Veel Nederlandse organisaties pakken digitale risico’s pas aan na een incident. Een nieuw onderzoek onder it- en securityteams laat zien dat preventieve maatregelen vaak ontbreken of pas later worden ingevoerd. Dit vergroot de kans op schade, stilstand en boetes. Met strengere Europese regels als NIS2 wordt de druk om te verbeteren groter en krijgen Europese digitalisering gevolgen bedrijfsleven.
Preventie blijft achter
Organisaties reageren vaak pas als er al iets mis is, zoals bij een ransomware-aanval of datalek. Dan volgen noodmaatregelen, extra controles en versneld patchen. Zonder duidelijke risicoanalyse blijft het bij losse acties. Daardoor keren dezelfde problemen terug.
Gebrek aan budget en schaarste aan specialisten spelen een rol. Ook is verantwoordelijkheid voor digitale veiligheid soms versnipperd over afdelingen en leveranciers. Uitbesteden aan een managed service provider neemt risico’s niet weg. Er blijft altijd regie en controle nodig binnen de eigen organisatie.
De gevolgen van een reactieve aanpak zijn groot. Storingstijd kost omzet en tast vertrouwen aan. Bij verlies van persoonsgegevens kan de Autoriteit Persoonsgegevens boetes opleggen onder de AVG. Preventie is meestal goedkoper dan herstel achteraf.
Basisbeveiliging niet op orde
Veel winst zit in eenvoudige basismaatregelen. Multifactor-authenticatie (MFA) voegt een tweede stap toe naast een wachtwoord, zoals een app-code. Tijdig patchen dicht bekende kwetsbaarheden. En maak accounts zo klein mogelijk met ‘least privilege’.
Back-ups horen offline, versleuteld en regelmatig getest te zijn. Zo kunt u systemen en data snel terugzetten na een aanval. Immutable back-ups, die niet zijn te overschrijven, verkleinen de schade van ransomware. Test het herstelproces minstens elk kwartaal.
Monitoring en logging helpen bij snelle detectie. Endpoint Detection and Response (EDR) is software die verdachte activiteiten op laptops en servers opspoort. Netwerksegmentatie beperkt de impact als een aanvaller toch binnenkomt. Een ‘zero trust’-aanpak gaat uit van zo min mogelijk vertrouwen tussen systemen.
Europese digitalisering raakt bedrijfsleven
De NIS2-richtlijn stelt strengere eisen aan essentiële en belangrijke organisaties. Besturen moeten kunnen aantonen dat zij risico’s beheersen en dat leveranciers aan beveiligingseisen voldoen. Er gelden meldplichten voor ernstige incidenten binnen 24 tot 72 uur, op het moment van schrijven. Overtredingen kunnen leiden tot hoge boetes en bestuurdersaansprakelijkheid.
De AVG blijft daarnaast van kracht bij datalekken met persoonsgegevens. Bedrijven moeten dataminimalisatie toepassen en gevoelige data versleutelen. Een datalek moet binnen 72 uur bij de Autoriteit Persoonsgegevens worden gemeld. Goede logbestanden en processen maken dat haalbaar.
In de financiële sector geldt DORA, de Digital Operational Resilience Act. Deze wet vraagt om doorlopende testen van digitale weerbaarheid en strengere controle op ict-leveranciers. Ook toeleveranciers van banken en verzekeraars vallen onder extra eisen. Dat werkt door in contracten en auditroutes.
Ketenafhankelijkheid vergroot risico’s
Bedrijven leunen steeds meer op cloud- en SaaS-diensten. Een storing of aanval bij een leverancier raakt dan direct de eigen dienstverlening. Softwareketens zijn complex, waardoor één zwakke schakel genoeg is. Leveranciersrisico is daarom een kernonderdeel van risicobeheer.
Leg beveiligingseisen vast in contracten en service level agreements. Vraag om onafhankelijke rapportages, zoals ISO 27001 of SOC 2. Maak afspraken over patchtermijnen, kwetsbaarhedenscans en penetratests. En zorg voor exit-plannen en datamigratie bij een overstap.
In de publieke cloud geldt ‘shared responsibility’. De aanbieder beveiligt het platform, de klant beveiligt het gebruik. Veel incidenten komen door verkeerde instellingen. Hulpmiddelen voor cloudconfiguratie, zoals posture-managementtools, helpen fouten tijdig te vinden.
Oefenen en meten werken wel
Zonder voorbereiding is snelle incidentrespons lastig. Een incident response plan (IRP) legt rollen, beslissingen en contactlijnen vast. Denk aan bereikbaarheid van crisisteams, escalatie en communicatie met klanten en toezichthouders. Noteer ook wanneer het NCSC en de Autoriteit Persoonsgegevens worden geïnformeerd.
Digitale weerbaarheid is het vermogen om aanvallen te voorkomen, te detecteren en snel te herstellen.
Oefen realistische scenario’s met ‘tabletops’ en technische tests. Meet hersteltijd (RTO) en dataverlies (RPO) en verbeter waar nodig. Test back-upherstel onder tijdsdruk en zonder internet. Zo weet u wat werkt als het echt misgaat.
Betrek bestuur en medewerkers bij continue verbetering. Korte, regelmatige trainingen vergroten bewustzijn en verkleinen klikrisico’s bij phishing. Rapporteer duidelijke KPI’s over updates, MFA-dekking en detectietijden. Zo wordt beveiliging een normaal onderdeel van de bedrijfsvoering.