2024: Een cruciaal jaar voor Cybersecurity

Afgelopen jaar verscheen de ene na de andere cyberaanval in het nieuws. Volgens Microsoft zijn er in 2023 wereldwijd zelfs 23 procent meer cyberaanvallen geweest dan vorig jaar. Een van de meest in het oog springende cyberincidenten in Nederland vond plaats in maart 2023. De persoonsgegevens van miljoenen Nederlanders kwamen op straat te liggen toen hackers de systemen van softwareleverancier Nebu binnendrongen. Saillant detail is dat het hier niet ging om de gegevens van directe klanten van Nebu, maar om persoonsgegevens van relaties van klanten hoger in de toeleveringsketen aan wie Nebu indirect een dienst leverde. De bedrijven bovenin de keten werden geconfronteerd met hun digitale kwetsbaarheid via leveranciers en onderaannemers verderop in de keten – voor veel bedrijven een blinde vlek. Weet u hoe dat zit bij uw organisatie? Een goede interne cybersecurity biedt geen garantie voor de beveiliging van uw gegevens – de keten is zo sterk als de zwakste schakel.

Met de Europese NIS2-richtlijn (Network and Information Security Directive) in aantocht is het niet alleen belangrijk, maar zelfs verplicht voor bedrijven om hun cyberveiligheid op te schalen. Bovendien leren de incidenten van het afgelopen jaar dat iedereen getroffen kan worden. De kwetsbaarheid van gedupeerde bedrijven laat zien dat cybersecurity nog niet overal hoog genoeg op de agenda staat. Er is bij bedrijven dus nog veel werk aan de winkel. De aankomende inwerkingtreding van de NIS2 is een stevige zet in de rug. Kortom: in 2024 moet cybersecurity centraal staan bij bedrijfsvoering.

NIS wordt volwassen

De NIS2 is een Europese cybersecurityrichtlijn ter aanvulling op de inmiddels gedateerde NIS-richtlijn uit 2016. De wet wordt momenteel geïmplementeerd in Nederland, en zal in het najaar van 2024 van kracht worden. Onder de huidige NIS-richtlijn vallen ‘aanbieders van essentiële diensten’ zoals financiële instellingen, zorg-, energie- en vervoersbedrijven, en ‘digitale dienstverleners’, zoals onlinemarktplaatsen, onlinezoekmachines en cloudcomputerdiensten. De huidige wetgeving verplicht ze om passende en evenredige beveiligingsmaatregelen te nemen, en om melding te maken van cyberincidenten die aanzienlijke gevolgen kunnen hebben.

De grootste verschillen tussen de NIS2 en de NIS zijn de verbreding van het toepassingsbereik, de verzwaring van beveiligings- en meldplichten en verscherpt toezicht op naleving. In de NIS2 zijn concrete beveiligingsmaatregelen geformuleerd waaraan organisaties moeten voldoen, onder andere op het gebied van beveiliging van de toeleveringsketen. Dit om grip te houden op cyberincidenten bij leveranciers, zogenaamde supply chain attacks, en daarmee de impact van incidenten zoals bij Nebu te beperken. De nieuwe richtlijn heeft dus een groot indirect toepassingsbereik: leveranciers van bedrijven gaan er ook mee te maken krijgen, en daarmee waarschijnlijk de gehele keten.

Hoogste tijd voor actie

Met nieuwe wetgeving in het verschiet is het de hoogste tijd om de cyberweerbaarheid binnen uw organisatie én in uw toeleveringsketen te inventariseren. Wordt er al voldaan aan de minimale beveiligingseisen die NIS2 stelt? Welke processen en leveranciers zijn het meest cruciaal voor uw bedrijfscontinuïteit? Waar zitten de zwakke plekken binnen uw bedrijf en hoe kunnen die worden verstevigd? Hiervoor is het van groot belang om ook de cybersecurity van uw toeleveringsketen door te lichten. En niet alleen van nieuwe leveranciers, maar juist ook van bestaande. Het is nú zaak om hiermee aan de slag te gaan, wacht niet tot u het volgende nieuwsverhaal bent.