Kans op cyberaanval op Nederlandse organisaties neemt flink toe

De kans op een cyberaanval op jouw organisatie in Nederland is flink toegenomen.

De kans dat Nederlandse organisaties te maken krijgen met cyberaanvallen is de afgelopen jaren flink toegenomen. Sterker nog; de kans dat jouw organisatie dit jaar te maken krijgt met een cyberaanval is ongeveer 20%. Ter illustratie, de kans dat je organisatie te maken krijgt met een fysieke inbraak in een kantoorpand is minder dan 0,5%. De reden waarom is duidelijk: criminelen kunnen meer verdienen met een cyberaanval dan met een fysieke inbraak en de pakkans is lager.

Natuurlijk is er de laatste tijd veel meer aandacht voor cyber security. Je kan de krant niet openslaan of je leest wel weer van een hack of een lek waarbij gegevens op straat komen te liggen. En dat heeft dan vaak ook weer impact op de privacy gegevens. Wat mij opvalt is dat er vooral media aandacht is wanneer “het kalf al verdronken is” en de cyberaanval al geweest is, dat levert immers mooie headlines op. Maar aandacht voor preventie is er een stuk minder.

Helaas neemt het aantal Nederlandse organisaties die preventief bezig zijn met cybersecurity minder hard toe dan de kans dat jouw organisatie te maken krijgt met een cyberaanval. Vooral in de MKB sector zijn er veel organisaties die de cybersecurity niet of onvoldoende op orde hebben. Veel MKB organisaties hebben namelijk geen CISO of iemand die verantwoordelijk gemaakt is voor cybersecurity. Het schort aan bewustzijn en gedragsverandering bij de medewerkers, iets wat veelal te verhelpen is met een Security Awareness Training.

Nieuwe Europese regelgeving in de maak die ook jouw organisatie kan beïnvloeden

Veel organisaties worden door wet en regelgeving (AVG, BIO) of eigen ambities (zoals met een ISO certificering) min of meer gedwongen de cybersecurity op orde te hebben. Binnenkort komt daar een incentive bij, namelijk de NIS2. De NIS2 (NIS: Netwerk en Informatie Systemen) is een nieuwe Europese wetgeving/richtlijn die er aan komt voor de kritische infrastructuur en essentiële bedrijven. Het doel van de NIS2 is om de cyberbeveiliging van essentiële en belangrijke sectoren te verbeteren en te harmoniseren. NIS2 vervangt de bestaande NIS-richtlijn uit 2016. De NIS2 stelt meer eisen aan de beveiliging en melding van cyberincidenten. NIS2 moet uiterlijk voor 2024 worden omgezet in nationale wetgeving. Mijn verwachting is dat de NIS2 net als de AVG op veel organisaties impact gaat hebben en wat ik zie is dat veel organisaties er niet klaar voor zijn.

Belangrijk om te weten is dat ook als jouw organisatie géén onderdeel is van de essentiële en belangrijke sectoren, maar wel levert aan deze sectoren, je toch verplichtingen hebt ten aanzien van de NIS2 richtlijnen. De security moet namelijk binnen de gehele keten worden gewaarborgd; van essentiële organisaties en sectoren tot hun toeleveranciers én hun onderaannemers binnen die keten (zie onder andere het blog over Europese cyberwetten op de site van de KVK en dit artikel op de site van Samen Digitaal Veilig over Toeleveranciers die onder de NIS2 vallen door MKB Nederland).

Voor nu is de oproep om je organisatie voor te bereiden op de komst van de NIS2. Gelukkig zijn de acties en maatregelen een stuk concreter beschreven dan in bijvoorbeeld de AVG. In een volgend blog neem ik je graag mee in enkele tips en acties.

Hoe kan AVK je nu al helpen met het verbeteren van je cybersecurity?

Maakt jouw organisatie gebruik van Microsoft 365? De kans is groot dat hier nog veel verbeterpunten liggen op het gebied van veiligheid en efficiëntie. Wil jij hier meer inzicht in krijgen? Klik dan op onderstaande knop en vul de Microsoft 365 Governance vragenlijst in.

Microsoft 365 Governance vragenlijst