Advies 'Verkleinen van de cyberweerbaarheidskloof'

De Cyber Security Raad (CSR) heeft het adviesrapport 'Verkleinen van de cyberweerbaarheidskloof' overhandigd aan minister Micky Adriaansens van Economische Zaken en Klimaat. Deze kloof gaat over de grote verschillen tussen bedrijven die hun cyberweerbaarheid op orde hebben en achterblijvers bij wie dit nog niet het geval is. De focus van het advies ligt op het midden en kleinbedrijf (mkb) omdat in dat segment relatief veel achterblijvers lijken te zijn. Wat is ervoor nodig om deze kloof te dichten? En wat kan de overheid daarin betekenen? Het adviesrapport bevat concrete aanbevelingen aan de overheid om samen met brancheorganisaties, ICT-leveranciers en het mkb de cyberweerbaarheidskloof te verkleinen. 

Cyberweerbaarheidsadviezen gericht op het mkb

Het advies is mede gebaseerd op de uitkomsten van een onderzoek van Deloitte naar de oorzaken van de cyberweerbaarheidskloof. Ook verwijst de raad naar een onderzoek van TNO naar de beweegredenen voor ondernemers om al dan niet in te zetten op verbetering van hun cyberweerbaarheid. De CSR adviseert de overheid om zich te richten op drie hoofdlijnen:

1. Realiseer een gerichte, structurele en uniforme aanpak om de cyberweerbaarheid van het mkb te verbeteren

Er zijn veel waardevolle initiatieven maar de veelheid aan instanties maken het onoverzichtelijk voor mkb-bedrijven om informatie, hulpmiddelen of adviezen over cybersecurity goed te vinden en overzien. Vanuit publiek-privaat partnerschap en onder regie van de Rijksoverheid kan hiermee meer samenhang tussen verschillende initiatieven ontstaan en kan de samenwerking binnen de verschillende netwerken en tussen netwerken onderling worden vergroot.

2. Bied passende hulp aan het gehele mkb, via toegankelijke kanalen

Zorg voor een compact en uniform geheel aan basismaatregelen en hulpmiddelen. Zorg dat er een handreiking of wegwijzer is die brancheorganisaties en hun leden helpt om de weg naar de meest passende gedifferentieerde hulp(middelen) te vinden. Evalueer de hulpmiddelen periodiek op hun bijdrage aan cyberweerbaarheid bij de gebruikers ervan.

3. Stimuleer mkb-bedrijven en zet aan tot handelen

De Cyberbeveiligingswet (NIS2) heeft een aanjagende werking op een gedeelte van het mkb. Ga daarnaast de uitdaging aan om ook die mkb-ondernemers te bereiken die van nature geen reden zien om in actie te komen, ongeacht de kwaliteit en vindbaarheid van hulpmiddelen. Overweeg hiervoor een brede maatschappelijke publiekscampagne met de overkoepelende boodschap dat ook ondernemers zich moeten aanpassen aan de verder digitaliserende samenleving, met cybersecurity als onderdeel.

Obstakels die mkb-ondernemers ervaren

Het onderzoek toont aan dat ondernemers binnen het mkb het bereiken van een voor hun optimaal cyberweerbaarheidsniveau in de eerste plaats zien als hun eigen verantwoordelijkheid, passend bij het eigen ondernemersrisico. Drie 'interne' obstakels die veel genoemd worden, zijn dat er onvoldoende cyberbewustzijn en -kennis is, er onvoldoende inzicht in de risico's en handelingsperspectief is en dat het lastig is om te bepalen hoeveel en waarin geïnvesteerd moet worden.

Externe factoren die optimale cyberweerbaarheid in de weg staan liggen aan de aanbodzijde van hulpmiddelen. Het Deloitte-onderzoek wijst uit dat er zeer veel hulpmiddelen voorhanden zijn. Het overzicht en de samenhang ontbreekt. Veel cyberinitiatieven zijn niet specifiek gericht op het mkb, een bepaalde sector of type bedrijf. Er is bovendien geen inzicht in de effectiviteit van de aangeboden hulpmiddelen.

Sommige bedrijven zien een duidelijke coördinerende, faciliterende en verbindende rol voor de overheid weggelegd, bijvoorbeeld als het gaat om bewustwording, het bieden van concreet handelingsperspectief dat aansluit bij de precieze context van het mkb en hulp om te bepalen waarin geïnvesteerd moet worden.

Bevestiging van de juiste koers

Het CSR-advies is volgens Michel Verhagen, manager Digital Trust Center, een bevestiging van de juiste koers: "Het is belangrijk dat dit rapport er is, dit motiveert ons om onze inspanningen voor een grote doelgroep die nog niet cybervolwassen is, voort te zetten en waar nodig te verstevigen."

Verhagen erkent de obstakels die mkb-bedrijven ervaren en die de verhoging van hun cyberweerbaarheidsniveau in de weg staan. "Het blijft een uitdaging om de mkb-ondernemers te bereiken met de basismaatregelen, adviezen en tools. Er wordt nu toegewerkt naar één loket en kenniscentrum, ook voor ondersteuning aan het mkb. Dat zal de vindbaarheid van de informatie voor mkb'ers verbeteren. Ook blijven we hiervoor een sterk beroep doen op onze samenwerkingsverbanden, branche- en belangenorganisaties. Zij kunnen helpen om de hulpmiddelen samen te ontwikkelen en sectorgericht te verspreiden onder de mkb-bedrijven in hun achterban”, aldus Verhagen.

De basis op orde

"We verkleinen de kloof aanzienlijk als alle mkb-bedrijven gemotiveerd zijn om hun basis op orde te maken en daar passende oplossingen voor worden ingezet. En dat hoeft niet complex, tijdrovend of een grote investering te zijn. Met de CyberVeilig Check voor zzp en mkb weet je snel waar je digitale veiligheid achterloopt en hoe je de maatregelen alsnog - mét of zonder de hulp van een IT-dienstverlener - kunt treffen", aldus Verhagen.

Naast advies over preventieve maatregelen blijft het DTC specifieke bedrijven waarschuwen ('notificeren') wanneer er dreigingsinformatie bekend is over een digitale kwetsbaarheid. En over kwetsbaarheden in veelgebruikte bedrijfssoftware worden cyber alerts opgesteld waardoor bedrijven schadebeperkende maatregelen kunnen nemen. 

Op de DTC Community bieden we een platform voor kennisdeling aan ruim 4.000 cybersecurity professionals en ondernemers. De DTC Community is een veilige plek voor de meest praktische vragen tot de meest complexe discussies tussen vakgenoten in cybersecurity.