Digitale veiligheid is geen IT-onderwerp meer. Het is een directievraagstuk.

Niet omdat we je willen laten schrikken. Maar omdat de realiteit is veranderd.

Een paar jaar geleden was een cyberaanval iets wat grote corporates overkwam. Banken, overheden, multinationals. Nu zijn het steeds vaker mkb-bedrijven. Aanvallers werken geautomatiseerd en schaalbaar. Ze zoeken de zwakste schakel, niet de interessantste target.

Wat maakt jouw bedrijf kwetsbaar?

Niet de techniek, in de meeste gevallen. Het gedrag van mensen. De medewerker die op een link klikt in een ogenschijnlijk betrouwbare e-mail. Het gedeelde wachtwoord voor de boekhoudapplicatie. De laptop die wordt meegenomen naar huis en verbinding maakt met een onbeveiligd netwerk.

Dit zijn geen incidenten. Dit is de dagelijkse praktijk.

En de gevolgen zijn ingrijpend. Systemen die uitvallen. Gegevens die op straat komen te liggen. Klanten die hun vertrouwen verliezen. Boetes wegens datalekken. Herstelkosten die kunnen oplopen tot tienduizenden euro’s.

NIS2: de wet die er al aankomt

Wat veel ondernemers nog niet weten, is dat er nieuwe wetgeving geldt op het gebied van digitale veiligheid. De NIS2-richtlijn verplicht een grote groep bedrijven om aantoonbaar werk te maken van cybersecurity.

NIS2 heeft een bredere reikwijdte dan de meeste bedrijven verwachten. Ook middelgrote bedrijven in sectoren als transport, gezondheidszorg, productie, digitale dienstverlening en toeleveranciers van vitale partijen vallen onder de wet. De kans is reëel dat jouw bedrijf erbij hoort, of dat klanten en partners je straks om bewijs vragen.

Wat de wet concreet vraagt: een risicoanalyse, technische maatregelen, beleid rondom incidenten, en aantoonbaar toezicht door de directie. Dat laatste is nieuw en belangrijk. NIS2 legt de verantwoordelijkheid expliciet bij de directie. Jij bent aanspreekbaar, ongeacht wie de IT beheert.

De boetes voor niet-naleving lopen op tot tien miljoen euro of twee procent van de wereldwijde omzet. En bestuurders kunnen persoonlijk aansprakelijk worden gesteld.

Bewustzijn gaat voor techniek

De meeste ondernemers denken bij digitale veiligheid aan firewalls, antivirussoftware en ingewikkelde systemen. Die zijn belangrijk. Maar zonder bewustzijn bij medewerkers helpt techniek maar beperkt.

Digitale veiligheid is een gedragsvraagstuk. En gedrag vraagt meer dan een eenmalige training of een technische maatregel. Je verandert het door het bespreekbaar te maken. Door heldere afspraken te maken. Door medewerkers te laten weten wat ze moeten doen als ze iets verdachts zien.

De stap die je als directeur kunt zetten

Technische expertise is daarvoor geen vereiste. Wat telt, is dat jij het onderwerp serieus neemt en de juiste vragen stelt aan je IT-partner. En dat er beleid is dat werkbaar is voor je team.

Een paar praktische stappen om mee te beginnen:  

• Weet welke gegevens je verwerkt en wie er toegang toe heeft. Beperk toegang tot wat noodzakelijk is.
• Maak tweefactorauthenticatie verplicht voor zakelijke accounts, ook voor e-mail en clouddiensten.
• Vertel medewerkers wat ze moeten doen als ze een verdachte e-mail ontvangen. Melden is de norm. Zorg ervoor dat iedereen dat ook doet.
• Controleer of back-ups er zijn en of ze werken. Een back-up die je niet kunt terugzetten, is geen back-up.
• Bespreek eens per jaar de stand van zaken met je IT-partner. Je hoeft er geen expert in te zijn. Weet wat er loopt en wie je kunt aanspreken.

Regie is het sleutelwoord

Digitale veiligheid is geen eenmalig project. Het is een doorlopend proces. Bedreigingen veranderen, gedrag verandert, systemen veranderen.

Wat wel vaststaat, is jouw verantwoordelijkheid als ondernemer. Zorgen dat het geregeld is. Weten wie waarvoor verantwoordelijk is. Afspraken maken en controleren dat die worden nagekomen.

Dat noemen wij regie voeren. En met NIS2 in aantocht is er geen beter moment om daar serieus mee aan de slag te gaan.

Wil je weten of jouw bedrijf onder NIS2 valt en wat dat voor je betekent? Daar hebben wij dagelijks gesprekken over met directies in het MKB. Wij vertellen je in één gesprek of jouw bedrijf eronder valt en waar je moet beginnen.