Medio komend jaar zal de nieuwe Europese wetgeving rondom cyberbeveiliging in Nederland van kracht worden. Deze wetgeving, bekend als de NIS2-richtlijn, heeft tot doel de algemene cyberbeveiliging binnen de EU te versterken. Als mkb-ondernemer krijg je hier onherroepelijk mee te maken, vooral als je essentiële activiteiten uitvoert of zaken doet met essentiële bedrijven.

NIS2: De nieuwe Europese Cyber Security-richtlijn

Door de snelle digitale veranderingen zien we een sterke toename van cyberaanvallen. Uit recent onderzoek blijkt dat het gemiddeld 212 dagen duurt voordat een datalek wordt ontdekt en gestopt. Opvallend is ook dat in 90% van de gevallen menselijke fouten de oorzaak zijn van inbreuken. Daarom is het extra belangrijk dat we onszelf goed beschermen.

Om het aantal van deze vervelende incidenten te verminderen, wordt de nieuwe Europese Cyber Security-richtlijn ‘NIS2’ ingevoerd. Dit is een serie regels en afspraken om onze online veiligheid te verbeteren. Deze aangescherpte regels zijn ook voor mkb van toepassing en richten zich met name op bedrijven die essentiële activiteiten uitvoeren of zaken doen met essentiële bedrijven zoals: banken- financiële sector, gezondheidszorg, transportsector, energievoorziening en digitale infrastructuur.

Wat betekent dit voor mijn mkb-bedrijf?

Het Nederlandse mkb blijkt onvoldoende weerbaar tegen de toenemende golf van security-aanvallen. Recent onderzoek onthult dat maar liefst 43% van deze aanvallen zich richt op kleine ondernemingen, waarvan slechts 14% daadwerkelijk in staat zijn om zich hiertegen te verdedigen. Dit roept de prangende vraag op: Waarom vormt het mkb steeds vaker het doelwit van cybercrime?

Mkb-bedrijven vormen de ideale balans tussen toegankelijkheid en winstgevendheid. De gegevens die deze bedrijven herbergen, blijken vaak zeer waardevol. Hier ontvouwen zich complete schatkamers van persoonlijke en andere waardevolle data, klaar om uitgebuit te worden. Bovendien beschikken deze bedrijven doorgaans over beperktere middelen om te investeren in cybersecurity en zijn de beveiligingsprotocollen niet altijd even robuust. Hierdoor ligt de kans voor criminelen om toe te slaan aanzienlijk gunstiger.

Het is van cruciaal belang dat cybersecurity volledig geïntegreerd wordt in de bedrijfsvoering. Dit gaat verder dan alleen de interne medewerkers die zich binnen de muren van de organisatie bevinden en voldoen aan de nieuwste wetgeving. Het strekt zich ook uit tot het onder de loep nemen van klanten en leveranciers. Het borgen van veiligheid moet een integraal onderdeel zijn van de gehele bedrijfsketen. Alleen zo kunnen we de digitale integriteit waarborgen en een solide verdediging opbouwen tegen de voortdurende dreiging van cybercriminaliteit. Er volgt een strenge handhaving en er komen forse boetes aan te pas van wel 2% van je jaaromzet. Nog meer reden dus om jouw cyberveiligheid op orde te hebben.

Basismaatregelen cybersecurity

Het Nationaal Cyber Security Centrum (NCSC) heeft een aantal basismaatregelen vastgesteld die elk bedrijf moet treffen om zich te beschermen tegen cyberaanvallen:

  • Richt risicomanagement in

    Voldoende weerbaarheid verzorgen zonder de bedrijfsvoering te belemmeren of onnodige kosten.

  • Pas sterke authenticatie toe

    Authenticatie is de techniek waarmee een systeem kan vaststellen wie een gebruiker is.

  • Bepaal wie toegang heeft

    Geef alleen toegang tot informatie, systemen en locaties die nodig zijn

  • Beperk het aanvalsoppervlak

    Maatregelen om het aanvalsoppervlak te beperken, zoals hardening en segmentering.

  • Gebruik versleuteling

    Het versleutelen van bedrijfsinformatie maakt data onbruikbaar als deze in handen van aanvallers valt.

  • Bescherm tegen verlies van gegevens

    In het back-up beleid worden eisen meegenomen voor het bewaren en beschermen van data.

  • Richt patchmanagement in

    Een proces om updates voor software te identificeren, te testen en te installeren.

  • Centraliseer & analyseer loginformatie

    Logbestanden spelen een sleutelrol in detecteren van aanvallen en afhandelen van incidenten.

Detron als betrokken partner

Beveiliging is een geïntegreerd en fundamenteel onderdeel van de Digital Workspace. Geen vraagstuk, maar een keiharde voorwaarde bij alles wat we doen. Secure by design noemen we dat. Voor het beheersen van de veiligheid van onze klanten werken we nauw samen met o.a. Microsoft. Hierdoor benutten we niet alleen de data uit onze eigen omgevingen, maar ook vanuit de expertise en alle bijbehorende data van Microsoft 365- en Azure-omgevingen. Dit stelt ons in staat om samen met onze partners 24/7 een end-to-end beveiligde omgeving te bieden.

Verder kent Nederland een aantal Information Sharing and Analysis Centres (ISAC’s). In deze overlegvorm over cybersecurity wisselen organisaties uit dezelfde vitale sectoren gevoelige en vertrouwelijke informatie uit over incidenten, dreigingen, kwetsbaarheden en maatregelen. Detron neemt deel aan het MSP-ISAC en heeft als doel om een digitaal veilig internet te creëren. Ook de NIS2 is hier een onderdeel van. Wij dragen hieraan bij door onder andere de verbinding te zijn tussen de MSP’s en de andere samenwerkingspartners en onze kennis te delen.

Verplichtingen voor Detron

Managed Service Providers (MSP's) zullen als kritische dienstverlener aangemerkt worden en voor Detron brengt dit dan een aantal verplichtingen met zich mee. De belangrijkste onderdelen zijn:?

  • De Zorgplicht: de NIS2-richtlijn bevat een zorgplicht die entiteiten verplicht zelf een risicobeoordeling uit te voeren, op basis waarvan zij passende maatregelen nemen om hun diensten zoveel mogelijk te waarborgen en de gebruikte informatie te beschermen.
  • De Meldplicht: de NIS2-richtlijn schrijft voor dat entiteiten incidenten binnen 24 uur moeten melden bij de toezichthouder. Het gaat om incidenten die de verlening van de essentiële dienst aanzienlijk (kunnen) verstoren. In het geval van een cyberincident moet het ook gemeld worden bij het Computer Security Incident Response Team (CSIRT). Dit team kan vervolgens hulp- en bijstand leveren. Factoren die een incident meldingswaardig maken zijn bijvoorbeeld het aantal personen dat door de verstoring is geraakt, de tijdsduur van een verstoring en de mogelijke financiële verliezen.
  • En Toezicht: organisaties die onder de richtlijn vallen komen ook onder toezicht te staan, waarbij wordt gekeken naar de naleving van de verplichtingen uit de richtlijn, zoals de zorg- en meldplicht. Momenteel wordt uitgewerkt welke sectoren onder welke toezichthouder komen te vallen.

Meer weten?

Ben jij nieuwsgierig naar Detron en de diensten die wij je kunnen bieden? Neem dan vandaag nog contact met ons op en wij komen graag bij je langs om je daar meer over te vertellen.