We kunnen het initiatiefnemers Steven Matheï en Leentje Grillaert moeilijk kwalijk nemen dat ze een resolutie indienen in het federale parlement om meer samenwerking te vragen tussen overheden op vlak van cyberveiligheid voor bedrijven, natuurlijk. Maar het is wel intriest dat zulke oproepen nodig zijn, terwijl cyberveiligheid een van de grootste economische uitdagingen is voor onze bedrijven.
Recent onderzoek toont aan dat cyberaanvallen Belgische bedrijven jaarlijks miljarden euro’s kosten. Bovendien is het niet alleen een financieel probleem: datalekken kunnen leiden tot reputatieschade, verlies van klantvertrouwen en zelfs verstoring van essentiële diensten.
Hoewel er al Europese regelgeving bestaat zoals NIS2, DORA en de CRA, die de cyberweerbaarheid van bepaalde sectoren moeten versterken, blijkt uit de resolutie dat er nog veel werk aan de winkel is. Een gebrek aan coördinatie, onvoldoende middelen en een versnipperd landschap van verantwoordelijkheden lijken de strijd tegen cybercriminaliteit te belemmeren.
In plaats van concrete maatregelen en dwingende verplichtingen, blijft de resolutie steken in vrijblijvende aanbevelingen. Het is hoog tijd dat we de urgentie van cyberveiligheid erkennen en overgaan tot daadkrachtige actie.
Een terechte oproep tot meer actie
Deze resolutie schetst een zorgwekkend beeld van de toenemende cyberdreigingen en de kwetsbaarheid van Belgische bedrijven, met name KMO’s. Ze benadrukt het belang van een doordacht cybersecuritybeleid, niet alleen op technisch vlak, maar ook met betrekking tot de menselijke factor. Ze wijst ook op de noodzaak van een betere coördinatie tussen de verschillende overheidsinstanties en een sterkere regulator die de politiek overstijgt.
Hoewel de resolutie enkele waardevolle aanbevelingen doet, zoals het aanmoedigen van investeringen in cybersecurity en het stimuleren van kennisdeling, blijft het bij vrijblijvende oproepen. Er worden geen concrete verplichtingen opgelegd aan bedrijven of overheden, en er is geen sprake van sancties bij het niet naleven van de aanbevelingen.
Praktische tips voor bedrijven: Neem het heft in eigen handen
Wachten op de overheid om actie te ondernemen is geen optie. Bedrijven moeten zelf het initiatief nemen om hun cyberveiligheid te verbeteren. We lichten enkele krachtige en praktische tips uitgebreid toe:
1. Voer een grondige juridische audit uit
We zouden geen advocaten zijn als we niet zouden openen met een goede juridische tip. Een juridische audit is essentieel om je bedrijf te beschermen tegen de juridische gevolgen van een cyberaanval. Dit omvat:
- Contracten met leveranciers en partners: Controleer of deze contracten duidelijke afspraken bevatten over gegevensbescherming, aansprakelijkheid en beveiligingsverplichtingen.
- SLA’s, maintenance- en supportovereenkomsten: Zorg ervoor dat deze overeenkomsten garanties bieden over de beschikbaarheid, integriteit en vertrouwelijkheid van je gegevens.
- GDPR-compliance: Controleer of je bedrijf voldoet aan de GDPR, inclusief de regels voor gegevensexport en verwerkersovereenkomsten.
- Interne policies en richtlijnen: Zorg voor duidelijke policies en richtlijnen voor uw personeel over gegevensbescherming, wachtwoordbeheer, gebruik van apparatuur, etc.
- Arbeidsovereenkomsten en arbeidsreglementen: Neem bepalingen op over vertrouwelijkheid, gegevensbescherming en het melden van beveiligingsincidenten.
- Verzekeringspolissen: Controleer of je verzekeringspolissen dekking bieden voor cyberrisico’s, zoals datalekken en bedrijfsonderbreking.
- Huurcontracten: Zorg ervoor dat je huurcontract afspraken bevat over de beveiliging van je bedrijfsruimte en de verantwoordelijkheden van de verhuurder bij een inbraak of andere incidenten.
2. Zorg voor een Cybersecurity audit en breng je risico’s in kaart
Een cybersecurity audit gaat verder dan alleen het identificeren van risico’s. Het is een diepgaande analyse van je IT-infrastructuur, processen en procedures om zwakke plekken op te sporen en concrete aanbevelingen te doen voor verbetering. Een cybersecurity audit omvat doorgaans:
- Technisch onderzoek: Scannen van je netwerk, systemen en applicaties op kwetsbaarheden.
- Evaluatie van processen en procedures: Beoordelen hoe je bedrijf omgaat met gegevensbescherming, incidentrespons, etc.
- Menselijke factor: Nagaan of je personeel voldoende bewust is van cyberrisico’s en getraind is om veilig te werken.
De resultaten van de audit vormen de basis voor een gericht actieplan om cyberveiligheid in je organisatie te verbeteren.
3. Neem de nodige Technische en organisatorische maatregelen (TOM’s) om kritieke data te beveiligen
Net als bij de GDPR is het nemen van passende technische en organisatorische maatregelen (TOM’s) cruciaal voor cybersecurity. Het verschil is dat cybersecurity zich richt op de bescherming van alle gegevens van je bedrijf, terwijl de GDPR zich specifiek richt op persoonsgegevens.
Enkele typische voorbeelden van minimaal vereiste TOM’s zijn:
- Sterke wachtwoorden (eigenlijk al lang achterhaald) en multi-factor authenticatie
- Encryptie van gegevens
- Firewalls en antivirus software
- Regelmatige back-ups
- Training van personeel
- Incident responsplan
4. Sluit een cyberverzekering af
Een cyberverzekering kan helpen om de financiële gevolgen van een cyberaanval te beperken, zoals de kosten van herstel, juridische bijstand en schadeclaims. Het is belangrijk om een polis te kiezen die past bij de specifieke risico’s van je bedrijf.
5. Zorg voor een “Incident Respons Plan”
Zelfs met de beste voorzorgsmaatregelen kan een cyberaanval nooit volledig worden uitgesloten. Het is daarom cruciaal om voorbereid te zijn op het ergste en een duidelijk plan te hebben voor het geval dat het toch misgaat. Een incident respons plan is een essentieel onderdeel van jouw cyberbeveiligingsstrategie en kan het verschil maken tussen een beheersbare crisis en een regelrechte ramp.
Een incident respons plan is een gedocumenteerde procedure die beschrijft hoe je organisatie reageert op een cyberbeveiligingsincident, zoals een datalek, ransomware-aanval of andere vormen van cybercriminaliteit. Het plan omvat concrete stappen die moeten worden genomen om de impact van het incident te beperken, de systemen te herstellen en de normale bedrijfsvoering zo snel mogelijk te hervatten.
Hoe ga je concreet te werk?
- Identificeer je kritieke assets: Bepaal welke gegevens, systemen en processen het meest cruciaal zijn voor je bedrijf en welke de grootste impact zouden hebben als ze getroffen worden door een cyberaanval.
- Stel een incidentresponsteam samen: Wijs specifieke rollen en verantwoordelijkheden toe aan verschillende teamleden, zoals een incidentmanager, technische experts, communicatiespecialisten en juridische adviseurs.
- Definieer incidenttypen en ernstniveaus: Maak een lijst van mogelijke cyberincidenten en classificeer ze op basis van hun ernst, zodat je snel kan bepalen welke acties nodig zijn.
- Beschrijf de procedures: Leg gedetailleerd vast welke stappen moeten worden genomen bij elk type incident, inclusief communicatieprotocollen, technische procedures voor het isoleren en herstellen van systemen, en juridische vereisten voor het melden van datalekken.
- Test en oefen het plan: Voer regelmatig oefeningen uit om ervoor te zorgen dat je team goed voorbereid is en weet wat te doen in een crisissituatie.
- Evalueer en verbeter het plan: Na een incident of oefening, evalueer het plan en breng indien nodig verbeteringen aan.
Zorg ook voor permanente follow-up in je bedrijf. Een goed incidentresponsplan is geen statisch document, maar een levend document dat regelmatig moet worden bijgewerkt en aangepast aan de veranderende dreigingen en de specifieke behoeften van uw organisatie. Door proactief te zijn en een solide plan te hebben, kan je de impact van een cyberaanval minimaliseren en je bedrijf snel weer op de rails krijgen.
Vragen over cyberveiligheid of GDPR?
Ons team staat graag voor je klaar. Stuur een mailtje naar info@siriuslegal.be of plan via de link hiernaast een vrijblijvend kennismakingsgesprek meteen in onze agenda.