De Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) heeft op 3 juli het Cybersecuritybeeld Nederland (CSBN) 2023 gepubliceerd (kijk hier voor de highlights). Op 4 juli werd in Eindhoven een oplossing gepresenteerd voor de ongestelde vraag uit dat rapport: “Wat is ervoor nodig voor bedrijven om te gaan werken aan voldoende digitale weerbaarheid?”
“Verwacht het onverwachte? Hou het makkelijk”
De Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) trekt de lijn van voorgaande dreigingsbeelden door: er is scheefgroei tussen digitale dreiging en weerbaarheid en stellen als motto voor dit jaar Verwacht het onverwachte.
“Het wordt er niet makkelijker op”, zegt voorzitter van Stichting CYRA en bestuurder van FERM Rotterdam Evelien Bras. “En dat terwijl juist ook de overheid de regeldruk voor bedrijven wil verlagen. Hoe kan dat samengaan met verplichtingen in onze complex samenhangende digitale systemen?”
CYRA: Cyber Rating
Op 4 juli, bij het Cyber Weerbaarheidscentrum Brainport, kwamen zo’n 60 vertegenwoordigers uit de industrie bij elkaar, allen geïnteresseerd in het Cyber hulpmiddel met mogelijkheid tot certificering “CYRA – Cyber Rating”. Paul van Nunen, directeur Cyber Weerbaarheidscentrum Brainport zegt mede naar aanleiding van het CSBN-rapport: “We zijn al jaren geleden begonnen, samen met onze partner TÜV NORD, om te werken aan een basis voor MKB-bedrijven die in veiligheid willen groeien.”
“Het mooie van de samenwerking is dat deze nu zo breed gedragen wordt, dat we op het kantelpunt staan om heel Nederland te kunnen gaan bedienen. En het daarmee makkelijk te maken voor bedrijven, de overheid en voor alle organisaties die zich voor dit doel inzetten. Erg belangrijk richting NIS2 is dat we het makkelijk houden voor de bedrijven die het nu al nauwelijks bolwerken.”
Dat wordt beaamd door ondernemersorganisatie FME, Metaalunie en onderstreept door het Digital Trust Center (onderdeel van het Ministerie van Economische Zaken en Klimaat): bedrijven hebben als prioriteit om datgene te doen waarvoor ze zijn opgericht. Cyberweerbaarheid ‘moet erbij’ en is vaak geen onderwerp waar ondernemers in thuis zijn. Bewustzijn over het belang van cyberweerbaarheid is er, maar gezien de complexiteit van het onderwerp en de enorme snelheid waarop het zich ontwikkeld is het voor ondernemers heel moeilijk om te weten op welke maatregelen ze moeten inzetten en hoe ze dit moeten realiseren.
Gevolg hiervan is dat het onderwerp soms terzijde wordt gelegd, of dat bedrijven er onterecht op vertrouwen dat het bij hen goed geregeld is. Dat zorgt voor een kwetsbare sector en dat moet veranderen.
Puzzelstukjes
Wanneer CYRA tijdens de bijeenkomst inhoudelijk wordt belicht door Nico Nijenhuis (TÜV NORD) en Robbert Kramer (ASML) vervolgens vertelt hoe ze dit framework inzetten voor veiligheid in de keten, lijkt het antwoord te zijn gevormd: de puzzelstukjes vallen in elkaar.
- Grote bedrijven – afnemers – bevragen toeleverende organisaties op een bepaald wensniveau
- Toeleverende organisaties kunnen in deelstappen naar het wensniveau werken. Als het niveau aantoonbaar moet zijn, kunnen ze zich door een onafhankelijk partij laten certificeren.
Hierdoor blijft de verantwoordelijkheid bij de bedrijven zelf liggen en krijgen hun afnemers – klanten – wel de mogelijkheid te de digitale weerbaarheid van hun keten aantoonbaar te krijgen, zonder dat ze een verantwoordelijkheid daarin overnemen.
- Brancheverenigingen en samenwerkingsverbanden – die dicht bij de bedrijven staan – helpen bedrijven vanuit hun onafhankelijke rol bij de groei in digitale weerbaarheid.
We zoeken hierbij ook uitdrukkelijk de aansluiting van de overheid en toezichthouders: De overheid organiseert zich op dit moment in sectoren terwijl een supply chain per definitie meerdere sectoren doorkruist. Steekproeven laten zien dat voor een enkele (logistieke) keten wel tot 12 sectoren betrokken zijn. Een willekeurig bedrijf loopt ook de kans door meerdere toezichthouders te worden bezocht met mogelijk een groot aantal dezelfde vragen. Ook hier kan eenduidige structuur zowel de toezichthouder als de bedrijven helpen. Dat is niet onbelangrijk gezien het grote en groeiende personeelstekort in de branche.
Vraag die bij de deelnemers blijft hangen na 4 juli is: “Wij hebben een antwoord op de in de CSBN gestelde uitdagingen. Op een manier die het de bedrijven makkelijk maakt. Er zijn bedrijven, brancheverenigingen en samenwerkingsverbanden die het omarmen. Wie wil er nog meer deze handschoen samen met ons oppakken?”
Voor meer informatie: www.cyberrating.nl.
Sluit je aan bij FERM
Blijf alert. Installeer patches en let op phishing mails. Gebruik MFA. En -voor alle bedrijven in de Rotterdamse haven- sluit je aan bij FERM. Zodat je daarnaast ook acute dreigingsinformatie kunt ontvangen en vragen kunt stellen aan de vertrouwde community om je heen. Dat blijkt in de praktijk erg nuttig te zijn voor bedrijven van klein naar groot, van mkb (zonder eigen IT) tot aan de grote multinationals.
Kijk voor meer informatie op ferm-rotterdam.nl/lid-worden.
Aan deelname is altijd een kosteloze proefperiode verbonden.
