Groot onderzoek van AON: cyberhackers vormen niet alleen een ICT-probleem, maar ook een directierisico.

Veel ondernemers in het mkb zijn vooral bezig met groei, personeel en kostenbeheersing. Begrijpelijk. Maar juist in zo’n periode wordt een ander risico (helaas nog veel te) vaak onderschat: cybercriminaliteit. En dat is opvallend, want uit Aon’s Global Risk Management Survey voor Nederland blijkt dat cyberaanvallen en datarisico het belangrijkste huidige risico zijn voor Nederlandse organisaties. Ook voor de komende drie jaar blijft dit in Nederland op nummer 1 staan.

Dat is een belangrijk signaal voor ondernemers en directeuren in het mkb. Want een cyberincident raakt zelden alleen de ICT-structuur. Het raakt het hele bedrijf.

En precies daar wordt het extra relevant.

NIS2

Met de komst van NIS2, de nieuwe Europese richtlijn voor digitale weerbaarheid, wordt nog duidelijker dat cyberveiligheid niet alleen een zaak is van de IT-afdeling. Het wordt steeds meer een onderwerp voor directie en bestuur. Ook mkb-bedrijven die niet rechtstreeks onder NIS2 vallen, krijgen er vaak indirect mee te maken, bijvoorbeeld via klanten, ketenpartners, leveranciers of verzekeraars die strengere eisen gaan stellen.

Denk aan een medewerker die op een geloofwaardige phishingmail klikt. Of een zwak wachtwoord dat wordt buitgemaakt. Of een softwareleverancier die wordt gehackt, waardoor jouw bedrijf stilvalt. Dan heb je niet alleen een technisch probleem, maar ook omzetverlies, stress, reputatieschade en mogelijk gedoe met privacywetgeving.

Serieuze bedrijfsrisico’s

Dat sluit precies aan bij wat in het rapport zichtbaar wordt. Naast cyberaanvallen staan in Nederland namelijk ook bedrijfsonderbreking, geopolitieke onrust en onvoorspelbaarheid en veranderingen in wet- en regelgeving hoog op de risicolijst.

Wereldwijd worden bovendien ook leveranciersrisico’s, technische storingen en privacyregelgeving, waaronder de AVG, expliciet genoemd als serieuze bedrijfsrisico’s.

Voor het mkb is de les helder: cyberveiligheid gaat niet alleen over het buiten de deur houden van hackers. Het gaat ook over de vraag: kan mijn bedrijf morgen nog draaien als er vandaag iets misgaat?

Concreet zien wij bij mkb-bedrijven vooral deze ICT-risico’s terug:

• phishing en CEO- of CFO-fraude;
• ransomware en afpersing;
• datalekken door menselijke fouten of slecht beveiligde accounts;
• verouderde systemen en ontbrekende updates;
• afhankelijkheid van leveranciers, cloudomgevingen en externe IT-partijen;
• uitval van werkplekken, mail, back-ups of bedrijfskritische software.

Plan van aanpak: een incidentenplan

Het goede nieuws: veel organisaties nemen dit inmiddels serieus. In het Nederlandse deel van het onderzoek geeft 91,1% aan dat er voor cyberaanvallen en datarisico al een plan of formele aanpak aanwezig is. Dat laat twee dingen zien: de dreiging is serieus, en bedrijven weten dat ze niet meer zonder maatregelen kunnen.

Voor ondernemers in het MKB hoeft dat niet ingewikkeld te beginnen. Juist de basis maakt vaak het verschil:

• multi-factor-authenticatie,
• goede back-ups,
• tijdige updates,
• toegangsbeheer,
• security awareness voor medewerkers en
• een duidelijk incidentplan.

Wie dat op orde heeft, verkleint niet alleen de kans op schade, maar vergroot ook de continuïteit van het bedrijf.

En dat is precies waar ook NIS2 in de kern om draait: niet wachten tot het misgaat, maar zorgen dat je organisatie digitaal weerbaar is voordat de schade ontstaat.

Het onderzoek is wereldwijd uitgevoerd (±3.000 respondenten in 63 landen), met een Nederlandse uitsnede.

Dit artikel is geschreven door de communicatie- en marketingafdeling van Mackaay ICT Services.