De samenleving digitaliseert in hoog tempo. Dat biedt mogelijkheden voor burgers en bedrijven, maar brengt ook risico’s met zich mee. Daarom is het belangrijk dat het midden- en kleinbedrijf (MKB), en in het bijzonder bedrijven die met gevaarlijke stoffen werken, hun cybersecurity goed op orde heeft. “Dat is nog niet overal het geval”, schrijft demissionair minister van Justitie en Veiligheid Ferd Grapperhaus in een brief aan de Tweede Kamer.

Aanleiding hiervoor was het onderzoek van cybersecuritybedrijf Fox-IT in september onder bedrijven die met gevaarlijke stoffen werken. DCMR Milieudienst Rijnmond had gevraagd een cybervolwassenheidsbeeld vast te stellen. Fox-IT beoordeelde op een vijfpuntsschaal het veiligheidsniveau. Hoe lager de score, des te minder controle het bedrijf heeft over zijn cybersecurityaanpak. Veertig procent van de organisaties scoorde twee punten of lager.

Grote zorgen

DCMR Milieudienst Rijnmond maakte zich grote zorgen om deze uitkomst en vond dat er direct actie moest worden ondernomen. “Bedrijven moeten worden geholpen om digitaal weerbaar te worden. Dat begint al met het in kaart brengen van de eventuele risico’s van cyberaanvallen voor de veiligheid van de werknemers en omgeving.”

Tweede Kamerlid Barbara Kathmann (PvdA) formuleerde schriftelijke vragen voor demissionair minister Grapperhaus en minister van Economische Zaken en Klimaat Stef Blok. Ze vroeg zich af waarom bij een groot deel van de bedrijven onvoldoende aandacht is voor cybersecurity en wat het kabinet eraan doet om de digitale veiligheid bij deze organisaties op te krikken.

Digitale kwetsbaarheid

Minister Grapperhaus schrijft dat de digitalisering van de maatschappij, en van bedrijfsprocessen in het bijzonder, een grote vlucht heeft genomen. De digitale kwetsbaarheid van de gehele maatschappij neemt hierdoor toe. De minister vindt dat het MKB zich bewust is van de gevaren van cyberrisico’s.

Hij stelt dat cybersecurity en het verbeteren van de digitale weerbaarheid een ontwikkelingsproces is en wijst er verder op dat ondernemers zelf verantwoordelijk zijn voor een veilige bedrijfsvoering, en dus ook voor het treffen van adequate maatregelen met betrekking tot cybersecurity. “De digitalisering is door deze bedrijven omarmd, maar dat geldt vaak nog niet voor het treffen van de noodzakelijke cybersecuritymaatregelen”, aldus Grapperhaus.

Gebrek relevante kennis

Een mogelijke factor die bijdraagt aan de tekortkomingen op het gebied van cybersecurity, is volgens de minister een gebrek aan relevante kennis hierover. Dat er zich nog geen ernstig cyberincident heeft voorgedaan bij een bedrijf, kan reden zijn waarom digitale veiligheid daar geen prioriteit is. Tot slot speelt geld daar wellicht ook een rol bij.

Voor bedrijven die met gevaarlijke stoffen werken, is het zaak dat zij hun cybersecurity op orde hebben. Een cyberaanval kan daar grote gevolgen hebben. “De aandacht voor cybersecurity is de afgelopen jaren toegenomen, maar is nog niet bij alle bedrijven op het gewenste niveau. Daarom is het van belang dat bedrijven hier mee aan de slag gaan”, meldt Grapperhaus aan de Tweede Kamer.

Bedrijven zelf verantwoordelijk

Bedrijven zijn daarvoor zelf verantwoordelijk. Dat wil niet zeggen dat de overheid ondernemend Nederland aan zijn lot overlaat. Het ministerie van Infrastructuur en Waterstaat doet er samen met de provincies en bedrijven in de chemiesector alles aan om cybersecurity in deze sector te verbeteren. Daarbij ligt de focus op het vergroten van bewustwording, opbouwen van kennis en onderling delen van ervaringen.

Het ministerie van Economische Zaken en Klimaat onderzoekt momenteel welke bedrijven die in de olievoorziening actief zijn aangewezen kunnen worden als aanbieder van essentiële diensten (AED). De Wet beveiliging netwerk- en informatiebeveiliging (Wbni) verplicht hen om extra strenge beveiligingsmaatregelen te implementeren.

Partijen als het Nationaal Cyber Security Centrum (NCSC) het Digital Trust Center (DTC) adviseren ondernemers die actief zijn in de vitale infrastructuur over digitale dreigingen en incidenten. Indien nodig verlenen ze ook steun aan bedrijven om de continuïteit van hun diensten te borgen. De DTC Informatiedienst deelt proactief alle relevante dreigingsinformatie met het bedrijfsleven. “Tijdig ingelichte bedrijven kunnen namelijk direct maatregelen nemen om de schade van de kwetsbaarheden te beperken”, aldus het DTC.