Afgelopen jaar verscheen de ene na de andere cyberaanval in het nieuws. Volgens Microsoft zijn er in 2023 wereldwijd zelfs 23 procent meer cyberaanvallen geweest dan vorig jaar. Een van de meest in het oog springende cyberincidenten in Nederland vond plaats in maart 2023. De persoonsgegevens van miljoenen Nederlanders kwamen op straat te liggen toen hackers de systemen van softwareleverancier Nebu binnendrongen. Saillant detail is dat het hier niet ging om de gegevens van directe klanten van Nebu, maar om persoonsgegevens van relaties van klanten hoger in de toeleveringsketen aan wie Nebu indirect een dienst leverde. De bedrijven bovenin de keten werden geconfronteerd met hun digitale kwetsbaarheid via leveranciers en onderaannemers verderop in de keten – voor veel bedrijven een blinde vlek. Weet u hoe dat zit bij uw organisatie? Een goede interne cybersecurity biedt geen garantie voor de beveiliging van uw gegevens – de keten is zo sterk als de zwakste schakel.

Met de Europese NIS2-richtlijn (Network and Information Security Directive) in aantocht is het niet alleen belangrijk, maar zelfs verplicht voor bedrijven om hun cyberveiligheid op te schalen. Bovendien leren de incidenten van het afgelopen jaar dat iedereen getroffen kan worden. De kwetsbaarheid van gedupeerde bedrijven laat zien dat cybersecurity nog niet overal hoog genoeg op de agenda staat. Er is bij bedrijven dus nog veel werk aan de winkel. De aankomende inwerkingtreding van de NIS2 is een stevige zet in de rug. Kortom: in 2024 moet cybersecurity centraal staan bij bedrijfsvoering.

NIS wordt volwassen

De NIS2 is een Europese cybersecurityrichtlijn ter aanvulling op de inmiddels gedateerde NIS-richtlijn uit 2016. De wet wordt momenteel geïmplementeerd in Nederland, en zal in het najaar van 2024 van kracht worden. Onder de huidige NIS-richtlijn vallen ‘aanbieders van essentiële diensten’ zoals financiële instellingen, zorg-, energie- en vervoersbedrijven, en ‘digitale dienstverleners’, zoals onlinemarktplaatsen, onlinezoekmachines en cloudcomputerdiensten. De huidige wetgeving verplicht ze om passende en evenredige beveiligingsmaatregelen te nemen, en om melding te maken van cyberincidenten die aanzienlijke gevolgen kunnen hebben.

De grootste verschillen tussen de NIS2 en de NIS zijn de verbreding van het toepassingsbereik, de verzwaring van beveiligings- en meldplichten en verscherpt toezicht op naleving. In de NIS2 zijn concrete beveiligingsmaatregelen geformuleerd waaraan organisaties moeten voldoen, onder andere op het gebied van beveiliging van de toeleveringsketen. Dit om grip te houden op cyberincidenten bij leveranciers, zogenaamde supply chain attacks, en daarmee de impact van incidenten zoals bij Nebu te beperken. De nieuwe richtlijn heeft dus een groot indirect toepassingsbereik: leveranciers van bedrijven gaan er ook mee te maken krijgen, en daarmee waarschijnlijk de gehele keten.

Hoogste tijd voor actie

Met nieuwe wetgeving in het verschiet is het de hoogste tijd om de cyberweerbaarheid binnen uw organisatie én in uw toeleveringsketen te inventariseren. Wordt er al voldaan aan de minimale beveiligingseisen die NIS2 stelt? Welke processen en leveranciers zijn het meest cruciaal voor uw bedrijfscontinuïteit? Waar zitten de zwakke plekken binnen uw bedrijf en hoe kunnen die worden verstevigd? Hiervoor is het van groot belang om ook de cybersecurity van uw toeleveringsketen door te lichten. En niet alleen van nieuwe leveranciers, maar juist ook van bestaande. Het is nú zaak om hiermee aan de slag te gaan, wacht niet tot u het volgende nieuwsverhaal bent.

Voor meer verdieping PONT | Data & Privacy , opent in nieuw tabblad

Over de auteurs

  • Cees Plaizier

    Cees Plaizier is advocaat-stagiair bij advocatenkantoor Kennedy Van der Laan. Hij adviseert en procedeert onder ander over de Algemene verordening gegevensbescherming (AVG), e-marketing en big data.

Gerelateerd nieuws

De Artificial Intelligence ACT, waarom is dat voor mij van belang?

De AI-Act heeft ten doel om de ontwikkeling van AI, met name ook door start ups, te promoten en tegelijkertijd de gevaarlijke aspecten daarvan voor de grondrechten en vrijheden van de burgers van de EU te beteugelen. Remmen en gas geven tegelijk: we zullen zien hoe dat afloopt! De AI Act is een Verordening van de EU die aanvullend is op de andere Verordeningen van de EU, zoals de AVG, de Digital Services Act etc. De AI Act richt zich onder andere op de aanbieders van AI-systemen, de gebruiksverantwoordelijke, met ander woorden degene die het AI-systeem inzet en de betrokken personen. De vraag is wat de AI Act toevoegt naast bijvoorbeeld de AVG.

3e rapport Digital Decade: AI-verordening gepubliceerd

Op 2 februari 2025 worden de eerste verplichtingen uit de Europese AI-verordening van kracht. Gemeenten moeten dan voldoen aan algemene bepalingen, verbodsbepalingen en verplichtingen rondom AI-geletterdheid. Met een uitvoeringsanalyse onderzoekt de VNG wat de impact op de gemeentelijke uitvoering wordt.

Data & Privacy

Digitale toegankelijkheid schiet tekort voor mensen met een beperking: overheid moet extra stappen zetten

Voor mensen met een beperking is het zelfstandig digitaal regelen van overheidszaken, zorg, onderwijs en bankzaken nog steeds vaak moeilijk of zelfs onmogelijk. Mensen kunnen bijvoorbeeld informatie niet tot zich nemen omdat er bij filmpjes geen ondertiteling is, een formulier niet invullen omdat een site niet zonder muis te gebruiken is en geen afspraak maken met hun zorgverlener omdat een patiëntenomgeving niet toegankelijk is.

Data & Privacy

College wordt grondrechtentoezichthouder Artificiële Intelligentie

Het College voor de Rechten van de Mens (het College) is vastgesteld als een grondrechtenautoriteit Artificiële Intelligentie (AI).

Data & Privacy