIS2 aansluit op de Nederlandse aanpak en of aanvullende acties nodig zijn. En aangezien ook de kleinste transporteurs en logistiek dienstverleners vaak over de grens gaan, speelt dit bij vrijwel iedereen in de sector.
Gezamenlijk kennis inwinnen over cybersecurity
Buckens tipt kleinere bedrijven die nu hun cybersecurity op orde willen krijgen om gezamenlijk kennis van buitenaf in te winnen. “Zoek elkaar op en treedt op als een consortium. Daarnaast is het slim om voor jezelf na te denken hoe groot je je dreigingsniveau inschat. Van welke systemen en partners ben je afhankelijk? Welke impact heeft een verstoring?” De grootste uitdaging is om je voor te bereiden op de meldplicht, zegt de cybersecurity-expert. “In de NIS2-regelgeving is opgenomen dat je een meldplicht hebt binnen 24 uur na een incident. Een hack en de grootte ervan is echter niet zo opvallend als bijvoorbeeld een brand op je terrein. In het digitale landschap duurt het langer om een incident te vinden en is het lastiger in te schatten wanneer je het moet melden.” Buckens adviseert om scenario’s op te stellen van wat er kan gebeuren en daar een actieplan voor op te stellen.
Buckens wijst ten slotte op de vijf basismaatregelen van het Nationaal Cyber Security Centrum (NCSC). Die bieden handvatten voor het ontwikkelen van een gezonde en degelijke cyberbeveiligingsstrategie. Kleine ondernemers kunnen tevens tot 31 december, of totdat het maximum van 1 miljoen euro is bereikt, subsidie aanvragen voor hun investering in cyberweerbaarheid. Op peildatum 28 oktober 2024 zijn er volgens het DTC 325 aanvragen ingediend met een totale waarde van 330.000 euro.
Dit artikel verscheen eerder op Logistiek.nl (redacteur Diane Essenburg)