Onze maatschappij en bedrijven acteren in een alsmaar digitaler speelveld. Juist nu, in deze tumultueuze geopolitieke tijden, is het van groot belang dat wij onze cybersecurity op orde hebben. Dit geldt binnen ondernemingen voor hun digitale beveiliging en zeker voor bedrijven die essentiële voorzieningen verzorgen o.g.v. infrastructuur, watervoorziening, verkeerssystemen.

Heeft jouw organisatie de zaakjes op orde? In deze editie van Goedemorgen Legal People namen Sandra Konings, Global Chief Information Security Officer bij Arcadis en docent Digitalisering en Cybersecurity, en Emmeline van Heukelem, bestuurder bij Pels Rijcken en verantwoordelijk voor Risk & Compliance, ons mee in het belang van Cybersecurity.

Hybride dreiging

Meer en meer wordt duidelijk dat internationale dreiging en agressie hybride zijn geworden. Conflicten en spanningen tussen landen spelen niet alleen in de ‘echte wereld’, maar ook in de digitale. Europa, en dus ook Nederland, ligt bijna continu onder virtueel vuur. We worden geconfronteerd met Russische aanvallen en volgens de NCTV (Nationaal Coördinator Terrorismebestrijding en Veiligheid) onderneemt China activiteiten om ongeoorloofd technologische kennis te vergaren.

Een deel van de Russische aanvallen is gericht op verstoring en het veroorzaken van onrust. Denk aan de mogelijke impact op een evenement als de NAVO-top van afgelopen juni. Ook grotere organisaties en bedrijven zijn een interessant doelwit voor groeperingen die zich bezighouden met cyberdreiging. Het is daarom logisch dat het onderwerp van cybersecurity veel aandacht krijgt.

Europese wetgeving

In het grotere plaatje komt het erop neer dat Nederland zich niet alleen fysiek voorbereid op dreiging, maar ook zeker digitaal. Europese samenwerking is daarbij onmisbaar. Er komt steeds meer wet- en regelgeving die ervoor moet zorgen dat kennis en informatie gedeeld wordt. Er is de bekende NIS2, maar bijvoorbeeld ook Digital Operational Resilience Act (DORA) die met name gericht is op de financiële sector en haar toeleveranciers.

Binnen Nederland is er een flink speelveld ontstaan op dit vlak. Hierin opereren meerdere ministeries waaronder Veiligheid en Justitie, Economische Zaken, Binnenlandse Zaken en Defensie. De Cyber Security Raad fungeert al heel wat jaren als onafhankelijk adviesorgaan van het kabinet en ook de politie speelt een rol met specialistische cybercrime teams.

De Cyberbeveiligingswet

De Nederlandse Cyberbeveiligingswet (Cbw) is de nationale implementatie van de Europese NIS2-richtlijn. Het wetsvoorstel dat op 2 juni jl. is ingediend heeft invloed op ongeveer alle sectoren en kent drie verplichtingen: een registratieplicht, een zorgplicht en een meldplicht. Organisaties dienen na te gaan of ze onder de wet vallen en zich op basis daarvan te registreren. Volgens de zorgplicht moeten organisaties een risicoanalyse uitvoeren en passende maatregelen treffen om risico’s te beheersen;  bestuurders zijn hiervoor verantwoordelijk .Volgens de meldplicht dienen significante incidenten binnen 24 uur gemeld te worden bij het Nationaal Cybersecurity Centrum, of andere daarvoor aangewezen instanties. Het belangrijkste doel van de wet is ervoor te zorgen dat organisaties van elkaar leren en op tijd gewaarschuwd worden als er (bij de ander) iets speelt.

Redenen om in actie te komen

Voor een organisatie is een cyberaanval impactvol. Getroffen bedrijven krijgen te maken met financiële schade, problemen met business continuity en mogelijke gevolgen voor de reputatie. Een positief aspect van de Nederlandse wetgeving is dat organisaties gedwongen worden om deze risico’s voor zichzelf in kaart te brengen. Beschikken we over veel vertrouwelijke gegevens? Wat is de impact op de bedrijfsvoering als we offline gaan? Verliezen we geloofwaardigheid en dus klanten door een geslaagde aanval? Voorkomen is hierbij beter dan genezen. Helemaal voorkomen is echter niet altijd mogelijk. Dan is belangrijk om snel te kunnen detecteren en een actieplan klaar te hebben liggen in vorm van  een incident management procedure en regulier crisismanagementoefeningen met relevante afdelingen en bestuurders te organiseren.

Veiligheid in de keten

Veel stakeholders zijn digitaal verbonden aan organisaties. Dat maakt dat de veiligheid van het eigen bedrijf valt of staat met de veiligheid van toeleveranciers. Stel dat een logistieke partner getroffen wordt door een cyberaanval, waardoor de aan- en afvoer van grondstoffen en producten stilvalt. De eigen onderneming is daar net zozeer de dupe van. Een analyse van de keten geeft aan waar de risico’s liggen. Wat zijn key processen? Welke leveranciers zijn er? Zeker bij organisaties die (nog) niet aan wetgeving hoeven te voldoen zijn dit waardevolle vragen.

Cybersecurity: van Werkvloer tot Boardroom

De inrichting van de organisatie rondom cybersecurity verschilt per bedrijf. In sommige gevallen is er een hoofd cybersecurity, in andere gevallen ligt de verantwoordelijkheid bij de afdeling Legal of IT. Ook Risk en Compliance is vaak betrokken. Afhankelijk van welke onderdelen of elementen van de wetgeving van belang zijn, wordt de organisatie opgetuigd en bijbehorende processen ingericht. De opmars van cyberaanvallen en de mogelijke impact ervan laten duidelijk zien dat cybersecurity geen overbodige luxe is, maar een essentieel onderdeel is van de bedrijfsvoering. Van werkvloer tot board.

Benieuwd naar onze volgende GoedeMorgen Legal People? Meld je hier aan voor onze volgende online sessie.