Het Digital Trust Center (DTC) heeft het afgelopen jaar grote stappen gezet om de digitale veiligheid van Nederlandse ondernemers te vergroten. Vorig jaar zijn er bijna 140.000 waarschuwingen verstuurd over kwetsbaarheden bij Nederlandse bedrijven. Verder weet het bedrijfsleven de interactieve tools van het advies- en waarschuwingscentrum beter te vinden: de website werd 336.187 keer bezocht en de tools zijn 20.573 keer gebruikt.
Dat is het motto waar het in 2023 om draaide. Het DTC had zichzelf als doel gesteld om bewustwording over cybersecurity bij niet-vitale bedrijven om te zetten in actie. Op veel vlakken is de instantie daarin geslaagd. Zo groeide het aantal leden van de DTC Community van 1.608 eind 2022 naar 2.855 eind dit jaar. De DTC Community is een platform waar kennis over digitale veiligheid en ervaringen met kwetsbaarheden wordt uitgewisseld tussen IT-professionals, CISO’s en ondernemers. Het aantal samenwerkingsverbanden steeg vorig jaar tot 60.
Het aantal waarschuwingen voor kwetsbaarheden -denk aan configuratiefouten waardoor gegevens voor het oprapen liggen, niet uitgevoerde beveiligingsupdates of de aanwezigheid van malware- kwam vorig jaar uit op bijna 140.000, inclusief 20 alerts over kwetsbare software. Sinds de start in de zomer van 2021 zijn er in totaal 156.921 waarschuwingen uitgedeeld.
“Deze groei is mede mogelijk gemaakt doordat het CSIRT-DSP (Computer Security Incident Response Team voor digitale diensten), het NCSC (Nationaal Cyber Security Centrum) en het DTC in de zomer van 2023 de krachten zijn gaan bundelen en intensief zijn gaan samenwerken op het gebied van slachtoffer- en doelwitnotificatie. Het DTC heeft het proces van notificeren verbeterd en verder geautomatiseerd waardoor het met een klein team zeer efficiënt kan bijdragen aan de weerbaarheid van ondernemend Nederland”, zo schrijft het DTC in haar jaarverslag.
Toch valt er nog een wereld te winnen. Het midden- en kleinbedrijf, en dan in het bijzonder zelfstandigen zonder personeel (zzp’ers), zijn vaak nog onvoldoende beschermd tegen hackers en cybercriminelen. Het inschakelen van tweefactorauthenticatie (2FA) is zowel bij zzp’ers als het mkb de minst nageleefde beveiligingsmaatregel. Van de zzp’ers doet 44 procent dit, in het mkb 60 procent. Verder blijkt uit benchmarkonderzoek dat 57 procent van de zzp’ers beveiligingsmaatregelen neemt, zoals het testen van back-ups. Bij de ondernemers in het mkb is dat 66 procent.
Om de bewustwording over de gevaren van digitale bedreigingen te vergroten, voerde het DTC afgelopen jaar meerdere bewustwordingscampagnes, waaronder Online fraude, Starten met cybersecurity, Ondernemersverhalen en Mijn Cyberweerbare Zaak. Alle campagnes waren erop gericht om ondernemers met laagdrempelige producten en tools te bereiken, bewust te maken en aan te zetten tot actie, zoals de Fraude Quiz of implementatie van Security.txt.
Een ander succespunt dat het DTC expliciet noemt in haar jaarverslag, is de NIS2-themaruimte. Dat is een digitale zaal binnen de DTC Community die exclusief over de implementatie van de aanstaande wetgeving uit Brussel gaat. “Deze ruimte dient als een waardevol forum voor discussies en het delen van inzichten over de gevolgen van deze wetgeving op de verschillende organisaties, klanten en (toe)leveranciers”, zo schrijft het DTC.
‘NIS’ staat voor Network and Information Security. NIS2 is de opvolger van de eerste NIS-richtlijn, die in 2016 in ons land vorm kreeg met de Wet beveiliging netwerk- en informatiesystemen (Wbni). De nieuwe richtlijn focust zich op risico’s die netwerk- en informatiesystemen bedreigen, zoals cyberaanvallen, zeroday exploits en andere cyberrisico’s. De Europese Commissie streeft er met de NIS2-richtlijn naar om de beveiliging van netwerk- en informatiesystemen gelijk te trekken in de Europese Unie.
De richtlijn bepaalt onder meer dat er een zorg- en meldplicht komt voor zowel private als publieke organisaties in sectoren als de zorg, energievoorziening, financiën, digitale infrastructuur en het openbaar bestuur. Verder zijn er afspraken gemaakt over uitwisseling van dreigingsinformatie tussen lidstaten en komt er een Europese database voor kwetsbaarheden. Ook moeten bedrijven en organisaties aan strengere verplichtingen voldoen op het gebied van cybersecurity.
EU-lidstaten hebben tot eind 2024 om de NIS2-richtlijn te verwerken in nationale wetgeving.
Tot slot blikken diverse experts vooruit op de vernieuwde organisatie. Om een einde te maken aan de versnippering in het cybersecuritystelsel, heeft het kabinet besloten om het NCSC, DTC en CSIRT-DSP samen te voegen tot één alomvattende organisatie die publieke en private organisaties gaat waarschuwen voor digitale aanvallen, kwetsbaarheden en andere cyberdreigingen. Eind 2025 moet de fusie een feit zijn.
“Toenemende cyberdreigingen, met in het bijzonder cyberaanvallen als gevolg van ketenafhankelijkheid, maken de integratie van het NCSC, het DTC en het CSIRT-DSP naar een vernieuwde organisatie zo essentieel. Op die manier kunnen we met al onze kennis en capaciteit de volledige doelgroep van zowel rijk, vitaal als het bedrijfsleven beter bedienen”, zo zegt Erwin Hasenpflug, cybersecurityadviseur bij het DTC.
“Door samen te gaan als drie cyberorganisaties brengen we mensen en expertise bij elkaar waarmee we bedrijven van zzp’er tot vitaal grootbedrijf kunnen faciliteren cyberweerbaar te worden. Van buiten naar binnen werkend en met vertrouwen en collegialiteit als fundament maken we van 1 + 1 + 1 vijf”, zo vult collega Michel Verhagen hem aan.
