Is er vandaag de dag nog een sector waar het thema cyberveiligheid niet bovenaan het lijstje van prioriteiten staat? Bij FME, de ondernemersorganisatie voor de technologische industrie, heeft de digitale weerbaarheid van ondernemers in elk geval de volle aandacht. Marlou Snelders, belangenbehartiger Digitalisering en Cyberveiligheid, weet hoe groot de dreiging van een cyberaanval is. ‘Het is niet zozeer de vraag óf een bedrijf gehackt wordt, maar eerder wanneer. En de gevolgen kunnen zeer groot zijn.’
Soms gaat het heel erg mis, soms ook nét niet. ‘Eén van onze lidbedrijven had enkele nieuwe apparaten laten installeren. Deze waren aan het internet gekoppeld om ze vanuit de controleruimte te kunnen bedienen. Maar het systeem bleek zo lek als een mandje. Langs die weg hadden criminelen op andere plekken al eerder ondernemers kunnen hacken. Gelukkig kwam het bedrijf hier net op tijd achter en zijn er maatregelen genomen.’
Maakindustrie onder vuur
Het voorbeeld typeert hoe de zogeheten -ransomware-bendes – volgens FME zijn er alleen al in Rusland zo’n tachtigduizend internetcriminelen actief – geen mogelijkheid onbenut laten om de digitale systemen van bedrijven binnen te dringen. Zodra de systemen zijn platgelegd, eisen de criminelen een grote som losgeld, doorgaans in digitale valuta. Door dit losgeld te betalen, ontvangt het bedrijf een sleutel waarmee het de systemen weer kan opstarten en de productie kan hervatten. Daarnaast gaan criminelen aan de haal met bedrijfsgevoelige informatie die zij vervolgens als koopwaar op het dark web plaatsen. Beide verdienmodellen zijn dermate lucratief, dat criminelen steeds professioneler te werk gaan. De intensiteit van de aanvallen is de afgelopen jaren dan ook sterk toegenomen.
Ook ziet FME een verschuiving in het werk-terrein van de ransomware-bendes. Waar voorheen de financiële sector werd aangevallen, is het nu vooral de maakindustrie die onder vuur ligt. ‘In de financiële sector gaan miljarden om. Dat is aantrekkelijk voor criminelen, maar de sector heeft ook miljarden om in cyberveiligheid te investeren’, vertelt Snelders. ‘We weten uit onderzoek dat de maakindustrie sinds de coronacrisis doelwit nummer één is geworden. Criminelen zoeken nu eenmaal de weg van de minste weerstand.’ Bedrijven die hun productieproces in hoog tempo hebben gedigitaliseerd, zijn volgens Snelders vaak extra kwetsbaar. ‘De afgelopen jaren is er een enorme sprong in digitalisering genomen en zijn bedrijven veel meer hun machines en apparaten aan het internet gaan hangen, zonder na te denken over de risico’s die daarmee samenhangen. De Operational Technology (OT, red.) die nodig is om machines in productie te houden, draait vaak op oude systemen en is veel minder goed beveiligd dan de softwareapplicaties in de kantooromgeving. Dat biedt kansen voor hackers om binnen te komen. We zien daarnaast dat negen van de tien FME-leden hun IT-diensten hebben uitbesteed aan serviceproviders die cybersecurity er bijdoen en waarbij de OT–security niet in de scope zit. Veel ondernemers hebben de urgentie niet gevoeld om de beurs te trekken, omdat een aanval toch vaak een ver-van-mijn-bedshow was en de wetgever geen maatregelen eiste.’
De directe gevolgen van een hack, of de ondernemer het losgeld nu betaalt of niet, zijn veelomvattend. Dat gaat van salarissen die niet meer uitbetaald kunnen worden en medewerkers die niet meer bij hun agenda of mailbox kunnen, tot aan machines die stoppen met draaien en zelfs hele productieprocessen die stil komen te liggen. De kwetsbaarheid van het maakbedrijf zit met name in dat laatste, aldus Snelders. ‘De productie is immers de kurk waar de omzet op drijft. Zodra dat proces stil komt te liggen, stopt niet alleen het verdienen van geld, maar stoppen ook alle werkzaamheden die daaraan dienstbaar zijn, zoals de engineering, de werkvoorbereiding, de logistiek en service en onderhoud. Waar bijvoorbeeld een school of winkel het een tijdje analoog kan bolwerken, is dat voor het maakbedrijf een stuk gecompliceerder.’
NIS2 over hele waardeketens
De Europese richtlijn NIS2 (Network and Information Security directive) moet het continent beter beschermen tegen de risico’s van cyberaanvallen. Eenmaal geïmplementeerd in de nationale wetgeving gaat de richtlijn door onder de naam Cyberbeveiligingswet. Deze wet zal gelden voor bedrijven en organisaties die worden gezien als ‘essentieel’ of ‘belangrijk’ voor het functioneren van de maatschappij en/of de economie en daarnaast van een zekere grootte zijn: een omzet vanaf tien miljoen euro en meer dan vijftig medewerkers. Essentieel en belangrijk zijn bijvoorbeeld financiële dienstverleners, de gezondheidszorg, aanbieders van telecomdiensten en energievoorziening, beheerders van spoorweginfrastructuur, afval- en waterbeheerbedrijven en fabrikanten van medische hulpmiddelen.
De partijen zullen verplicht maatregelen moeten nemen, zoals op het terrein van preventie, medewerkersbewustzijn en risicomanagement. Daarnaast krijgen zij een ketenzorgplicht opgelegd en worden ze er zo verantwoordelijk voor dat hun leveranciers ook passende maatregelen nemen. Het kan in de praktijk betekenen dat de NIS2-plichtige organisaties specifieke maatregelen voor cybersecurity kunnen opleggen aan hun partners in de keten. Het toezichtregime – diverse toezichthouders voor verschillende sectoren – zal worden aangescherpt en er kunnen stevige sancties worden opgelegd als blijkt dat er onvoldoende maatregelen zijn genomen. Ook zal er een meldplicht gelden. Dat betekent dat organisaties binnen 24 uur nadat zij zich van een incident bewust zijn geworden, hier melding van moeten maken. Binnen een maand moeten zij een uitgebreider rapport opleveren.
Samen Digitaal Veilig
Het thema digitale weerbaarheid en de richtlijn NIS2 staan ook stevig op de agenda van de Federatie NRK, die een achterban vertegenwoordigt van voornamelijk mkb-ondernemers in de B2B-markten. Onlangs sloot de brancheorganisatie zich aan bij het platform Samen Digitaal Veilig, een initiatief van MKB-Nederland en VNO-NCW. ‘Als ondersteuning van onze leden om aan de eisen die voortvloeien uit de NIS2 te kunnen voldoen’, vertelt branchecoördinator Thomas Hobé. ‘Het platform kan onze leden helpen om inzicht te krijgen in wat zij al doen en waar zij nog stappen moeten zetten. Via het platform ontvangt de ondernemer een uitgebreid informatiepakket. Met het doorlopen van een stappenplan kan het bedrijf bovendien een keurmerk halen, waar onze leden ook nog eens vijftig procent korting op krijgen.’
Met dit keurmerk ‘NIS2 Quality Mark’ kunnen toeleveranciers aantonen dat ze digitaal weerbaar zijn en dus geen risico vormen voor hun afnemers. ‘Het is enerzijds belangrijk om je bedrijf te wapenen tegen de gevaren van een cyberaanval’, zegt Hobé. ‘Anderzijds is het van belang om te laten zien dat je als toeleverancier aan je cyberveiligheid werkt en dus ook voldoet aan de eisen van NIS2 en de nieuwe Cyberbeveiligingswet.’ De Europese richtlijn heeft volgens Hobé sterke gelijkenissen met de Corporate Sustainability Reporting Directive. ‘Bij de CSRD zien we dat afnemers hun toeleveranciers vragen om informatie ten behoeve van de verplichte duurzaamheidsrapportages. De eisen vanuit de ketenzorgplicht van de NIS2 kunnen op diezelfde manier bij de NRK-leden worden neergelegd. En net als bij de CSRD, kun je klanten verliezen als je op dit punt onvoldoende scoort. Het is goed dat nu op Europese schaal de waardeketens beter beschermd gaan worden. Er komt steeds meer wetgeving die over gehele ketens heen gaat. Op het gebied van circulair ondernemen en nu ook de digitale weerbaarheid, kan het systeem daarmee beter worden gesloten.’
Incident is gevaar voor hele keten
Op 21 mei jl. startte het ministerie van Justitie en Veiligheid met de consultatie van de Cyberbeveiligingswet. Snelders werkt de concept-wetgeving grondig door, zoals op de mogelijke grote administratieve last voor de FME-leden die – vergelijkbaar met de achterban van de NRK – voor ruim tachtig procent actief zijn in het mkb. Ook Snelders beschouwt de NIS2 als een probate manier om de waardeketens beter te beschermen. ‘Waar nu eenmaal de grootste risico’s zitten, is dat kwaadwillenden proberen om via toeleveranciers grotere organisaties te bereiken. In geval van een incident kan de hele keten als dominosteentjes omvallen. Heeft een bedrijf zijn basishygiëne niet op orde, dan kan dat dus grote gevolgen hebben voor alle partijen waar het mee samenwerkt.’
Die basishygiëne is het totale pakket aan maatregelen die bedrijven moeten nemen om incidenten te voorkomen. Zoals met het instellen van multifactor-authenticatie. ‘Negentig procent van de pogingen zijn onsuccesvol als een ransomware-collectief erachter komt dat een bedrijf hier gebruik van maakt’, legt Snelders uit. ‘Omgekeerd, als multifactor-authenticatie door een bedrijf niet wordt gehandhaafd, is de ondernemer bij uitstek een doelwit voor hackers. Zij gaan gewoon alle deurtjes van het internet af om te kijken waar er iets open staat.’ Moet de ondernemer met deze maatregel nog beginnen, is het volgens Snelders eigenlijk al te laat. ‘We zien namelijk dat criminelen ook hier weer omweggetjes voor hebben gevonden. Het is daarom voor ondernemers heel belangrijk om op de hoogte te blijven van wat er kan en wat er speelt, in plaats van achter de feiten aan te lopen. Om die reden is het ook relevant dat er een bepaalde mate van flexibiliteit in de nieuwe wetgeving zit, om de technologische ontwikkelingen bij te kunnen blijven en niet steeds de hele wet daarop aangepast hoeft te worden. De wetgever beoogt daarom per sector verdere invulling aan de wet te geven met Algemene Maatregelen van Bestuur, die sneller aan te passen zijn.’
Alert zijn en oefenen
Voor ondernemers is volgens Snelders ook het inwinnen van expertise op het terrein van cybersecurity aan te raden, het liefst bij een expert in plaats van een algemene IT-provider die dit onderwerp er bijdoet. Daarnaast kan het bedrijf met alerte medewerkers zijn digitale weerbaarheid verhogen. ‘Thuis doen we toch allemaal de deur achter ons op slot? Zo zou het ook de gewoonte moeten zijn om het scherm van onze laptops te locken en de machines goed af te sluiten. Ondernemers kunnen het digitaal veilig werken gemakkelijker maken door het gebruik van wachtwoordkluizen en een duidelijk bezoekersprotocol, zodat het bedrijf inzicht heeft in wie er toegang heeft tot de systemen en apparaten.’
Daarnaast is het volgens Snelders belangrijk om adequaat te reageren op het moment dat zich een incident voordoet. ‘Stel, alle systemen liggen plat. Dan moet je ergens op een papiertje het telefoonnummer van je IT-dienstverlener hebben staan. En waar meldt een medewerker zich als deze toch een keer op een phishing-link heeft geklikt? Een cyberincident kun je prima oefenen, zoals je ook regelmatig een brandoefening doet. Overlaad de mensen niet met allerlei begrippen en bangmakerij, maar train ze op een positieve manier in het voorkomen van incidenten en hoe te handelen als het toch mis gaat, want iedereen kan fouten maken. We zien dat criminelen met behulp van AI steeds inventiever te werk gaan, maar je moet ze ook niet overschatten. Ze zijn soms heel simpele dingen aan het doen. Als we dat kunnen ondervangen door met zijn allen alert te zijn, is dat al heel fijn.’
Digitale productveiligheid
Naast de NIS2 komt er vanuit de EU ook de zogeheten Cyber Resilience Act (CRA). Waar de NIS2 gaat over de governance van digitale weerbaarheid, gaat de CRA over productveiligheid. Het CE-keurmerk staat toe dat bedrijven producten op de markt mogen brengen, maar een dergelijk keurmerk is er niet voor software of hardware die aan het internet is blootgesteld. Met de CRA worden bijna alle fabrikanten voordat een product binnen Europa op de markt kan worden gebracht, verplicht om een certificaat te behalen op het gebied van digitale weerbaarheid.
Verder heeft in eigen land de Tweede Kamer in maart van dit jaar het wetsvoorstel Wet bevordering digitale weerbaarheid bedrijven (Wbdwb) aangenomen. Deze wet legt de taken en bevoegdheden van de minister van Economische Zaken en Klimaat vast op het terrein van digitale weerbaarheid van niet–vitale bedrijven in Nederland, zoals het verwerken en verspreiden van informatie over kwetsbaarheden, dreigingen en incidenten en het samenwerken met andere bestuurs-organen en organisaties. In 2018 is het Digital Trust Center (DTC) binnen het Ministerie van Economische Zaken en Klimaat opgericht om het niet-vitale Nederlandse bedrijfsleven weerbaarder te maken tegen cyberdreigingen.
Aan de slag?
De richtlijn NIS2, feitelijk een uitgebreidere versie van de eerdere Directive on Security of Network and Information Systems (NIS1) – in Nederland: de Wbni – zou moeten ingaan op 17 oktober 2024. Zoals het er nu naar uit ziet, zal de richtlijn echter pas in de loop van 2025 naar de Cyberbeveiligingswet zijn omgezet. Wilt u alvast aan de slag? Dat kan op verschillende manieren. Zoals met de Quickscan NIS2, een handige tool van de Rijksoverheid om organisaties te ondersteunen bij hun voorbereidingen op de wet. De tool is met name bedoeld voor ICT- en cybersecurity–specialisten en -verantwoordelijken binnen organisaties. Het beantwoorden van veertig ja/nee-vragen maakt hen bewust van de status van de digitale weerbaarheid van hun organisatie. De Quickscan biedt ook handelingsperspectief: per thema worden technische of organisatorische maatregelen voorgesteld die kunnen bijdragen aan de cyberveiligheid van organisaties en aan de voorbereiding op de NIS2. Bekijk de tool op www.ncsc.nl
Ondernemers kunnen daarnaast in gesprek met FME (www.fme.nl). Vanuit het programma Cybersecurity organiseert FME regelmatig webinars en fysieke bijeenkomsten om uw kennis te vergroten. Het startpakket van Samen Digitaal Veilig kan dankzij overheidssteun door alle bedrijven in Nederland gratis worden gebruikt. Het Pluspakket kost € 960,- per jaar: NRK-leden betalen € 480,- per jaar. Het NIS2 Quality Mark-pakket kost € 1.200,- per jaar (t/m 25 medewerkers), inclusief de 50 procent korting voor NRK-leden. Voor bedrijven met meer dan 25 medewerkers is dat vanaf € 1.950,- per jaar.