Het is de grimmige realiteit: de mate waarin cyberaanvallen toenemen is inmiddels geëscaleerd tot een alarmerend niveau. In 2023 is zelfs meer dan de helft van de Nederlandse organisaties (53 procent) gevoelige data kwijtgeraakt door een cyberaanval.
Door Filip Verloy / Beeld Shutterstock
Cybercriminelen zijn nu gewapend met geavanceerde technologieën zoals kunstmatige intelligentie (AI) en voeren daarmee genadeloos aanvallen uit met ongekende precisie en op ongekend grote schaal. Hierdoor liggen bedrijven constant onder vuur, waardoor ook de continuïteit van de bedrijfsvoering gevaar loopt. Het is inmiddels onvermijdelijk dat je als organisatie getroffen wordt door een cyberaanval. Een aanval alleen ‘proberen te voorkomen’ is tegenwoordig daarom niet meer voldoende.
> LEES OOK: Slechts 3% organisaties volledig voorbereid op cyberaanval
Twee Europese richtlijnen moeten cyberweerbaarheid vergroten
Om organisaties beter te wapenen tegen cyberdreigingen, introduceert de Europese Unie een aantal richtlijnen. Twee van deze richtlijnen, de Digital Operations Resilience Act (DORA) en de Network and Security Directive (NIS2), hebben de grootste impact op het bedrijfsleven. Deze richtlijnen moeten de cyberweerbaarheid van organisaties versterken, het bewustzijn rondom cyberdreiging vergroten en ervoor zorgen dat organisaties cyber- en datasecurity als prioriteit gaan zien.
DORA is in januari 2024 van kracht geworden en NIS2 moet vanaf oktober 2024 nationale wetgeving worden voor alle EU-lidstaten. De Nederlandse overheid heeft echter al aangegeven deze deadline niet te gaan halen vanwege de complexiteit van het wetgevingsproces.
> LEES OOK: NIS2-Quickscan helpt organisaties bij voorbereiding op nieuwe cyberwet
Cyberweerbaarheid van organisaties blijft achter
Cybercriminelen zijn vernuftiger dan ooit. Ze maken gebruik van AI en zijn continu op zoek naar alternatieve manieren om nóg sneller en doelgerichter nóg meer informatie te pakken te krijgen. Hoewel ze steeds geavanceerder te werk gaan, lijkt de cyberweerbaarheid van organisaties vooralsnog niet mee te groeien.
Cyberweerbaarheid houdt in dat organisaties in staat zijn om cyberaanvallen tot op zekere hoogte te weerstaan, bedrijfsinformatie te beschermen en – als het dan toch gebeurt – de schade zoveel mogelijk te beperken. De financiële impact van downtime (het uitvallen van systemen of bedrijfsactiviteiten) door een cyberaanval kan net zo groot zijn als de som losgeld die criminelen vragen. Als criminelen eenmaal binnen zijn, hebben ze bovendien vrij spel om op zoek te gaan naar gevoelige informatie, zoals persoonsgegevens of financiële informatie. Het beschermen van gevoelige informatie (datasecurity) is dan ook een essentieel onderdeel van de weerbaarheid, om zo de bedrijfscontinuïteit te waarborgen.
> LEES OOK: 63 branches verenigen zich ter ondersteuning Europese cybersecurity richtlijn (NIS2)
Optimaliseren van cyberrecovery- en cyberweerbaarheidsstrategie
Om ervoor te zorgen dat de bedrijfsdata te allen tijde beschermd is en dat een bedrijf snel weer up and running is na een cyberaanval, moeten IT- en securityleiders hun cyberrecovery- en cyberweerbaarheidsstrategie optimaliseren. Het cyberdreigingslandschap is constant in beweging en organisaties moeten hun cybersecuritystrategie hier voortdurend op aanpassen.
De cyberweerbaarheid van organisaties lijkt vooralsnog niet mee te groeien
Zorg- en meldplicht en toezicht
Het aanpakken van de discrepantie tussen de toenemende cyberdreiging en de weerbaarheid van organisaties staat nu hoger op de agenda. In Nederland ligt de focus nu vooral op NIS2 en DORA. Deze richtlijnen komen grotendeels overeen: beide verplichten organisaties om grondige risicobeoordelingen uit te voeren (zorgplicht) en incidenten te melden volgens strikte protocollen (meldplicht). Daarnaast worden organisaties via deze richtlijnen onder toezicht gesteld om de naleving van de maatregelen te garanderen. Toch zijn er wat verschillen.
DORA vooral gericht op financiële instellingen
DORA is in 2023 al van kracht geworden en richt zich voornamelijk op financiële instellingen. Naleving van DORA moet niet alleen de cyberweerbaarheid van de sector versterken, maar ook het vertrouwen van klanten en partners in financiële dienstverleners vergroten.
> LEES OOK: Security Management nummer 3 met als uitgelicht thema Cybersecurity
NIS2 richt zich op essentiële diensten en organisaties
NIS2 richt zich daarentegen op een breder scala aan sectoren. De regeling geldt voor alle organisaties die essentiële of belangrijke diensten leveren aan de economie en samenleving van EU-landen. Het gaat hierbij onder andere om publieke organisaties, de energie- en transportsector, de financiële sector, de gezondheidszorg, de digitale infrastructuur en digitale dienstverleners. Vanaf oktober 2024 is de nieuwe Europese cybersecurityrichtlijn (NIS2) van kracht, en deze wordt vertaald in nationale wetgeving.
De zorg moet 22 procent meer data beveiligen dan gemiddelde organisaties
Risicomanagement belangrijkste verplichting
Een van de belangrijkste verplichtingen van NIS2 en DORA is risicomanagement, waarvoor risicobeoordelingen en de implementatie van maatregelen voor continuïteit en datasecurity essentieel zijn. Door regelmatig risicoanalyses uit te voeren kunnen organisaties zwakke punten in de infrastructuur identificeren en hun weerbaarheid doorlopend versterken. Beide richtlijnen verplichten organisaties om binnen 24 uur een officiële melding te doen van een cyberincident, om zo de impact op essentiële diensten te minimaliseren. Organisaties die onder NIS2 vallen, worden ook onder toezicht van een onafhankelijke toezichthouder gesteld om naleving en verantwoordingsplicht te waarborgen.
> LEES OOK: Zo bereiden bedrijven zich alvast voor op de nieuwe cyberwet
Cyberdreiging in de zorg
Een sector die vaak het slachtoffer is van cyberincidenten, is de zorg. Zo nam het aantal cyberincidenten in 2023 met maar liefst 73 procent toe. Onderzoek van Rubrik Zero Labs toont aan dat organisaties in de gezondheidszorg 22 procent meer data moeten beveiligen dan een gemiddelde organisatie. NIS2 heeft dan ook een grote impact op zorgorganisaties. Net zoals de andere essentiële sectoren zijn zij verplicht strenge cybersecuritymaatregelen te treffen en protocollen te volgen voor risicomanagement. NIS2 helpt zorgorganisaties om de vertrouwelijkheid van patiënten en elektronische patiëntendossiers beter te waarborgen.
Detecteren, beperken en voorkomen
DORA en NIS2 dwingen organisaties om cyber- en datasecurity prioriteit te geven. Op deze manier moet ook de cyberweerbaarheid van organisaties in verschillende sectoren toenemen. Door de richtlijnen na te leven zijn organisaties beter in staat om cyberdreigingen te detecteren, te beperken en zelfs te voorkomen. En doordat bedrijfsdata onder deze richtlijnen beter beschermd worden, komt de bedrijfscontinuïteit minder snel in gevaar. Bovendien vergroten DORA en NIS2 ook het bewustzijn en de verantwoordelijkheid van organisaties met betrekking tot cyber- en datasecurity.
> LEES OOK: NIS2-Quickscan helpt organisaties bij voorbereiding op nieuwe cyberwet
AI kan helpen om cyberweerbaarheid te versterken
Door de snelle ontwikkeling van kunstmatige intelligentie (AI) verandert het cybersecuritylandschap in rap tempo. Enerzijds maken cybercriminelen gebruik van AI om aanvallen nóg doortrapter te maken, bijvoorbeeld via phishingmails die niet van een echte mail te onderscheiden zijn, of deepfake video’s waarin een bekende van het slachtoffer te zien is. Aan de andere kant kan AI organisaties ook helpen om hun cyberweerbaarheid te versterken. Van algoritmen voor machine learning tot platforms voor gedragsanalyses, met AI kunnen organisaties nog sneller en beter afwijkende patronen identificeren, bedreigingen detecteren en de processen voor incidentbestrijding automatiseren.
Bovendien bieden AI-gedreven cybersecurityoplossingen schaalbaarheid en aanpassingsvermogen en voorzien ze organisaties realtime van informatie over bedreigingen. Hierdoor zijn organisaties in staat sneller te reageren op de alsmaar veranderende cyberdreigingen.
Voorbereiden op nieuwe wetgeving
Het naleven van richtlijnen zoals DORA en NIS2 is cruciaal om de cyberweerbaarheid en datasecurity van organisaties te verbeteren. Het is en blijft noodzakelijk voor organisaties alert te zijn op de groeiende cyberdreiging. Nu de invoering van de NIS2-richtlijn dichterbij komt, zijn organisaties aan zet om in actie te komen en beleid te vormen dat voldoet aan de richtlijn. Dit helpt hen niet alleen om hun weerbaarheid tegen cyberdreigingen te vergroten, maar ook het vertrouwen van stakeholders te behouden. Organisaties willen klanten, leveranciers en andere partners er immers van kunnen verzekeren dat ook hun gevoelige data veilig is en blijft.
> LEES OOK: Beveiliging van gebouwinstallaties: “De wet komt er, dus ga vooral aan de slag met NIS2”
Ernst van de situatie inzien
Hoewel de exacte kaders van NIS2 nog niet bekend zijn, kunnen bedrijven de eerste stap zetten door de ernst van de situatie in te zien. Deze cybersecurityrichtlijnen zijn er immers niet voor niets. Bedrijven moeten vervolgens hun eigen situatie beoordelen: in hoeverre voldoet hun cybersecuritystrategie al aan de richtlijnen, met de focus op bedrijfscontinuïteit en cyberweerbaarheid? Waar is nog actie vereist? Door te focussen op het waarborgen van continuïteit en weerbaarheid, wordt een digitale infrastructuur gecreëerd die is opgewassen tegen het voortdurend veranderende cyberlandschap.
Filip Verloy, Field CTO EMEA & APJ Rx, is werkzaam bij Rubrik, clouddatabeheer- en databeveiligingsbedrijf uit de VS
Volg Security Management op LinkedIn