Dat moderne oorlogsvoering niet alleen fysiek maar ook digitaal plaatsvindt, laat de humanitaire ramp in Oekraïne zien. Russische cyberaanvallen hebben plaatsgevonden terwijl anderzijds anonieme hackers zich verenigen. Volgens de NCSC is als gevolg van de oorlog in Oekraïne digitale dreiging aanwezig. DDoS- en phishingaanvallen op en de verspreiding van desinformatie aan Nederlandse bedrijven zijn niet uit te sluiten.
De gevolgen van een digitale aanval kunnen groot zijn. Vitale onderdelen van onze infrastructuur zoals de levering van elektriciteit, gas, voedsel en brandstof, functioneren dankzij IT-systemen en kunnen worden platgelegd. Mede om die reden heeft de EU cybersecurity hoog op haar agenda staan en is Europese wetgeving gecreëerd zodat de EU digitaal weerbaar is.
Een van die Europese initiatieven op het gebied van cybersecurity is de NIS Directive, een richtlijn die onder meer vereist dat passende beveiligingsmaatregelen worden getroffen en ernstige IT-incidenten worden gemeld bij de toezichthouder. Die richtlijn is in Nederland geïmplementeerd via de Wbni, en geldt vooralsnog alleen voor bepaalde door de overheid aangewezen aanbieders van vitale en digitale diensten. De EC is bezig met een opvolger van de NIS, de NIS2, zodat meer bedrijven uit bepaalde sectoren (soms ook het mkb) te maken krijgen met beveiligingseisen en meldplichten.
Nieuw aan de NIS2 is dat de te nemen maatregelen ook moeten toezien op de cyberbeveiliging van de keten van toeleveranciers. Anders gezegd: bedrijven moeten niet alleen hun eigen IT-omgeving passend beveiligen, maar als onderdeel van hun cybersecuritybeleid ook oog hebben voor alle schakels binnen de supply chain. Dit houdt onder meer in dat rekening wordt gehouden met specifieke kwetsbaarheden van elke leverancier en dienstverlener, en meer in het algemeen aandacht wordt geschonken aan de kwaliteit van de producten en (IT-)diensten en of het cybersecuritybeleid van die leveranciers en dienstverleners op orde is. Van belang is verder dit ook toe te passen bij de aanschaf van nieuwe IT-systemen, en dat bij het in kaart brengen van de keten extra aandacht wordt geschonken aan de rol van ‘managed security services providers’ (MSSP’s) en waar en bij wie data allemaal wordt opgeslagen.
De aankomende NIS2 introduceert ook hogere boetes. Mijn advies aan veel bedrijven is dus om ook de supply chain onderdeel te laten uitmaken van hun cybersecuritybeleid!
[Dit artikel is eerder gepubliceerd in ChannelConnect april 2022]