Phishingmails, CEO-fraude en ransomware kenden we helaas al. Met AI hebben cybercriminelen er een superwapen bij waarmee ze logistieke ketens enorme schade kunnen berokkenen. In het kader van NIS2 cybersecurity-wetgeving worden bedrijven verplicht extra voorzorgsmaatregelen te treffen. Wat voor impact heeft dit op MKB-bedrijven? Wat wordt er van je verwacht? Hoe begin je? We zetten het in dit artikel allemaal op een rij.
Logistiek Dienstverlener Van der Helm Logistics werd in 2020 slachtoffer van een ransomware-aanval. Alle pc’s en bestanden werden versleuteld. Het MKB-bedrijf wilde eerst geen losgeld betalen, maar het opnieuw scannen van de voorraad ging lang duren. Om contractuele verplichtingen na te kunnen komen werd uiteindelijk toch betaald. Het bedrag zou rond de twee ton liggen.
Bron: De Volkskrant
Automaterialenbedrijf Excluparts werd gehackt maar het bedrijf peinsde er niet over losgeld te betalen. Ze waren alle data kwijt. “We moesten de hele voorraad opnieuw tellen. We hebben een kleine miljoen producten op voorraad, dat was een hele klus”, vertelt financieel directeur Peter de Haas. Schade: ruim een ton.
Bron: Automotive Online
Een hack bij Bakker Logistiek leidde tot lege kaasschappen bij Albert Heijn. Het transportbedrijf kon geen orders meer ontvangen, geen orders picken en geen transporten meer plannen. Uit het jaarverslag van Bakker’s Houdstermaatschappij blijkt dat de ‘kaashack’ een financiële strop van 3,5 miljoen euro heeft opgeleverd.
Bron: Nieuwsblad Transport
Bovenstaand is een greep uit de vele cyberaanvallen die afgelopen jaren zijn uitgevoerd op Nederlandse MKB-bedrijven. Dit wordt alleen maar erger, blijkt uit de MKB Cybersecurity Monitor, uitgevoerd door Motivaction in opdracht van KPN. Vooral de logistieke sector moet het ontgelden. "Criminelen weten dat als bij dit soort bedrijven de IT platligt er heel veel druk is om er snel iets aan te doen. Dan is de kans groot dat een bedrijf betaalt", vertelde cybercrime-expert Dave Maasland van Eset Netherlands tijdens een cybersecurity webinar georganiseerd door Evofenedex, TLN, Samen Digitaal Veilig en Logistiek Digitaal.
Logistiek wordt gezien als de bloedsomloop van de economie en is daarmee een kwetsbare prooi. Een kenmerk van logistiek is ook dat er meerdere organisaties bij zijn betrokken die op digitale wijze veel data met elkaar uitwisselen. Dit geeft kwaadwillenden extra mogelijkheden om ergens ‘in te in te breken’ en maakt het extra complex om te beveiligen.
Cybersecurity staat voor het beschermen van computers, servers, mobiele apparaten, elektronische systemen, netwerken en gegevens tegen schadelijke aanvallen. Dit is iets dat je als logistiek bedrijf sowieso goed voor elkaar wilt hebben. Je ziet niet te wachten op criminelen die je gegevens komen stelen, systemen plat leggen of jouw medewerkers onder valse voorwendselen tot betalingen aanzetten.
Je wilt ook niet in het nieuws komen met je bedrijf als zijnde slachtoffer van bijvoorbeeld phishing of een Ddos-aanval. Ook al valt je misschien niks te verwijten, je imago als ketenpartner krijgt er toch mee te lijden.
En dan is er natuurlijk nog gewoon de wet waar je aan moet voldoen. Als door jouw nalatigheid privacygevoelige informatie op straat komt te liggen, krijg je met de Autoriteit Persoonsgegevens te maken. Dan kun je naast alle ellende die zo’n datalek toch al veroorzaakt, ook nog eens een pittige boete tegemoet zien.
Genoeg reden dus om ervoor te zorgen dat jouw IT-systemen veilig zijn en bestand tegen onbedoelde overtredingen en cyberdreigingen. Dit kan al met eenvoudige maatregelen zoals 2-factor-authenticatie, het up-to-date houden van antivirusprogramma’s en het maken van backups, maar dit gebeurt nog heel weinig. Uit de genoemde MKB Cybersecurity Monitor blijkt dat 62% van de MKB-bedrijven gelooft ‘niet interessant genoeg’ te zijn voor cybercriminelen en het daarom maar op z’n beloop laat.
Cybercriminaliteit bestaat al even maar door ontwikkelingen is de dreiging recent flink opgelopen. Eén trend is dat de georganiseerde misdaad over steeds geavanceerdere technologie beschikt. Er is ook meer cyberdreiging tussen landen vanwege bijvoorbeeld de oorlog in Oekraïne en de spanningen in Israël. Daarnaast zijn er ‘hacktivisten’ actief die als daad van protest de zwakheden van organisaties proberen bloot te leggen.
Wat het dreigingslandschap het meest heeft veranderd, is de opkomst van Artificial Intelligence (AI), vertelde Maasland in het webinar. “Criminelen hebben een superwapen in handen waarmee ze niet alleen veel makkelijker data kunnen verzamelen, virusaanvallen kunnen plegen of phisingemails kunnen versturen maar waarmee ze ook razendsnel complete websites kunnen kopiëren of deepfake-video’s kunnen maken”, aldus de cybersecurity-expert.
Identiteitsfraude is met AI kinderspel geworden. Personen en bedrijven die hier op zijn voorbereid kunnen enorme schade oplopen. Tegelijkertijd biedt AI ze ook de mogelijkheid om zich juist tegen dit soort dreigingen te beschermen. AI kan helpen afwijkingen te detecteren en realtime activiteiten blokkeren. Het AI-mes snijdt aan twee kanten, maar dan moet je het wel gebruiken.
Om de maatschappij te beschermen tegen de ontwrichting als gevolg van falende IT-systemen, wil de overheid bij belangrijke bedrijven cybersecurity afdwingen. In Nederland is daarvoor sinds 2018 de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni) waaraan bijvoorbeeld havens, drinkwaterbedrijven en zorginstellingen moeten voldoen. In de wet is een lijst van technische en organisatorische voorzorgsmaatregelen opgesteld die deze organisaties moeten treffen. Ook staat erin dat ze incidenten moeten melden bij het Nationaal Cyber Security Centrum (NCSC) of de Autoriteit Persoonsgegevens.
De Wbni-wet uit 2018 is een uitwerking van de Europese Network and Information Security Directive (NIS) die vanuit de EU is opgesteld.
Binnen de Europese en de Nederlandse overheid is het duidelijk dat de ‘oude’ NIS-richtlijn niet meer afdoende is. Het dreigingslandschap is zodanig veranderd dat meer organisaties in actie moeten komen om de economie over de volle breedte meer weerbaar te maken. Daarom is er vanuit de EU een nieuwe richtlijn ontwikkeld die bekend staat als NIS2 en die door ieder EU-land wordt uitgewerkt tot een nieuwe, lokale cybersecuritywet.
De Nederlandse uitwerking van NIS2 heet de Cyberbeveilingswet en zal naar verwachting medio 2025 van kracht worden. Sommige landen zijn hier sneller mee en bijvoorbeeld in België is de NIS2-wetgeving nu al ingevoerd. Duitsland is van plan dit in maart 2025 te gaan doen.
Een belangrijke verandering is dat de nieuwe wet een grotere groep bedrijven gaat raken dan de huidige Wbni-wet. De Cyberbeveiligingswet gaat gelden voor pakweg 10.000 organisaties die door de overheid als ‘belangrijk’ of ‘essentieel’ worden beschouwd. Of een bedrijf hier onder valt hangt af van de bedrijfsgrootte in combinatie met de sector.
De NIS2 is in de meeste gevallen van toepassing op bedrijven met meer dan 50 medewerkers en een jaaromzet (of balanstotaal) hoger dan 10 miljoen euro. Kleine MKB-bedrijven vallen hier dus buiten, mits ze niet actief zijn in cybergevoelige diensten als het registeren van domeinnamen of het faciliteren van communicatienetwerken.
De overheid heeft een uitgebreide lijst met sectoren gedefinieerd die kritiek zijn voor het functioneren van de maatschappij. Denk aan drinkwatervoorzieningen en energiebedrijven maar ook aan transportbedrijven, pakketservice providers, de foodindustrie (productie én distributie) en bijvoorbeeld de chemiesector.
Of je onder de NIS2-richtlijn valt, hangt af van de combinatie bedrijfsgrootte en sector. Op de website van de Rijksoverheid staat een checklist waarmee je kunt bepalen of jouw bedrijf hier wel of niet onder valt.
Ook op MKB-bedrijven die niet onder bovengenoemde criteria vallen, kan NIS2 wel degelijk impact hebben. Bedrijven die NIS2-plichtig zijn moeten namelijk ook zorgen dat hun supply chains aan bepaalde eisen voldoen. Ze zijn ketenverantwoordelijk zoals dat heet. Dat betekent dat ze ook hun toeleveranciers en transporteurs moeten vragen om bepaalde maatregelen te treffen. De verwachting is dat door deze clausule indirect ruim 50.000 MKB-bedrijven met NIS2 te maken gaan krijgen!
Organisaties die onder NIS2 vallen moeten grofweg aan vier verplichtingen voldoen: registratieplicht, zorgplicht, meldplicht en audits en toezicht.
Een belangrijk onderdeel van de Cyberbeveiligingswet- dat zoals gezegd de Nederlandse invulling is van NIS2 – is bedrijven zich moeten laten registreren in het nieuw op te richten entiteitenregister. Dit bedrijvenbestand wordt beheerd door het Nationaal Cyber Security Centrum (NCSC) dat onderdeel uitmaakt van het Ministerie van Justitie en Veiligheid.
Dit is de verplichting om een set maatregelen te nemen. Je wordt geacht een risico-beoordeling en -profiel van je eigen organisatie op te stellen, je IT-beveiliging op orde te hebben, je mensen op te leiden en bijvoorbeeld een incident-respons-plan op de plank te hebben liggen. Onder deze zorgplicht valt ook de toeleveranciersketen. NIS2-bedrijven moeten risico-inventarisaties maken van hun leveranciers en passende maatregelen opleggen.
Val je onder NIS2 dan ben je altijd verplicht om bepaalde incidenten te melden bij de in jouw sector aangewezen toezichthouder. Dit gaat om incidenten met hackers maar bijvoorbeeld ook dataleks moeten worden gemeld, niet alleen bij NIS2-toezichthouder maar ook bij de Autoriteit Persoonsgegevens.
Voor het toezicht op bovenstaande verplichtingen worden verschillende instanties ingezet. Hoofdtoezichthouder is het genoemde NCSC maar er zullen ook sectorspecifieke toezichthouders worden aangesteld. In de transportsector is dat de Rijksinspectie Digitale Infrastructuur (RDI). Deze instanties zullen ook de verplichte audits gaan beoordelen.
Bedrijven die NIS2-plichtig zijn maar zich niet aan de daarbij geldende eisen houden, brengen allereerst zichzelf en hun ketenpartners in gevaar. Daarnaast kunnen ze ook een boete krijgen, oplopend tot maximaal 2% van de jaaromzet. Alle reden dus om te zorgen dat jij hier tijdig en volledig aan voldoet.
Samen Digitaal Veilig is een platform speciaal voor MKB-bedrijven met informatie en tools op het gebied van cybersecurity. Het platform is opgericht door MKB Nederland, VNO-NCW en IVBB en inmiddels hebben zich al meer dan tachtig branche-organisaties erbij aangesloten. Op de website van Samen Digitaal Veilig vindt je het laatste nieuws over NIS2 en zie je welke maatregelen je moet nemen. Er staan ook checklists, uitlegdocumenten en trainingsvideo’s op. Daarnaast is er een helpdesk en biedt het 1-op-1 ondersteuning voor bedrijven.
Bij bedrijven voor wie de NIS2-Cyberbeveiligingswet geldt, mag je er vanuit gaan dat ze hier aan voldoen. Voor sommige bedrijven is dat echter niet genoeg. Die willen laten zien dat ze behalve NIS – dat pas sinds 2018 is ingevoerd - al meer doen aan cybersecurity en dus extra veilig zijn om mee samen te werken. Iets soortgelijks geldt voor kleinere MBK-bedrijven die straks niet zélf aan de Cybersecuritywet hoeven te voldoen, maar wel zaken doen met NIS2-plichtige bedrijven. Die willen zich laten certificeren om te laten zien dat ze ‘compliant’ zijn.
Een bekende manier om aan te tonen dat je als bedrijf aan bepaalde normen voldoet is de internationale ISO-certificering. Deze bevat richtlijnen voor bijvoorbeeld kwaliteitsmanagement, milieumanagement maar ook voor informatiebeveiliging. Dit laatste is de ISO 27001-norm. Naast deze ISO-certificering zijn er binnen branches nog specifiekere normen voor cybersecurity ontwikkeld, zoals de NEN 7510 voor de gezondheidszorg en de IEC 62443 voor de industrie.
Organisaties die ISO27001-gecertificeerd zijn, hebben al een hoop geregeld voor de NIS2, maar zullen nog wel een aantal aanvullende maatregelen moeten nemen. Er is ook een groep bedrijven die niet zelf aan de NIS2-eisen hoeft te voldoen, maar die wel onder de ketenverantwoordelijkheid van NIS2-plichtige bedrijven valt. Voor hen is het certificeringsmodel NIS2 Quality Mark ontwikkeld. Hiermee kunnen ze aantonen dat ze aan alle cybersecurity-eisen voldoen die een NIS2-bedrijf van toeleverancier en transporteurs mag verwachten.
Ben je een MKB-bedrijf? Dan is de kans groot dat je in de toekomst om een NIS2 Quality Mark of iets vergelijkbaars wordt gevraagd. Grote bedrijven zullen het in hun inkoopvoorwaarden zetten om er zeker van te zijn dat er in hun toevoerketen geen zwakke plekken ontstaan. De NIS2 Quality Mark is een Nederlandse initiatief, ontwikkeld door de Stichting voor Kwaliteitsinnovatie, maar inmiddels hebben zich Europa-breed vele brancheorganisaties aangesloten.
De NIS2 Quality Mark bestaat uit drie risico levels:
Elk risico level heeft een eigen maatregelenlijst, verdeeld in organisatorische, mensgerichte, fysieke en technologische maatregelen. Het niveau Basic betreft maatregelen die eigenlijk ieder bedrijf moeten treffen, zoals 2 factor authenticatie en backups maken. Substantial gaat verder en is echt bedoeld voor directe toeleveranciers aan NIS2-bedrijven. Als je op High-level zit, sluit je aan op de eisen waar ook de NIS2-plichtige bedrijven zelf aan moeten voldoen.
Op de website van NIS2 Quality Mark kun je zien welke stappen je moet doorlopen om gecertificeerd te worden. Dit laatste gebeurt door auditorganisaties die door de Stichting Kwaliteitsinnovatie worden aangewezen.
Aan het behalen en behouden van een ISO27001-certificaat zijn diverse kosten verbonden. Allereerst hangt er een prijskaartje aan het implementeren van de maatregelen, maar ook het certificeren kost geld, tussen de 10.000 en 20.000 euro. Ook de NIS2 Quality Mark vergt een investering, in zowel de implementatie als certificering, al zal die een stuk lager zijn. Het budget hangt af van wat je al hebt qua infrastructuur en de grootte van je bedrijf.
Op het genoemde Samen Digitaal Veilig-platform staan de stappen die je moet zetten om het NIS2 Quality Mark te behalen. Je kunt hier ook ondersteuning bij krijgen door een pakket af te nemen. Leden van een branchevereniging krijgen korting. Het NIS2 Quality Mark pakket voor toeleveranciers bijvoorbeeld is beschikbaar vanaf 1200 euro per jaar, inclusief partnerkorting.
Vanuit de overheid worden er op gezette tijdens subsidies voor cybersecurity gesteld. Deze hebben een beperkte looptijd dus het is raadzaam te checken of die toevallig ook voor jou gelden, in de periode dat jij ermee aan de slag wilt. Kijk hiervoor op het Digital Trust Center van het Ministerie van Economische Zaken.
Of je nu een multinational bent of een klein MKB-bedrijf, het beveiligen van ICT-systemen moet een vast onderdeel zijn van je bedrijfsvoering. De risico’s en gevolgen van een cyberaanval zijn domweg te groot om het op z’n beloop te laten. Waarschijnlijk wordt in het derde kwartaal van 2025 de NIS2-wet van kracht, maar het is raadzaam hier al ruim van tevoren mee te beginnen. Het implementeren van maatregelen kost tijd en de IT-dienstverleners die je nodig gaat hebben, heeft het druk. Zorg ook dat je alvast budget reserveert en je intern mensen mobiliseert.
De belangrijkste vraag die ieder MKB-bedrijf zichzelf moet stellen: is mijn bedrijf wel of niet NIS2-plichtig? Op de website Samen Digitaal Veilig staat wat je te doen staat. Ben je niet NIS2-plichtig maar ben je bijvoorbeeld toeleverancier? Bedenk dan op welke niveau van NIS2 Quality Mark jezelf wilt laten certificeren. Ook hierover vind je informatie op de website van Samen Digitaal Veilig.
Cybersecurity begint met bewustwording. De beste manier om dit aan te wakkeren is bedenken wat er allemaal mis kan gaan. Probeer je in de schoenen van een hacker te verplaatsen. Wat zou jij doen om jouw eigen bedrijf zoveel mogelijk schade te berokkenen? Vraag ook collega’s waar op hun afdeling de zwakke plekken zitten, en welke scenario’s er denkbaar zijn om die te treffen. Cybersecurity begint met verbeeldingskracht over wat er allemaal zou kúnnen gebeuren.
Een belangrijk onderdeel van cybersecurity is het opleiden van mensen. Medewerkers moeten dreigingen en potentiële gevaren leren herkennen en weten wat ze moeten doen als deze zich aandienen. Hiervoor zijn diverse programma’s beschikbaar waarbij het raadzaam is om één of enkele personen hier extra in te trainen. Dit worden de ‘digitale hulpverleners’ die weten wat ze moeten doen als de nood aan de man is. Ook kunnen zij als interne ambassadeurs voor cybersecurity fungeren.
Cybersecurity is een zaak die op directieniveau moet worden opgepakt. Het management van een bedrijf moet het beleid uitstippelen, budgetten vrijmaken en toezien dat alles op de juiste manier verloopt. Het is belangrijk dat cybersecurity onderdeel wordt van hun reguliere managementproces.
Een checklist voor directeur-eigenaren van MKB-bedrijven is bijvoorbeeld:
Dat MKB-bedrijven niet staan te trappelen om met cybersecurity aan de slag te gaan, is begrijpelijk. Het kost geld, tijd en energie, die je liever in je kernprocessen zou steken. Toch zitten er ook businessvoordelen aan het op orde hebben van jouw informatieveiligheid. MKB-bedrijven die hun cybersecurity voor elkaar hebben, kunnen sneller en met vertrouwen digitaliseren. Ze kunnen vrijuit innoveren, bijvoorbeeld met AI, en zorgeloos de nieuwste software- en cloudoplossingen implementeren.
Zie cybersecurity niet alleen als bedreiging of iets dat moet van de overheid. Het is een kans die je als MKB-bedrijf móet pakken en een must om je klantenportefeuille in de toekomst te beschermen.