In december publiceerden we al een blog over de bescherming tegen cyberbedreigingen. Toen was de situatie nog zo, dat de Wet beveiliging netwerk- en informatiesystemen (Wbni) bepaalde dat het Nationaal Cyber Security Centrum (NCSC) en het Digital Trust Center (DTC) dreigingsinformatie alleen mochten doorgeven aan ondernemingen die onderdeel uitmaken van de vitale infrastructuur. Onder 'vitaal' werden dan bijvoorbeeld internetproviders, nutsbedrijven en financiële instellingen gerekend. Andere bedrijven en organisaties die niet als vitaal werden aangemerkt, kregen deze informatie dus niet. Ook zorginstellingen kwamen daardoor in de problemen. De barricaden werden spreekwoordelijk beklommen en Inge Bryan van Fox-IT in Delft vertelde in september 2021 in het Financieele Dagblad dat “we hebben besloten niet meer op de overheid te wachten en zo’n systeem zelf maar op te zetten.”
Nieuwe wet
Toch bleek de overheid niet helemaal doof en blind voor de argumenten van de niet-vitale bedrijven en organisaties. Meer concreet: er is een wet in ontwikkeling waardoor ook niet-vitale bedrijven deze zeer belangrijke informatie in het geval van acute nood krijgen toegestuurd. De Tweede Kamer wil er zelfs wat vaart achter zetten. Essentie van de wet is dat het NCSC het DTC informeert als er sprake is van een grootschalige en gevaarlijke cyberaanval, die ook voor de niet-vitale sector bedreigend is. De nieuwe wet is ook bedoeld om samenwerkingsverbanden te stimuleren, tussen diverse bedrijven uit de branche. Het is nog niet helemaal duidelijk hoe dat georganiseerd gaat worden.
Dus ook voor de zorg!
Het is begrijpelijk dat niet-vitale bedrijven tegen de Wbni in het geweer kwamen, het gaat immers om zo’n 2 miljoen bedrijven en organisaties die nu worden meegenomen in de nieuwe wet. Als die door een cyberaanval in de problemen komen, heeft feitelijk heel het land een probleem. Inmiddels is een pilot gestart met 57 bedrijven, waarin onder meer wordt bekeken wat zij op dit moment doen op het gebied van cybersecurity en hoe ze goed kunnen samenwerken in het geval van een dreiging. De afgelopen paar jaar zijn veel bedrijven en organisaties platgelegd door ransomware. Ook grote organisaties, zoals de Universiteit van Maastricht. Geen vitale organisaties, maar wel één met een grote regionale en maatschappelijke betekenis.
Veel onwetendheid
Als het gaat om cybersecurity is er bij een flink aantal bedrijven en organisaties veel onwetendheid. Zeker, je kunt diensten uitbesteden en dat geldt ook voor cybersecurity. Als je dit doet, is het belangrijk om dit goed en schriftelijk vast te leggen. Dit wordt vaak vergeten. Door middel van een Service Level Agreement worden elkaars taken, bevoegdheden en verplichtingen vastgelegd. Dit voorkomt problemen mocht er zich een incident voltrekken, maar ook wordt hiermee voorkomen dat er een discussie met de verzekeraar moet worden gevoerd in het kader van dekking van evt. geleden schade.
Meer weten?
Informeer eens naar wat Sovib kan betekenen op het gebied van cybersecurity!