Cybersecurity: Grote spelers regelen het in voor kleine ketenpartners

Grote bedrijven maken zich over het algemeen meer zorgen om cyberrisico's dan middelgrote en kleine bedrijven. Om zich tegen een aanval te beschermen, kiezen ze er nu voor om hun kleinere ketenpartners te helpen de digitale deur op slot te doen. Want bij hen is het nog lang niet allemaal op orde.

Een derde van de bedrijven met maximaal vijftig medewerkers heeft volgens het Digital Trust Center (DTC), onderdeel van het ministerie van Economische Zaken, geen enkele maatregel getroffen ten behoeve van digitaal veilig gedrag. De sector vervoer is een gemiddeld gedigitaliseerde sector waar ondernemers meestal niet de beschikking hebben over een team van professionals dat helpt met de digitale weerbaarheid. Op cyberweerbaarheidsmaatregelen scoort de sector benedengemiddeld, aldus het DTC.

Grote en middelgrote partijen in de sector doen het beter, blijkt uit onderzoek in opdracht van KPN onder ruim 450 IT-verantwoordelijken. Vergeleken met de andere branches denkt men relatief vaak goed of zelfs volledig voorbereid te zijn op cyberdreigingen, melden de onderzoekers.

Kleine ketenpartners helpen met cybersecurity

Opmerkelijk is dat grote bedrijven de laatste tijd vaker ervoor kiezen om hun kleinere ketenpartners te helpen de digitale deur op slot te doen. Dat ziet Ad Buckens, cybersecurity-expert van CGI Nederland. En omdat zeker in een logistieke keten veel wordt samengewerkt tussen grote en kleine bedrijven, speelt dit relatief veel in de sector transport en logistiek.

Het goed beschermen tegen cyberrisico’s wint aan belang, ziet Buckens, die zelf al ruim twintig jaar in dit vakgebied actief is. Dat komt onder andere door de NIS2-regelgeving die in enkele Europese landen al bekrachtigd is. Bedrijven vanaf een bepaald formaat of die opereren in een kritieke sector, moeten aan de cyberveiligheidsregels voldoen. In Nederland is de precieze invulling van de directive nog niet helemaal uitgetekend. “Het lastige aan een directive is dat ieder land zelf kiest hoe gedetailleerd de regels gevolgd moeten worden. België is een koploper op het gebied van NIS2. Het CyberFundamentals Framework dat is opgesteld, bestaat uit een reeks concrete maatregelen om gegevens te beschermen en kent vier niveaus: small, basic, important en essential. Hoe strikt Nederland gaat zijn, is nog niet bekend. Wat wel duidelijk is, is dat de mate van toezicht hier verandert de laatste tijd. Toezichthouders als Autoriteit Persoonsgegevens laten meer hun tanden zien en delen zichtbaarder boetes uit.”

Gezamenlijk kennis inwinnen over cybersecurity

Buckens tipt kleinere bedrijven die nu hun cybersecurity op orde willen krijgen om gezamenlijk kennis van buitenaf in te winnen. “Zoek elkaar op en treedt op als een consortium. Daarnaast is het slim om voor jezelf na te denken hoe groot je je dreigingsniveau inschat. Van welke systemen en partners ben je afhankelijk? Welke impact heeft een verstoring?” De grootste uitdaging is om je voor te bereiden op de meldplicht, zegt de cybersecurity-expert. “In de NIS2-regelgeving is opgenomen dat je een meldplicht hebt binnen 24 uur na een incident. Een hack en de grootte ervan is echter niet zo opvallend als bijvoorbeeld een brand op je terrein. In het digitale landschap duurt het langer om een incident te vinden en is het lastiger in te schatten wanneer je het moet melden.” Buckens adviseert om scenario’s op te stellen van wat er kan gebeuren en daar een actieplan voor op te stellen.

Lees het gehele artikel op www.logistiek.nl