NO MORE RANSOM!

Steeds vaker krijgen onze klanten te maken met ransomware attacks. Daarom willen we graag wijzen op een uitstekend internationaal initiatief van publiek-private samenwerking: https://Nomoreransom.org. Deze website is ingericht door Europol en de High Tech Crime Unit van de politie. Politie en beveiligingsonderzoekers hebben een gedeelde verantwoordelijkheid in het gevecht tegen cybercriminaliteit. De website helpt (potentiële) slachtoffers van ransomware met kennis over de problematiek, de bestrijding van ransomware en het voorkomen van schade als gevolg van ransomware. Door een gezamenlijke aanpak wordt het effectiever om te reageren op deze criminele activiteiten. Daarom ook de oproep om aanvallen te melden en kennis te delen.

Naast informatie biedt de website ook ontsleuteltools voor een steeds groeiend aantal virussen. Met deze ontsleuteltools kunnen via malware encrypte bestanden hersteld worden.

Natuurlijk is voorkomen beter dan genezen. Daarom is het zaak om uw update- en patch management op orde te hebben, net als uw backup- en restoreprocedures en uw antimalware software.

Februari 2025

De cyberbeveiligingswet en de NIS2 in Nederland

Nederland heeft het niet gehaald om de Europese NIS2 richtlijn op tijd in te voeren. De deadline van 17 oktober 2024 is niet gehaald. In de kamerbrief van minister Van Weel van 16 oktober 2024 is het nieuwe traject voorgesteld. Het streven is nu dat de NIS2 wordt geïmplementeerd in de Nederlandse Cyberbeveiligingswet in het derde kwartaal van 2025. De NIS2 wetgeving geldt voor essentiële en belangrijke entiteiten.

De Europese CER-richtlijn voor kritieke entiteiten die in de Nederlandse Wet weerbaarheid kritieke entiteiten wordt geïmplementeerd, is eveneens uitgesteld tot het derde kwartaal van 2025. Wel zal het Computer Incident Response Team (CSIRT) nu al bijstand geven bij cyberincidenten. Het CSIRT wordt ingevuld door het NCSC, voor digitale dienstverleners door het CSIRT-DSP en voor de zorgsector door Z-CERT. In de periode totdat de wetten in werking treden gaan de verplichtingen van deze wetten pas in vanaf het tijdstip dat de wetten in werking treden. Tot die tijd blijft de huidige Wbni van kracht.

Vanaf 17 oktober 2024 kunnen de organisaties die onder deze regelgeving gaan vallen zich al wel registreren bij het NCSC en daarmee op de hoogte worden gehouden van cyberdreigingen. Ook al is er nog een jaar geen wettelijke verplichting, het is van groot belang om toch aan de slag te gaan met het verhogen van de cyberweerbaarheid en niet te wachten tot de CBW en WWKE in werking zijn getreden. De cyberrisico’s bestaan nu ook al. Het is zaak om voorafgaand aan de in werking treding van deze wetten al minstens de volgende zaken op orde te hebben:

• Een risico analyse van de fysieke en digitale dreigingen;
• Daarop gebaseerde maatregelen die deze risico’s mitigeren;
• Procedures die cyberincidenten detecteren, melden, monitoren en oplossen

Oktober 2024

Nieuwe NIS2 beveiligingsrichtlijn geldt voor alle middelgrote en grote bedrijven

In november 2022 heeft het Europees Parlement de NIS2-richtlijn met overweldigende meerderheid van stemmen aangenomen. De richtlijn netwerk- en informatiesystemen (NIS) uit 2016 is niet alleen een update van de NIS uit 2016, maar vooral een verhoging van de digitale weerbaarheid van bedrijven en instellingen in Europa. Hiertoe zijn nu minimum cybersecurity standaarden gepubliceerd die in de gehele EU moeten worden geïmplementeerd. De eisen hebben onder meer betrekking op incidentenbehandeling, beveiliging in de keten, encryptie en openbaar maken van kwetsbaarheden.

Naleving van de NIS-richtlijn helpt bedrijven hun systemen en activa en ook die van hun klanten en partners te beschermen. Dit vermindert het risico van dure beveiligingsincidenten en verbetert de veiligheid en continuïteit van het bedrijf. Het aantonen van naleving van de NIS-richtlijn verbetert ook de reputatie en geloofwaardigheid van het bedrijf, omdat het laat zien dat het bedrijf cyberbeveiliging serieus neemt en zich inzet voor de bescherming van de veiligheid en privacy van de informatie van zijn klanten.

De NIS-richtlijn vereist dat organisaties bepaalde technische en organisatorische maatregelen nemen om de beveiliging van hun netwerk- en informatiesystemen te garanderen. Dit betreft meerdere gebieden, zoals procedures voor het verlenen van toegang, het melden van incidenten en de daarmee samenhangende beheerprocessen. De invoering en handhaving van deze maatregelen kan kostbaar zijn en de CISO zal de kosten en baten van de naleving goed moeten motiveren.

De nieuwe regels gelden nu voor zogenaamde “belangrijke sectoren”, zowel voor grote als middelgrote ondernemingen. Als belangrijk gelden in ieder geval de postdiensten, medische sector, levensmiddelen, electra, IT-producten en diensten, chemicaliën, afvalbeheer, machines en motorvoertuigen. Ook zoveel mogelijk overheids- en openbare instanties vallen onder de nieuwe regels. De regels voorzien in een sanctieregime waarbij direct en indirect verantwoordelijken voor cyberaanvallen hard kunnen worden aangepakt.

November 2022

Het IT-verslag komt eraan!

Dagelijks worden we geconfronteerd met cybercrimes. Zowel de frequentie als de impact nemen hand over hand toe. Organisaties moeten zorgen dat ze weerbaar zijn, dat hun IT-systemen een aanval kunnen weerstaan en dat er noodprocedures zijn.

Over de financiële gezondheid van organisaties geven accountants jaarlijks hun oordeel in een accountantsverklaring bij het jaarverslag. Maar die controle geeft geen oordeel over de inrichting van de IT-beheersorganisatie en de beheersing van IT. Laat staan dat daarnaast ruimte is om vast te stellen of een organisatie voldoende weerbaar is tegen toekomstige cyberaanvallen. Een nieuwe rapportagevorm, de IT-auditverklaring, geeft hier invulling aan.

Met een nieuwe verklaring, de IT-auditverklaring, kunnen organisaties en hun stakeholders aanvullende zekerheid krijgen over de weerbaarheid van hun IT systemen.

Als de IT-infrastructuur kwetsbaar is voor datalekken en cyberaanvallen kan een organisatie zomaar omvallen. Stakeholders hebben een groot belang bij assurance over de juiste werking van informatietechnologie. Dan gaat het niet alleen om banken, maar ook leveranciers, consumenten, ratingbureaus, toezichthouders en het maatschappelijk verkeer in brede zin.

De IT-auditverklaring geeft zekerheid bij een door de organisatie zelf opgesteld IT-verslag. Daarin wordt vermeld hoe de beheersing van IT in het afgelopen jaar heeft plaatsgevonden en wat de organisatie heeft gedaan om herhaling van incidenten te voorkomen. Daarnaast gaat het IT-verslag in op de afhankelijkheid en kwetsbaarheid van haar IT systemen en de maatregelen die het heeft getroffen en het komend jaar gaat treffen om de cyberweerbaarheid te vergroten. Het IT-verslag kijkt daarmee niet alleen naar het afgelopen jaar, maar ook naar de toekomst. Dat is voor de stakeholders het meest relevant.

De verwachting is dat externe toezichthouders en banken het IT-verslag en de IT-auditverklaring mee zullen nemen in hun risicobeoordeling van de organisatie. De NOREA is ver gevorderd met het normenkader en verwacht dat in 2022 de standaarden klaar zijn voor invoering.

Rien Hommes