Cyberbeveiligingswet raakt meer bedrijven dan gedacht: velen nog niet klaar
Cyberbeveiligingswet raakt meer bedrijven dan gedacht: velen nog niet klaar
Na twee jaar uitstel, drie gemiste deadlines en groeiende druk vanuit Brussel geeft de Eerste Kamer naar verwachting nog voor het zomerreces groen licht voor de Cyberbeveiligingswet (Cbw). De wet raakt zo'n tienduizend organisaties, en indirect minimaal honderdduizend van hun toeleveranciers. Er is geen overgangsperiode. Toch staat een groot deel van het bedrijfsleven nog stil.
Veel ondernemers weten simpelweg niet waar ze moeten beginnen. Dat constateert Robert van Vianen van accountants- en advieskantoor BDO. Toch hoeft dat niet ingewikkeld te zijn, meent hij. Een cyberrisicoanalyse begint met een paar simpele vragen. “Wat is voor jou echt een risico? En welke beheersmaatregelen heb je al?” Henk Bijsterbosch van Samen Digitaal Veilig, een initiatief van MKB Nederland en VNO-NCW, sluit zich daarbij aan. “Wat bescherm je nou eigenlijk? Welke data wil je beveiligen en waarom? Een ondernemer moet tenslotte wel zelf bepalen wat de digitale kroonjuwelen zijn.”
De Cyberbeveiligingswet is de Nederlandse vertaling van de Europese NIS2-richtlijn en geldt direct voor organisaties in negentien aangewezen sectoren, zoals energie, transport, waterbeheer en gezondheidszorg. Maar indirect worden veel meer bedrijven geraakt: elke toeleverancier die aan een NIS2-plichtige organisatie levert, kan te maken krijgen met nieuwe eisen.
De wet schrijft onder meer voor dat een NIS2-plichtige organisatie haar leveranciers op risico moet beoordelen. Niet elke leverancier weegt even zwaar. “Stel, je hebt je totale werkplek uitbesteed aan een IT-leverancier die uitvalt. Dan kun jij niet meer werken. Dat is een hoog-risicoleverancier”, zegt Bijsterbosch. “Maar een transporteur waarvan je er nog drie op je lijstje hebt staan, dat is een ander verhaal.”
“Dit wordt een license to operate”, zegt Bijsterbosch. “Als jij straks niet aantoonbaar kunt maken dat je een bepaalde basisveiligheid hebt, loop je kans dat je geen onderdeel meer bent van de toeleveringsketen.” Dat is geen verre toekomst. Uit aanbestedingen en tenders komt het nu al naar voren dat opdrachtgevers steeds vaker certificering eisen.
Een NIS2-plichtige organisatie met honderden leveranciers kan niet van elk bedrijf afzonderlijk documentatie opvragen. Bijsterbosch: “Als jij duizend leveranciers hebt, zit je niet te wachten op bijvoorbeeld driehonderd losse Word-documenten.” Samen Digitaal Veilig ontwikkelde daarom een digitaal certificeringsplatform met drie niveaus: basis, substantieel en hoog, waarop toeleveranciers stapsgewijs kunnen aantonen dat ze aan de eisen voldoen. BDO verzorgt de audits.
Verder voelen veel ondernemers zich geen gelijkwaardige gesprekspartner tegenover een beveiligingsexpert. “Ze mijden het gesprek, omdat ze niet weten wat er van hen wordt verwacht en bang zijn dat ze iets moeten aanschaffen waarvan ze het nut niet inzien”, meent Bijsterbosch. “Daarnaast is de Cyberbeveiligingswet inmiddels meermaals uitgesteld, waardoor het gevoel van urgentie bij ondernemers ook niet toeneemt.”
Begin gewoon en begin klein, adviseert Bijsterbosch. “Breng de basis op orde. Dan ben je in ieder geval van start.” Wie wacht tot de wet is ingevoerd, begint te laat en kan voor onnodige verrassingen komen te staan.
Veel ondernemers weten simpelweg niet waar ze moeten beginnen. Dat constateert Robert van Vianen van accountants- en advieskantoor BDO. Toch hoeft dat niet ingewikkeld te zijn, meent hij. Een cyberrisicoanalyse begint met een paar simpele vragen. “Wat is voor jou echt een risico? En welke beheersmaatregelen heb je al?” Henk Bijsterbosch van Samen Digitaal Veilig, een initiatief van MKB Nederland en VNO-NCW, sluit zich daarbij aan. “Wat bescherm je nou eigenlijk? Welke data wil je beveiligen en waarom? Een ondernemer moet tenslotte wel zelf bepalen wat de digitale kroonjuwelen zijn.”
De Cyberbeveiligingswet is de Nederlandse vertaling van de Europese NIS2-richtlijn en geldt direct voor organisaties in negentien aangewezen sectoren, zoals energie, transport, waterbeheer en gezondheidszorg. Maar indirect worden veel meer bedrijven geraakt: elke toeleverancier die aan een NIS2-plichtige organisatie levert, kan te maken krijgen met nieuwe eisen.
Cyberbeveiliging begint met inzicht in risico’s
De Cyberbeveiligingswet is in de kern een risicogebaseerde wet. Organisaties brengen hun kwetsbaarheden in kaart en nemen daar vervolgens maatregelen op. Wie die analyse grondig doet, ontdekt vanzelf wat nodig is en zal zien dat het grotendeels overeenkomt met wat de wet vereist, legt Van Vianen uit. “Het is geen rocket science.”De wet schrijft onder meer voor dat een NIS2-plichtige organisatie haar leveranciers op risico moet beoordelen. Niet elke leverancier weegt even zwaar. “Stel, je hebt je totale werkplek uitbesteed aan een IT-leverancier die uitvalt. Dan kun jij niet meer werken. Dat is een hoog-risicoleverancier”, zegt Bijsterbosch. “Maar een transporteur waarvan je er nog drie op je lijstje hebt staan, dat is een ander verhaal.”
Cybersecurity wordt randvoorwaarde om zaken te doen
Wie levert aan een NIS2-plichtige organisatie, kan eisen opgelegd krijgen die passen bij het risico dat hij vertegenwoordigt. Hoe groter de afhankelijkheid, hoe zwaarder de eisen.“Dit wordt een license to operate”, zegt Bijsterbosch. “Als jij straks niet aantoonbaar kunt maken dat je een bepaalde basisveiligheid hebt, loop je kans dat je geen onderdeel meer bent van de toeleveringsketen.” Dat is geen verre toekomst. Uit aanbestedingen en tenders komt het nu al naar voren dat opdrachtgevers steeds vaker certificering eisen.
Een NIS2-plichtige organisatie met honderden leveranciers kan niet van elk bedrijf afzonderlijk documentatie opvragen. Bijsterbosch: “Als jij duizend leveranciers hebt, zit je niet te wachten op bijvoorbeeld driehonderd losse Word-documenten.” Samen Digitaal Veilig ontwikkelde daarom een digitaal certificeringsplatform met drie niveaus: basis, substantieel en hoog, waarop toeleveranciers stapsgewijs kunnen aantonen dat ze aan de eisen voldoen. BDO verzorgt de audits.
Waarom organisaties niet in beweging komen
Van de tienduizend NIS2-plichtige organisaties hebben zich tot nu toe een kleine duizend bedrijven aangemeld bij de toezichthouder. Dat is minder dan een op de tien bedrijven. Volgens Bijsterbosch heeft dat verschillende redenen. Ondernemers zijn regeltjesmoe. De hoeveelheid wet- en regelgeving in Nederland roept automatisch weerstand op.Verder voelen veel ondernemers zich geen gelijkwaardige gesprekspartner tegenover een beveiligingsexpert. “Ze mijden het gesprek, omdat ze niet weten wat er van hen wordt verwacht en bang zijn dat ze iets moeten aanschaffen waarvan ze het nut niet inzien”, meent Bijsterbosch. “Daarnaast is de Cyberbeveiligingswet inmiddels meermaals uitgesteld, waardoor het gevoel van urgentie bij ondernemers ook niet toeneemt.”
Wacht niet: nu starten voorkomt problemen straks
De wet introduceert ook persoonlijke aansprakelijkheid voor directie en bestuur. Daarmee verschuift cybersecurity van een IT-onderwerp naar een strategisch boardroom-thema. Bijsterbosch: “Stop met cyberbeveiliging als een IT-feestje te zien. Het is een strategisch onderwerp dat onderdeel van je bedrijfsvoering moet worden.”Begin gewoon en begin klein, adviseert Bijsterbosch. “Breng de basis op orde. Dan ben je in ieder geval van start.” Wie wacht tot de wet is ingevoerd, begint te laat en kan voor onnodige verrassingen komen te staan.
