Tag: cybersecurity

De rol van organisatiegrootte bij NIS2

Posted on by Dennis Jak

Niet alleen is het belangrijk om te weten wat de NIS2 inhoudt, maar ook of uw organisatie ermee te maken krijgt. De NIS2-richtlijn richt zich op sectoren die eerder al onder de NIS-richtlijn vielen, maar ook op een aantal nieuwe sectoren. Daarin heeft de overheid een verdeling gemaakt in Zeer kritieke sectoren en Andere kritieke sectoren. Maar tot welke sector behoort u en is dat de enige criteria om aan de NIS2-richtlijn te moeten voldoen?

Er is meer

Niet alleen de sector waarin een organisatie actief is, maar ook de grootte ervan bepaalt of een organisatie onder de NIS2-richtlijn komt te vallen. Daarvoor zijn twee categorieën in het leven geroepen met duidelijke criteria:

Een grote organisatie heeft:

  • Minimaal 250 personen in dienst 

OF

  • Een jaaromzet van meer dan 50 miljoen euro, en een balanstotaal van meer de 43 miljoen euro 

Een middelgrote organisatie heeft:

  • Minimaal 50 personen in dienst

OF

  • Een jaaromzet van meer dan 10 miljoen euro en een balanstotaal van meer dan 10 miljoen euro

Aan de behulp van bovenstaande criteria wordt vervolgens gekeken in welke sector een organisatie valt. Zoals eerder genoemd zijn er twee sectoren die bepalen of u zich aan de richtlijn moet houden:


Zeer kritieke sectoren
Andere kritieke sectoren
EnergieDigitale aanbieders
TransportPost- en koeriersdiensten
BankwezenAfvalstoffenbeheer
Infrastructuur financiële marktLevensmiddelen
GezondheidszorgChemische stoffen
DrinkwaterOnderzoek
Digitale infrastructuurVervaardiging / manufacturing
Beheerders van ICT-diensten
Afvalwater
Overheidsdiensten
Lokale overheden
Ruimtevaart
Bron: NCTV

Hoe zit dat met micro- en kleinbedrijven?

Heeft u een kleinbedrijf? Dan valt u in principe niet onder de NIS2-richtlijn. Ook met een microbedrijf is dit de regel. Toch kan daar nog een wijziging in komen. Het is namelijk zo dat de vakminister (minister die verantwoordelijk is voor een bepaalde sector) ervoor kan kiezen om een micro- of kleinbedrijf alsnog onder de richtlijn te laten vallen op basis van een risicobeoordeling. 

En er zijn nog een aantal uitzonderingen. Zo vallen de sector Overheid, aanbieders van openbare elektronische communicatienetwerken en -diensten, aanbieders van vertrouwensdienstverleners, registers voor topleveldomeinnamen, DNS-dienstverleners en verleners van domeinnaamregistratiediensten hoe dan ook onder de NIS2-richtlijn. Voor deze organisaties geldt dat het niet uitmaakt wat de omvang is en hoe dan ook onder de Cyberbeveiligingswet komen te vallen. (Bron: NCTV)

Zoals u merkt, staat het al vast welke organisaties sowieso te maken krijgen met de NIS2-richtlijn, maar nog niet welke organisaties erbuiten vallen. Dit komt doordat de richtlijn nog vertaald wordt naar de Nederlandse wetgeving en vakministers nog mogen bepalen of een micro- of kleinbedrijf wel of niet onder de richtlijn valt.

Mocht het voor u onduidelijk zijn of u te maken krijgt met de NIS2, dan kunt u voor meer informatie gerust contact opnemen met een van onze medewerkers via 0251-278990 of via .

Cybercrime onder de loep

Posted on by Dennis Jak

Het digitale tijdperk heeft bedrijven en IT-leveranciers blootgesteld aan een toenemend risico van cybercrime, waarbij ransomware een van de meest verwoestende vormen is. Deze dreiging heeft niet alleen aanzienlijke financiële gevolgen, maar kan ook juridische complicaties met zich meebrengen die van invloed zijn op zowel bedrijven als IT-leveranciers. In dit artikel zullen we dieper ingaan op dit onderwerp.

Wanneer een organisatie wordt getroffen door ransomware, kunnen de daders aanzienlijke bedragen aan losgeld eisen wat gevolgen heeft voor de financiën van het bedrijf. En zelfs als het losgeld wordt betaald, is er geen garantie dat de gegevens veilig zullen worden ontsleuteld of niet alsnog worden gelekt of verkocht. Dit kan leiden tot aanzienlijke financiële verliezen en gegevensverlies.

De Cybersecuritymonitor 2022, gepubliceerd door het Centraal Bureau voor de Statistiek (CBS), wordt mede op verzoek van het Ministerie van Economische Zaken en Klimaat gemaakt. Het rapport toont aan dat 11% van de bedrijven met twee of meer werknemers in dienst zich genoodzaakt voelde om losgeld te betalen bij een aanval. In de helft van deze gevallen was de hoeveelheid losgeld goed voor meer dan 50% van de omzet. De hoogte van het percentage werd vooral gevoed door kleinere bedrijven die ten opzichte van grotere bedrijven een lagere omzet hebben.

Hersteltraject

De financiële gevolgen bij een ransomware-aanval beperkt zich niet tot de aanval zelf. Wanneer inbreuk is gemaakt in een computersysteem moet deze worden hersteld. Daarnaast is het in veel gevallen noodzakelijk om een cybersecurity-expert in te schakelen.

Naast het herstellen van systemen kan een inbreuk in systemen ook het verlies van productiviteit en een mogelijke verstoring van de bedrijfsvoering veroorzaken. Wanneer systemen zijn versleuteld, kunnen medewerkers hun dagelijkse werkzaamheden niet voortzetten, wat leidt tot verlies van inkomsten en reputatieschade.

Juridische gevolgen voor bedrijven

Het niet adequaat beschermen van klant- en werknemersgegevens kan resulteren in rechtszaken en aansprakelijkheidsclaims van personen wie hun persoonlijke informatie is aangetast. Met de komst van de AVG-wetgeving in 2018, zijn toezichthouders extra waakzaam geworden wat betreft privacy. Tevens is de NIS2 in aantocht en brengt deze richtlijn strengere beveiligingsnormen en meldingsvereisten bij incidenten. Bedrijven kunnen aansprakelijk worden gesteld voor schadevergoedingen aan degenen van wie gegevens zijn gestolen.

De rol van IT-leveranciers

IT-leveranciers dragen ook een deel van de verantwoordelijkheid bij ransomware-aanvallen. Als hun producten of diensten zwakheden in de beveiliging vertonen die de aanvallen mogelijk hebben gemaakt, kunnen zij juridisch aansprakelijk worden gesteld. Dit benadrukt het belang van robuuste beveiligingsmaatregelen in de ontwikkeling van IT-producten.

IT-leveranciers moeten niet alleen de beveiliging van hun producten waarborgen, maar ook proactief advies bieden aan hun klanten bij het beveiligen van hun systemen. Dit omvat het verstrekken van beveiligingsupdates en richtlijnen voor best practices.

Bescherming tegen ransomware

Bedrijven moeten proactieve stappen ondernemen om zichzelf te beschermen tegen ransomware. Dit omvat het investeren in geavanceerde beveiligingsmaatregelen zoals end-to-end versleuteling, multifactor authenticatie en continue monitoring van systeemactiviteiten om verdachte gedragingen te detecteren. Het hebben van robuuste back-up- en herstelplannen is essentieel. Als een bedrijf een recente back-up van zijn gegevens heeft, kan het een ransomware-aanval overleven zonder het losgeld te betalen.

Daarnaast moeten bedrijven investeren in cybersecurity training voor hun medewerkers, omdat veel ransomware-aanvallen beginnen met phishingmails of social engineering. Het is daarom raadzaam om personeel te trainen voor het herkennen van verdachte e-mails en links.

Sla de handen ineen tegen cybercrime

Ransomware blijft een ernstige bedreiging voor bedrijven en IT-leveranciers in de toekomst. De financiële en juridische gevolgen van ransomware-aanvallen kunnen verwoestend zijn. Bedrijven moeten proactieve maatregelen nemen om zichzelf te beschermen, terwijl IT-leveranciers een grotere verantwoordelijkheid hebben om de juiste beveiligingsmaatregelen te implementeren en hun klanten te ondersteunen bij het waarborgen van de beveiliging van hun systemen. Het voorkomen van ransomware is van vitaal belang om financiële verliezen en juridische complicaties te minimaliseren.

Wilt u meer informatie over internetveiligheid en systeembeveiliging? Aarzel niet om contact op te nemen met één van onze medewerkers via 0251-278990 of via .

Goed voorbereid NIS2 tegemoet gaan

Posted on by Dennis Jak

Om de veiligheid van alle gegevens te waarborgen, zijn er richtlijnen. En deze worden continu verbeterd en aangescherpt, zo ook NIS. Deze richtlijn is op het moment nog geldig, maar wordt binnenkort vervangen door NIS2. Een opvolger die voor verbetering van de weerbaarheid van netwerk- en informatiesystemen binnen de EU-lidstaten moet zorgen. Maar terwijl de Network and Information Security directive (NIS2) naar de Nederlandse wetgeving wordt vertaald, kunnen we er wel dieper op ingaan. Misschien dat de richtlijn nu nog niet op uw bedrijf van toepassing is, maar dat zou kunnen veranderen. En wat betekent deze nieuwe richtlijn dan voor uw bedrijf en waar moet u straks op letten? 

NIS2 vergroot reikwijdte

Waar NIS beperkt is tot een aantal sectoren, wordt dat voor NIS2 uitgebreid. Niet alleen sectoren als energie, digitale infrastructuur, gezondheidszorg, overheidsdiensten en bankwezen vallen onder de richtlijn. Met het ingaan van de opvolger valt nu ook de sector Overheid onder de richtlijn. Verder is het eenvoudig, levert een (uw) bedrijf essentiële diensten? Dan gelden de nieuwe cybersecurity richtlijnen ook hiervoor. Kleine mkb-bedrijven krijgen dus ook te maken met de NIS2. Organisaties met meer dan 50 medewerkers en een omzet van 10 miljoen, moeten kunnen aantonen dat zij voldoen aan de nieuwe cyberwet. Bedrijven die hier onder zitten, zullen in de meeste gevallen niet te maken krijgen met de nieuwe richtlijn. Maar met de voorbereidingen op de nieuwe wetgeving nog in volle gang, wordt nog gewerkt aan de precieze definitie van ‘essentieel’. 

Strengere beveiligingsnormen en meldingsvereisten 

Voor bedrijven die straks onder de vernieuwde richtlijn vallen, gelden een aantal verplichtingen:

  • De zorgplicht: deze verplicht bedrijven en organisaties om zelf een risicobeoordeling te doen. Kan de veiligheid nog gewaarborgd worden en hoe kan dit met passende maatregelen verbeterd worden. 
  • De meldplicht: Een incident moet binnen 24 uur gemeld worden bij een toezichthouder. Het gaat dan om gevallen waarbij de dienstverlening ernstig verstoord wordt. Wanneer het gaat om een cyberincident moet het ook bij het Computer Security Incident Response Team gemeld worden. 
  • Toezicht: Niet alleen zijn er de zorg- en meldplicht, bedrijven die onder de NIS2 vallen komen ook onder toezicht te staan. Een onafhankelijke toezichthouder moet ingeschakeld worden om de naleving van onder meer de zorg- en meldplicht in de gaten te houden. 

Voorbereiden op wat komen gaat

Om niet helemaal overvallen te worden zijn er al een aantal dingen die u kunt doen om uw bedrijf op orde te hebben voor NIS2. Zo bestaat er voor overheidsinstellingen al de Baseline Informatiebeveiliging Overheid. Deze basis normenkader voor informatiebeveiliging is een goed startpunt. Maar voor bedrijven buiten de overheid, die wel onder NIS2 gaan vallen, is het goed om de volgende punten eens na te gaan:

  • Derde partijen: Wanneer leveranciers waar u mee werkt zich niet goed aan de toegangsbeheer maatregelen houden, kunnen ze ervoor zorgen dat er kwetsbare plekken ontstaan in het systeem.
  • Authenticatie: Een extra beveiligingslaag die gebruikers verplicht om hun identiteit te verifiëren, door middel van multi-factor authenticatie. Deze authenticatie biedt bescherming. Zonder is een systeem kwetsbaar voor aanvallen van buitenaf en het stelen van gegevens. 
  • Te veel toegangsrechten: Wanneer gebruikers meer toegang hebben tot data dan nodig is om hun werk uit te kunnen voeren, vormt dit een risico. 
  • Accounts beschermen: Gecompromitteerde accounts kunnen een bedreiging voor de veiligheid vormen. Ga na welke nog in gebruik zijn en zorg voor gebruikersnamen en wachtwoorden met multi-factor authenticatie. 

Geen NIS2 voor uw bedrijf?

Dat kan natuurlijk. Als uw bedrijf minder dan 50 werknemers heeft en geen omzet van 10 miljoen euro behaalt, kan het zomaar zijn dat u niet aan de richtlijn hoeft te voldoen. Toch is het ook voor uw bedrijf belangrijk om de cybersecurity op orde te hebben. Om de beveiliging van gegevens te waarborgen kunt ook u bovengenoemde stappen nagaan.
Wanneer u weet dat uw bedrijf onder de NIS2 komt te vallen, is het verstandig om het bedrijf hierop voor te bereiden door middel van eerdergenoemde stappen. Daarnaast zal DSE IT-Services u ook op de hoogte blijven houden over de ontwikkelingen. Voor meer informatie over de aankomende richtlijnen kunt u contact opnemen met een van onze medewerkers via of bel 0251-278990.

Wist u dat…

Posted on by Dennis Jak

Voor het zesde jaar op rij heeft het Centraal Bureau voor de Statistiek de cybersecuritymonitor uitgebracht. Met dit rapport wordt inzichtelijk gemaakt hoe de cyberweerbaarheid van Nederlandse bedrijven en huishoudens is. Het CBS heeft voor dit onderzoek bedrijven van verschillende groottes en vijf bedrijfstakken onderzocht. De sectoren zijn de zorgsector, horeca, financiële dienstverlening, industriesector en de ICT-sector. Een kort overzicht van de onderzoeksresultaten. 

Meer maatregelen tegen cyberdreigingen

Er is een positieve ontwikkeling gaande als we het hebben over de maatregelen die bedrijven nemen tegen cyberdreigingen. Als het gaat om antivirussoftware, authenticatie via soft- of hardwaretoken en VPN internetgebruik buiten het bedrijf, dan is daarin een toename te zien. Wel is er bij sectoren die meer met ICT te maken hebben of waarbij data van groot belang is, beter gescoord dan een sector als de horeca waarbij cybersecurity minder vanzelfsprekend is. 

Bedrijven met cyberincidenten 

Nog een positieve ontwikkeling is het aantal incidenten die afnemen. Daarbij wordt onderscheid gemaakt tussen incidenten door eigen toedoen en incidenten door een aanval van buitenaf. Door de jaren heen hebben grote bedrijven consistent meer incidenten gehad dan kleine bedrijven. Vaak hebben grotere bedrijven ICT-specialisten in dienst, waardoor cybersecurityincidenten vaker gedetecteerd worden. 

Ransomware-aanvallen

Voor het eerst werd er bij deze editie van de cybersecuritymonitor navraag gedaan naar ransomware-aanvallen, oftewel gijzelsoftware. Uit onderzoek blijkt dat er in 2021 in totaal 6.300 ransomware-aanvallen bij bedrijven zijn geweest. 4.000 Van deze gevallen waren bij zzp’ers. Toch hebben procentueel gezien, grote bedrijven meer last van ransomware (4%), dan zzp’ers (0,3%). 

Zo’n 11% van de bedrijven met twee of meer werknemers hebben het losgeld betaald. Het gaat bij ongeveer de helft van de gevallen om een bedrag van meer dan 50% van de omzet. Een kleine kanttekening is hierbij van belang, aangezien dit getal verklaard wordt door de kleine bedrijven die doorgaans een lagere omzet hebben. 

Nog altijd is het van belang om de cybersecurity op orde te hebben, aangezien een ongeluk in een klein hoekje zit. Mocht u meer informatie willen hebben over het beveiligen van uw data, dan kunt u contact opnemen met een van onze medewerkers via of bel 0251-278990.

Waarom het periodiek wijzigen van wachtwoorden juist niet veilig is

Posted on by Dennis Jak

Bij het lezen van bovenstaande zin denkt u misschien ‘Dat is toch juist de bedoeling om veilig digitaal te kunnen werken?’ Organisaties en individuen werden aangemoedigd om regelmatig hun wachtwoorden te veranderen om zo de veiligheid van hun online accounts te waarborgen. Recente inzichten in de wereld van cybersecurity hebben deze conventionele wijsheid in twijfel getrokken. Het periodiek wijzigen van uw wachtwoorden blijkt namelijk niet zo veilig te zijn als eens werd gedacht. In dit artikel gaan we er dieper op in.

Moeilijk te onthouden wachtwoorden

Niet iedereen staat er om te springen om weer een rondje wachtwoorden te gaan wijzigen. Het regelmatig veranderen hiervan kan zelfs leiden tot het gebruik van eenvoudige en gemakkelijk te onthouden wachtwoorden. Mensen hebben de neiging om wachtwoorden te kiezen die niet te complex zijn. Een moeilijk en creatief wachtwoord heeft grote kans dat het niet wordt onthouden. Om dit te voorkomen wordt er eerder gebruikgemaakt van zwakke wachtwoorden als ‘Peulenschil123’ en deze zijn gemakkelijk te raden voor hackers. Bovendien kan het herhaaldelijk veranderen leiden tot inlogcodes die op elkaar lijken, met minimale variatie. Voortbordurend op de peulenschil, zou deze makkelijk aan te passen zijn naar ‘123Peulenschil’. Voor de gebruiker makkelijk te onthouden, maar voor aanvallers makkelijk om het patroon te herkennen en eenvoudig het te kraken.

Gebrek aan creativiteit in wachtwoord keuze

Wanneer mensen hun wachtwoorden regelmatig moeten wijzigen, ontbreekt vaak de motivatie om creatieve en sterke wachtwoorden te bedenken. In plaats daarvan gebruiken ze vaak eenvoudige variaties van hun bestaande wachtwoorden, zoals de eerder genoemde ‘peulenschil’. Het toevoegen van een cijfer aan het einde of het vervangen van letters door cijfers of symbolen ligt voor de hand, maar ook dit resulteert in wachtwoorden die gemakkelijk te hacken zijn. Zeker wanneer er al  toegang is tot basisinformatie zoals de naam of geboortedatum. Het zogenoemde ‘out of the box’ denken wordt niet toegepast op het creëren van een sterke inlog.

Het menselijke element

Niet alleen is het aanspreken van de creativiteit een issue, het regelmatig veranderen in zijn geheel wordt gezien als een last. Nieuwe creaties moeten bedacht worden en moeten onthouden worden of ergens veilig worden opgeslagen. Het gevolg is vaak dat de wachtwoorden opgeschreven worden op papier of dat men gebruikmaakt van dezelfde inlogcodes voor meerdere accounts. En dat laatste is funest voor de veiligheid. Naast dit alles kunnen gebruikers ook gefrustreerd raken door het regelmatig wijzigen van wachtwoorden, wat kan leiden tot verminderde productiviteit en naleving hiervan.

Verleg de focus

Regelmatig broeden op een nieuw wachtwoord kan de aandacht van andere belangrijke beveiligingsmaatregelen wegnemen. In plaats van zich te concentreren op het creëren van sterke wachtwoorden, zouden gebruikers en organisaties hun inspanningen beter kunnen richten op het implementeren van multifactor authenticatie (MFA) met bijvoorbeeld Microsoft Authenticator of een vergelijkbaar medium. Het bijhouden van software-updates, het monitoren van verdachte activiteiten en het onderwijzen van gebruikers over phishing-aanvallen en sociale engineering zijn net zulke belangrijke punten voor de veiligheid als een sterk wachtwoord. 


Het suf staren op een uniek wachtwoord is niet nodig, maar de veiligheid waarborgen wel. Naast een sterk wachtwoord is het zaak om up-to-date te blijven als het gaat om cybersecurity. Wilt u meer weten over het beveiligen van uw gegevens? Dan kunt u altijd contact opnemen met onze medewerkers via of bel 0251-278990.