De cyberbeveiligingswet is tot stand gekomen doordat de digitale veiligheid van bedrijven achterblijft terwijl de dreiging op cyberaanvallen zichtbaar toeneemt. Hierdoor loopt de maatschappij, economie en organisaties risico op uitval van diensten en grote financiële schade.
Wat zijn essentiële of belangrijke organisaties
Essentiële of belangrijke organisaties leveren diensten of producten die noodzakelijk zijn om de maatschappij of economie draaiende te houden. Denk hierbij aan overheidsorganisaties, energie- en waterleidingbedrijven. De organisaties die rechtstreeks onder de nieuwe wet vallen moeten intern en in hun toeleveringsketen een risicoanalyse uitvoeren en maatregelen treffen om hun digitale veiligheid zo groot mogelijk te maken. Dit om te voorkomen dat de maatschappij of economie ontwricht raakt bij een cyberaanval op deze bedrijven.
Val je rechtstreeks onder de cyberbeveiligingswet?
De overheid heeft een zelfevaluatie-tool gemaakt waarbij je kan zien of je rechtstreeks onder de deze nieuwe wet valt. Via deze link kom je bij de tool terecht. Het laat zich aanzien dat cumelabedrijven niet rechtstreeks onder deze wet gaan vallen. Echter cumelabedrijven werken uiteindelijk wel in de toeleveringsketen voor opdrachtgevers die rechtstreeks onder de cyberbeveiligingswet vallen. Zie onderstaand kader met sectoren die onder de wet gaan vallen.
Essentiële organisatiesCriteria hierbij is dat dit bedrijven of organisaties zijn met minimaal 250 werknemers of een jaaromzet van meer dan 50 miljoen euro en een balanstotaal van meer dan 43 miljoen euro in de volgende sectoren*:
|
Wat zijn belangrijke organisaties
Criteria hierbij is dat dit organisaties zijn met minimaal 50 werknemers of een jaaromzet en balanstotaal van meer dan 10 miljoen euro in de volgende sectoren:
- Digitale aanbieders,
- Post- en koeriersdiensten,
- Afvalstoffenbeheer,
- Levensmiddelen,
- Chemische stoffen,
- Onderzoek en vervaardiging/manufacturing.
Voorkom problemen
Als jouw opdrachtgever rechtstreeks onder de cyberbeveiligingswet valt, dan zijn ze verplicht om te beoordelen of jij als hun toeleverancier of onderaannemers een risico vormt voor hun cyberveiligheid. Dit om te voorkomen dat zij via hun netwerk van toeleveranciers of onderaannemers alsnog geraakt worden. Ook zal er gekeken worden of door eventuele kwetsbaarheid van jou het risico ontstaat dat je geen werkzaamheden kan uitvoeren als jezelf getroffen wordt door een cyberaanval. Om te voorkomen dat zowel jij als jouw opdrachtgever slachtoffer wordt of dat je opdrachten misloopt is het daarom belangrijk om tijdig je cyberveiligheid op orde te maken. Met deze vijf basisstappen leg je zelf (of samen met je ICT-dienstverlener) de basis voor een veilige digitale werkomgeving. Deze vind je onderaan dit artikel.
Aantoonbaar digitaal veilig
De verwachting is dat opdrachtgevers ‘expliciet’ aan jou gaan vragen om te bewijzen dat jij je digitale zaken op orde hebt. Hoe toon je dat aan? Het kan dus voorkomen dat opdrachtgevers om een keurmerk of certificering gaan vragen. Bijvoorbeeld CYRA of ISO 27001 certificering. Een andere mogelijkheid speciaal voor het MKB is het NIS2 Quality mark van Samen Digitaal Veilig. Dit helpt je met digitaal veilig worden. Op dit moment voeren zij gesprekken om ervoor te zorgen dat het keurmerk breed gedragen wordt door marktpartijen. Tot nu toe wordt het keurmerk goed ontvangen bij de betrokken partijen volgens initiatiefnemer IVBB.
Cumela heeft bij de internetconsultatie van de cyberbeveiligingsbesluit aangegeven dat we een praktische- en geen kostbare oplossing willen zien om aan te tonen dat je veilig bent. We houden je van deze ontwikkelingen op de hoogte.
Waarom wachten?
Als je nu start met cyberveiligheid lig je voor op anderen en ben je bovendien nog veiliger ook. En bedenk dat het vervangen van IT-componenten kan niet alleen veiliger kan zijn maar nieuwe apparatuur werkt vaak ook sneller, dus tijdswinst. Doe dit altijd in samenwerking met je ICT-leverancier en wees kritisch op veiligheid. Zorg er ook voor dat de veiligheidsmaatregelen vastgelegd wordt zodat je dit bij aanbestedingen kunt aantonen.
De vijf basisstappen voor cyberveiligheid
Met deze vijf basisprincipes leg je zelf -of samen met je ICT-dienstverlener- . de basis voor een veilige digitale werkomgeving:
1. Inventariseer kwetsbaarheden
Maak een lijst met alle ICT-onderdelen die met internet zijn verbonden, bijvoorbeeld apparatuur, computerprogramma’s, de digitale deurbel, de omvormer van de zonnepanelen en camerasystemen. Maak een inschatting hoe belangrijk deze ICT-onderdelen zijn. Bespreek dit samen met je ICT-dienstverlener of ICT-medewerker en maak een plan om mogelijke kwetsbaarheden op te lossen. Kijk ook goed hoe je een back-up maakt en controleer of deze volledig is.
2. Kies veilige instellingen
Controleer de instellingen van apparatuur, computerprogramma’s en netwerk- en internetverbindingen. Pas standaardinstellingen en standaardwachtwoorden altijd aan en sla deze veilig op, bijvoorbeeld in een wachtwoordmanager. Kijk kritisch naar functies en diensten die automatisch ‘aan’ staan. Zet ze uit als ze niet functioneel zijn. Wees zuinig op je privacy: stel je zelf de vraag of het nodig is dat een app op je telefoon automatisch toegang tot je camera of microfoon moet hebben.
3. Voer updates uit
Controleer of apparaten en software up-to-date zijn. Installeer beveiligingsupdates altijd direct. Schakel automatische updates in, zodat je apparaten en software voortaan altijd draaien op de laatste versie. Weet je niet hoe het moet? Overleg met je ICT-dienstverlener.
4. Beperk toegang
Definieer per medewerker tot welke systemen en data toegang vereist is om te kunnen werken. Vraag je af of het echt nodig is dat sommige medewerkers toegang hebben tot systemen. Zorg dat de toegangsrechten worden aangepast als iemand een nieuwe functie krijgt of bij de onderneming vertrekt.
5. Voorkom virussen en andere kwaadwillende software
Er zijn vier manieren om kwaadwillende software te voorkomen. Stimuleer veilig gedrag van medewerkers met de instructiefilmpjes in Samen Digitaal Veilig. Maak hiervoor een gratis inlog aan via deze link, gebruik een antivirusprogramma, download apps veilig en beperk de installatiemogelijkheden van software door medewerkers. . Gebruik een antivirusprogramma, installeer niet zomaar alle apps, beperk de installatiemogelijkheden van software door gebruikers.
