De Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) heeft het Cybersecuritybeeld Nederland (CSBN) 2023 gepubliceerd. Het CSBN geeft de trends, incidenten, dreigingen en uitdagingen weer op het gebied van cybersecurity binnen onze nationale veiligheid. Wat kun jij als ondernemer met deze informatie? Het Digital Trust Center (DTC) van het ministerie van Economische Zaken en Klimaat vat de voor bedrijven relevante punten samen. 

Digitale dreiging voor Nederland onverminderd groot
Het geopolitieke speelveld, met de Russische oorlog tegen Oekraïne als prominent voorbeeld, verhardt. De complexiteit van verweven processen, systemen en netwerken in combinatie met verouderde informatiesystemen zorgt voor het ontstaan van kwetsbaarheden die cybercriminelen kunnen misbruiken. Nieuwe technologie zoals ‘Generatieve AI’ die kansen maar zeker ook bedreigingen met zich meebrengen. Het zijn enkele van de ontwikkelingen in het CSBN 2023 beschreven om aan te duiden dat de digitale dreiging voor Nederland onverminderd groot is. 

Scheefgroei tussen digitale dreiging en weerbaarheid
Het verkleinen van de scheefgroei tussen de digitale dreiging en de weerbaarheid blijft een opgave. Terwijl de bedreigingen blijven groeien is de digitale weerbaarheid nog niet overal op orde. Deze cyberweerbaarheidskloof is mede te verklaren doordat basismaatregelen nog altijd niet voldoende doorgevoerd worden. Denk hierbij bijvoorbeeld aan het gebruik van multifactorauthenticatie en het maken en testen van back-ups. Het treffen van veiligheidsmaatregelen wordt gezien als kostenpost en vaak reactief toegepast. Dat kan anders. Kijk naar de 5 basisprincipes van digitaal veilig ondernemen van het DTC wat je concreet kunt doen om de basis op orde te krijgen. 

Crimineel verdienmodel aantrekkelijk
Cybercriminaliteit is een aantrekkelijk verdienmodel voor cybercriminelen. Dat geldt zeker voor het versleutelen van bestanden en/of door het dreigen met publicatie van buitgemaakte informatie. De professionalisering en commercialisering van criminele tools en diensten neemt verder toe, met als gevolg dat ook technisch minder onderlegde criminelen gemakkelijk cyberaanvallen kunnen plegen. De kernboodschap van dit CSBN luidt ‘verwacht het onverwachte’.Door de verwevenheid van ons digitale ecosysteem is vrijwel iedere organisatie – al dan niet toevallig – potentieel doelwit. 

Operationele technologie (OT) is een kwetsbare bouwsteen voor vitale processen
OT speelt een centrale rol in het aansturen, monitoren en beheren van fysieke processen binnen organisaties. Veiligheid van OT is van vitaal belang, maar kent belangrijke uitdagingen. Maakt jouw onderneming gebruik van OT-apparaten, doe dan de Security Check Procesautomatisering en krijg inzicht in de veiligheid van jouw procesautomatisering. Ook het Industrial Internet of Things (IIoT) speelt een steeds belangrijker rol in industriële omgevingen. Deze ‘slimme’ aan het internet gekoppelde apparaten zijn erg functioneel maar vormen ook kwetsbaarheden. Het is als ondernemer cruciaal om deze IoT-apparaten goed te beveiligen.

Onderdeel zijn van breder ecosysteem compliceert risicobeheersing
Vrijwel alle organisaties zijn onderdeel van een breder ecosysteem. Denk daarbij aan outsourcing van onderdelen van de bedrijfsvoering, zoals de salarisadministratie, toegangspasbeheer of marktonderzoek. Het is lastig grip te krijgen op de afhankelijkheden en kwetsbaarheden binnen dit ecosysteem. Maar deze afhankelijkheden en kwetsbaarheden vormen wel degelijk een substantieel onderdeel van de digitale risico’s. Voor ondernemers is het belangrijk deze risico’s beheersbaar te maken. Doe dit bijvoorbeeld door na te denken over een risicoanalyse en een uitwijk- en herstelplan. 

Verzekerbaarheid digitale risico’s onder druk
Hoewel organisaties veel kunnen doen aan digitale weerbaarheid, kunnen cyberincidenten zich toch voordoen en/of is schade niet altijd te voorkomen. De verzekerbaarheid van digitale risico’s staat onder druk. Het resultaat van deze druk is, of kan zijn dat organisaties met een verhoogd risicoprofiel worden uitgesloten en premies worden verhoogd. Dit alles kan er uiteindelijk toe leiden dat financieel gezonde organisaties ten onder gaan aan de schade die zij lijden door cyberincidenten. 

Extra eisen voor digitale veiligheid die voortkomen uit nieuwe Europese wet- en regelgeving
De EU vergroot de eisen voor digitale veiligheid met verschillende wet- en regelgeving. Zo bepaalt de NIS2-richtlijn welke bedrijven aan welke verplichte security-eisen moeten voldoen. Door de NIS2-richtlijn gaan meer organisaties onder de werking van de Wet beveiliging netwerk- en informatiesystemen (Wbni) vallen dan nu. De NIS2-richtlijn heeft implicaties op eisen voor risicomanagement, het gebruik van encryptie, een verplich­ting voor het afhandelen van datalekken en het melden van cybersecurity-incidenten. Ook organisaties die ketenpartner zijn van NIS2-organisaties zullen te maken krijgen met de effecten van de implementatie. De NIS2-richtlijn zal in 2024 via de Wbni in Nederland worden geïmplementeerd. 

Samenvattend

Wat is voor ondernemers het belangrijkste om te weten uit het CSBN 2023?

1. Verwacht het onverwachte. De digitale dreiging voor Nederland is onverminderd groot, elk bedrijf of organisatie moet rekening houden met onverwachte aanvallen;
2. Er is sprake van een scheefgroei tussen de toenemende dreiging en de ontwikkeling van de weerbaarheid. Daarom is het nu tijd om in actie te komen;
3. Zorg ervoor dat de basis op orde is, zwakke plekken maken het criminelen gemakkelijk;
4. Let extra op de beveiliging van OT- en IoT-apparatuur, zeker wanneer je werkt met gevoelige (bedrijfs)gegevens;
5. Iedere organisatie is onderdeel van een breder ecosysteem, dit brengt risico’s met zich mee. Wees je bewust van deze risico’s en maak een plan voor als het mis gaat.

Download 
Het Cybersecuritybeeld Nederland (CSBN) 2023 (PDF)