Afgelopen jaar verscheen de ene na de andere cyberaanval in het nieuws. Volgens Microsoft zijn er in 2023 wereldwijd zelfs 23 procent meer cyberaanvallen geweest dan vorig jaar. Een van de meest in het oog springende cyberincidenten in Nederland vond plaats in maart 2023. De persoonsgegevens van miljoenen Nederlanders kwamen op straat te liggen toen hackers de systemen van softwareleverancier Nebu binnendrongen. Saillant detail is dat het hier niet ging om de gegevens van directe klanten van Nebu, maar om persoonsgegevens van relaties van klanten hoger in de toeleveringsketen aan wie Nebu indirect een dienst leverde. De bedrijven bovenin de keten werden geconfronteerd met hun digitale kwetsbaarheid via leveranciers en onderaannemers verderop in de keten – voor veel bedrijven een blinde vlek. Weet u hoe dat zit bij uw organisatie? Een goede interne cybersecurity biedt geen garantie voor de beveiliging van uw gegevens – de keten is zo sterk als de zwakste schakel.

Met de Europese NIS2-richtlijn (Network and Information Security Directive) in aantocht is het niet alleen belangrijk, maar zelfs verplicht voor bedrijven om hun cyberveiligheid op te schalen. Bovendien leren de incidenten van het afgelopen jaar dat iedereen getroffen kan worden. De kwetsbaarheid van gedupeerde bedrijven laat zien dat cybersecurity nog niet overal hoog genoeg op de agenda staat. Er is bij bedrijven dus nog veel werk aan de winkel. De aankomende inwerkingtreding van de NIS2 is een stevige zet in de rug. Kortom: in 2024 moet cybersecurity centraal staan bij bedrijfsvoering.

NIS wordt volwassen

De NIS2 is een Europese cybersecurityrichtlijn ter aanvulling op de inmiddels gedateerde NIS-richtlijn uit 2016. De wet wordt momenteel geïmplementeerd in Nederland, en zal in het najaar van 2024 van kracht worden. Onder de huidige NIS-richtlijn vallen ‘aanbieders van essentiële diensten’ zoals financiële instellingen, zorg-, energie- en vervoersbedrijven, en ‘digitale dienstverleners’, zoals onlinemarktplaatsen, onlinezoekmachines en cloudcomputerdiensten. De huidige wetgeving verplicht ze om passende en evenredige beveiligingsmaatregelen te nemen, en om melding te maken van cyberincidenten die aanzienlijke gevolgen kunnen hebben.

De grootste verschillen tussen de NIS2 en de NIS zijn de verbreding van het toepassingsbereik, de verzwaring van beveiligings- en meldplichten en verscherpt toezicht op naleving. In de NIS2 zijn concrete beveiligingsmaatregelen geformuleerd waaraan organisaties moeten voldoen, onder andere op het gebied van beveiliging van de toeleveringsketen. Dit om grip te houden op cyberincidenten bij leveranciers, zogenaamde supply chain attacks, en daarmee de impact van incidenten zoals bij Nebu te beperken. De nieuwe richtlijn heeft dus een groot indirect toepassingsbereik: leveranciers van bedrijven gaan er ook mee te maken krijgen, en daarmee waarschijnlijk de gehele keten.

Hoogste tijd voor actie

Met nieuwe wetgeving in het verschiet is het de hoogste tijd om de cyberweerbaarheid binnen uw organisatie én in uw toeleveringsketen te inventariseren. Wordt er al voldaan aan de minimale beveiligingseisen die NIS2 stelt? Welke processen en leveranciers zijn het meest cruciaal voor uw bedrijfscontinuïteit? Waar zitten de zwakke plekken binnen uw bedrijf en hoe kunnen die worden verstevigd? Hiervoor is het van groot belang om ook de cybersecurity van uw toeleveringsketen door te lichten. En niet alleen van nieuwe leveranciers, maar juist ook van bestaande. Het is nú zaak om hiermee aan de slag te gaan, wacht niet tot u het volgende nieuwsverhaal bent.

Voor meer verdieping PONT | Data & Privacy , opent in nieuw tabblad

Over de auteurs

  • Cees Plaizier

    Cees Plaizier is advocaat-stagiair bij advocatenkantoor Kennedy Van der Laan. Hij adviseert en procedeert onder ander over de Algemene verordening gegevensbescherming (AVG), e-marketing en big data.

Gerelateerd nieuws

Wet gegevensverwerking door samenwerkingsverbanden (Wgs) – deel 1: Wat maakt de Wgs voor samenwerkingsverbanden mogelijk?

Bij zowel publieke als private organisaties bestaat er behoefte om gegevens uit te wisselen. Bijvoorbeeld om fraude en ondermijning aan te pakken. Op basis van de privacyregelgeving (bijvoorbeeld de AVG) mag dat niet zomaar. De Wet gegevensverwerking door samenwerkingsverbanden (Wgs) gaat een basis bieden voor gegevensverwerking door samenwerkingsverbanden die het doel hebben fraude, criminaliteit en/of ondermijning tegen te gaan.

Data & Privacy

Microsoft: Russische hackers spioneerden op e-mails van Microsoft-klanten

Microsoft heeft bevestigd dat Russische hackers mailboxen van werknemers hebben bespioneerd en e-mails van klanten hebben gestolen, dit laat Reuters in een persbericht weten (1).

Data & Privacy

Algoritmes en discriminatie hebben hoofdrol in privacytoezicht

In 2023 kwam de toeslagenaffaire in een nieuwe fase met de verhoren van de parlementaire enquêtecommissie Fraudebeleid en Dienstverlening. Tegelijk werd pijnlijk duidelijk dat er nog bitter weinig veranderd is. Terwijl de enquêtecommissie de Autoriteit Persoonsgegevens (AP) in 2023 meermaals uitnodigde om uit te leggen hoe het in het verleden zo vreselijk heeft kunnen misgaan, speelden in datzelfde jaar algoritmes en discriminatie nog altijd de hoofdrol in het werk van de AP. Dat staat in het jaarverslag 2023 van de AP.

Data & Privacy

Laadinfrastructuur stelt bescherming elektriciteitsnet én persoonsgegevens op de proef

Het laadnetwerk voor elektrische voertuigen is vitale infrastructuur. Hoe kwetsbaar zijn laadpalen voor cyberaanvallen en bij wie belanden je persoonsgegevens als je je auto oplaadt?

Data & Privacy