Het is net voor Kerst 2019. Hackers gijzelen het netwerk van de Universiteit Maastricht. Als gevolg van de aanval kunnen studenten en medewerkers, onder wie onderzoekers, dagenlang niet e-mailen. Bovendien zijn bestanden op de servers van de universiteit onbereikbaar. De onderwijsinstelling betaalt bijna 200.000 euro in bitcoins om de aanval te stoppen.

Een jaar later lijdt de Overijsselse gemeente Hof van Twente ruim 4 miljoen euro schade als hackers negentig virtuele servers verwijderen en gegevens vernietigen. De aanvallers kunnen moeiteloos binnenkomen, doordat een wachtwoord veel te eenvoudig is.

Lees ook

Cybercrimineel gevaarlijker door kunstmatige intelligentie

Een cyberaanval op transportbedrijf Bakker in Zeewolde in april 2021 leidt zeker een week tot lege schappen bij supermarkt Albert Heijn. Levering van kaas uit magazijnen in Zeewolde, Tilburg en Heerenveen komt stil te liggen. Het transportbedrijf kan geen orders meer ontvangen van klanten. Ook kan het geen transporten meer plannen voor de honderden vrachtwagens van het bedrijf.

De voorbeelden laten zien hoe groot de impact kan zijn van cyberaanvallen op organisaties en hun toeleveranciers. Om die reden is eind 2022 in Europees verband een richtlijn opgesteld waaraan alle 27 lidstaten meedoen, de zogeheten Network and Information Security directive (NIS2).

In Nederland wordt die richtlijn in het derde kwartaal van kracht in de nieuwe Cyberbeveiligingswet. Om bedrijven te helpen hun weg te vinden in de nieuwe regelgeving voor digitale veiligheid hebben werkgeversorganisaties van MKB-Nederland en VNO-NCW het initiatief Samen Digitaal Veilig gelanceerd. Dat is een platform van ruim honderd samenwerkende brancheorganisaties met 185.000 leden.

Dagelijks komen op het platform al tientallen vragen binnen van ondernemers die meer willen weten van NIS2, weet Henk Bijsterbosch, betrokken bij het project.

Waarom NIS2?

„Binnen de EU zijn we steeds afhankelijker van digitalisering. Cybercriminelen proberen daar een slaatje uit te slaan. Een op de vijf bedrijven wordt gehackt. Dat is verontrustend. NIS2 moet Europese bedrijven en organisaties in (zeer) kritieke sectoren –zoals banken, energie-, transport- en drinkwaterbedrijven, overheden en gezondheidszorg– beter beschermen tegen aanvallen van buitenaf.”

Hoe moet de nieuwe richtlijn beschermen tegen cyberaanvallen?

„Voor organisaties die onder NIS2 vallen, gelden allerlei verplichtingen. Zo moeten ze zich registreren en instanties op de hoogte brengen van digitale aanvallen, de zogeheten meldplicht. Ook hebben ze de plicht een helder plan te hebben om cyberaanvallen te voorkomen en over hoe ze zullen handelen als ze erdoor worden getroffen. Bedrijfshulpverlening is bij de meeste bedrijven wel goed geregeld, maar slechts weinigen weten wat ze moeten doen bij een digitale aanval. Daarnaast moeten de toeleveranciers van NIS2-bedrijven bewijzen dat ze de boel op orde hebben.”

Waarom zijn strengere regels nodig, ook voor toeleveranciers?

„Als de toeleverancier niet veilig werkt, kunnen cybercriminelen via dat achterdeurtje toeslaan. Een digitale inbraak kan ontwrichtende gevolgen hebben. Een cyberaanval kost bedrijven gemiddeld zo’n 300.000 euro. Een transportbedrijf dat wordt gehackt en daardoor niet kan leveren, zadelt supermarkten en dus ook consumenten op met een probleem. En ook: als de bandenleverancier van het transportbedrijf dat de supermarkt bevoorraadt niet kan leveren, ontbreken bepaalde producten dus in de schappen. Nog een voorbeeld: Als de accountant van een bedrijf niet veilig werkt, kunnen vertrouwelijke gegevens zomaar op straat komen te liggen.”

Zijn bedrijven uit de toeleveringsketen zich voldoende bewust van de gevaren?

„De meest gehoorde reactie is: „Zo’n digitale aanval komt weliswaar vaak voor, maar mij overkomt dat niet. Mijn bedrijf is niet interessant voor hackers, want Ik heb niet zo veel te verbergen”. Maar elk bedrijf heeft data, zoals telefoonnummers en persoonlijke gegevens van klanten. Gegevens die via het darkweb voor enorme bedragen worden verhandeld. Als organisaties de digitale veiligheid naast zich neerleggen, kunnen ze grote klanten kwijtraken. Bedrijven voor wie de strengere Europese richtlijnen gelden, zullen geen zaken met ze willen doen.”

Wat als inspecties gebreken bij bedrijven constateren?

„Na de introductie van de wet komt er naar verwachting een periode waarin waarschuwingen worden uitgedeeld. Maar uiteindelijk zullen inspecties handhaven. Blijkt een bedrijf nalatig te zijn geweest, dan zijn bestuurders en directies zelfs persoonlijk aansprakelijk. Ook kunnen inspecteurs boetes uitdelen die oplopen tot 2 procent van de jaaromzet van de organisatie.”

We hebben in Nederland nog nooit dagenlang zonder water of stroom gezeten door een hack. Is strenge regelgeving wel zo nodig?

„Reken maar dat veel digitale aanvallen worden afgewend doordat ze voortijdig zijn gesignaleerd. Bedrijven op het gebied van cybersecurity hebben daar hun handen vol aan. Er gebeurt op dat gebied waanzinnig veel, waarover wij als consument nooit iets zien of horen. En ja, dat kan betekenen dat we weleens langs het randje van de afgrond zijn gegaan, zonder dat we dat als maatschappij weten.”