Veel ondernemers denken dat ze niet interessant zijn voor cybercriminelen. Dat is een gevaarlijke misvatting die bedrijven duur komt te staan. De gevolgen van onvoldoende digitale beveiliging kunnen desastreus zijn. Ron van den Broek, managing director van IT-dienstverlener KNNS, ziet het regelmatig in de praktijk. “Aanvallen hadden in veel gevallen voorkomen kunnen worden met basale maatregelen zoals multifactor authenticatie. Dat vinden veel mensen vervelend, maar het scheelt bedrijven enorme bedragen aan ransomware en schade. In de praktijk gaan cybercriminelen niet selectief te werk. Ze targeten niet specifiek een paar bedrijven, maar werken veel generieker dan men denkt.”

Precies dit soort kwetsbaarheden bracht Van den Broek en advocaat Niels van den Bogaard van Poelmann van den Broek Advocaten ertoe om, samen met KNNS en beveiligingsspecialist ESET, het CBW Loket op te richten. Van den Bogaard: “Wij merkten dat cliënten wel juridische begeleiding kregen, maar dat de technische kant en de daadwerkelijke beveiliging nog grotendeels onbeheerd bleven. Hoe mooi zou het zijn als we daar meer voor de klant kunnen betekenen, zodat hij niet naar allerlei verschillende loketjes hoeft.” De scope van de wetgeving is breed: naast juridische aspecten moeten systemen ook daadwerkelijk veilig zijn ingericht.

Ketenverantwoordelijkheid bereikt hele mkb De wetgeving treft niet alleen grote spelers. Door ketenverantwoordelijkheid worden ook toeleveranciers geraakt. Van den Bogaard legt uit: “In contracten staan nu al bepalingen waaraan de cybersecurity van leveranciers moet voldoen. Bijvoorbeeld dat ze ISO 27001 gecertificeerd dienen te zijn en incidenten binnen 24 uur moeten melden.” Grote organisaties hebben al snel te maken met honderden tot duizenden toeleveranciers. Het is belangrijk daar een risico-inschatting op te maken en daar beheer op te voeren, aldus Van den Bogaard.

Van den Broek vult aan: “Voor mkb-bedrijven geldt vaak: het gaat niet alleen meer om kantoorautomatisering. De supply chain, aansturing van machines, data-uitwisseling met klanten: alles hangt aan IT. Als dat uitvalt, staat je hele bedrijf stil.” Hij verwijst naar Jaguar Land Rover, dat recent werd gehackt en de productielijn moest stilleggen. “Die zijn nu zelfs hun betaaltermijnen naar voren gaan halen, zodat leveranciers geld hebben om door te gaan als zij worden getroffen.”

Bestuurders persoonlijk aansprakelijk Een cruciaal verschil met het verleden is de persoonlijke aansprakelijkheid van bestuurders. Van den Bogaard benadrukt: “De CEO komt niet meer weg met tegen de CTO zeggen: zorg even dat cyber oké is. Als bestuurder ben je ook zelf verantwoordelijk en moet je daar een certificaat voor halen. Dat geldt voor het hele formele bestuur, ongeacht je portefeuille.” Die aansprakelijkheid weegt zwaar. Voorheen kon je niet persoonlijk aansprakelijk worden gesteld als het op dit vlak faalt of als er schade ontstaat omdat je de zaken niet voor elkaar hebt.

Het CBW Loket biedt een integrale aanpak in drie stappen. Eerst wordt bepaald of een organisatie onder de wetgeving valt. Daarna volgt een technische beoordeling: waar sta je nu en welke stappen moet je nog zetten? Ten slotte wordt het plan van aanpak opgeleverd om bedrijven compliant te maken met de Cyberbeveiligingswet met onder meer bewustwording bij medewerkers en training van de boardroom. Van den Broek: “We hakken het op in drie kleine stukjes. Dat maakt het overzichtelijk en uitvoerbaar.”

Van verplichting naar kans Van den Broek ziet de wetgeving vooral als kans: “Als je als bedrijf het goed voor elkaar hebt, ben je gewoon veiliger en weerbaarder. Dat je toevallig ook compliant bent met wetgeving, is eigenlijk een fijne bijzaak.” Hij vergelijkt het met de AVG, die vijf tot tien jaar geleden ook voor een omslag zorgde in hoe met persoonsgegevens wordt omgegaan. Nederland scoorde al redelijk in vergelijking met landen als Italië en Spanje, maar door die maatschappelijke focus ontstond er een enorme slag voorwaarts.

De experts wijzen erop dat bedrijven die hun zaken op orde hebben, zich onderscheiden in de markt. Van den Bogaard: “Als je de keuze hebt tussen een toeleverancier die dit goed geregeld heeft en eentje die er niks mee doet, kun je niet tegenop opereren tegen die achterstand.” Organisaties die compliant zijn, stralen kwaliteit uit en laten zien dat ze digitaal verantwoord ondernemen serieus nemen.

Toch is bij veel bedrijven het bewustzijn nog laag. Van den Broek: “In het mkb denkt men vaak dat niemand geïnteresseerd is in hun data. ‘We doen toch niks spannends?’ Daar hebben we nog een wereld te winnen.” Ondertussen is de wetgeving in aantocht en tikken de klokken. Wie nu actie onderneemt, maakt zijn organisatie niet alleen compliant, maar ook toekomstbestendig. Doe je niets, dan blijf je achterlopen, stellen Van den Bogaard en Van den Broek.