(Deel I) Cyberexpert Marsh: “1-op-3 bestuurders onvoldoende voorbereid op cyberbeveiligingswet”

Een op de drie bestuurders is onvoldoende voorbereid op de nieuwe Cyberbeveiligingswet, die de Nederlandse implementatie van de Europese NIS2-richtlijn omvat. Dat stelt Cyber Practice Leader Sjaak Schouteren van cyberbeveiligingsadviseur Marsh. Het belangrijkste verschil met de bestaande richtlijn is dat bestuurders nu hoofdelijk aansprakelijk zijn als blijkt dat er onvoldoende beveiligingsmaatregelen zijn genomen. Dit vraagt om een nauwe samenwerking tussen IT-afdelingen en bestuurders om de bedrijfsvoering te beschermen tegen cyberincidenten. Reden voor FM.nl om Sjaak Schouteren enkele vragen te stellen. Vandaag deel I van een interview in twee delen. Deel II volgt later deze week.

“Grootste impact van cyberaanval zit in de stilstand van de bedrijfsvoering”

1. FM.nl: Hoe groot is het probleem van onvoldoende beveiligde bedrijven?
Sjaak Schouteren: “Als cybercriminaliteit als een land zou worden gemeten, zou deze activiteit volgens een rapport van Cybersecurity Venture de op twee na grootste economie ter wereld zijn -na de Verenigde Staten en China. Het rapport voorspelt dat cybercriminaliteit wereldwijd in 2023 schade zal veroorzaken ter waarde van 8 biljoen dollar. Deze kosten hebben natuurlijk niet alleen betrekking op slecht beveiligde bedrijven. Want ook goed beveiligde bedrijven kunnen slachtoffer worden van cybercriminaliteit. Echter, slecht beveiligde bedrijven zullen natuurlijk sneller, vaker getroffen worden en de impact zal ook groter zijn.” [Artikel gaat verder na de volgende advertentie]

Leadership in Finance Summit 2024: AI makes you do it!

Bepaal jij wat AI voor je doet, of bepaalt AI straks wat jij zult doen? Kom hierover in gesprek op 7 november met 300 vakgenoten en experts tijdens Leadership in Finance Summit 2024 in Amersfoort. Meld je nu gratis aan en ontdek hoe AI jouw rol van finance leader herdefinieert.

Ja, ik meld me aan

2. FM.nl: Wat is het probleem, zoals de risico’s, de kansen, de kosten van de keren dat het fout gaat?
Sjaak Schouteren: “Uit onze jaarlijkse analyse van cyberclaims in continentaal Europa, zien wat dat de grootste impact zit in de stilstand van de bedrijfsvoering. Dus gemiste omzet en extra kosten die gepaard gaan met het incident. Hierbij kan men denken aan systemen weer op orde brengen maar ook het inhuren van extra personeel omdat de geautomatiseerde systemen -al dan niet tijdelijk- niet meer werken. Deze kosten behelzen ongeveer 70% van de financiële impact. Daarnaast hebben 20-25% van de kosten te maken met de inhuur van juridisch adviseurs en forensisch IT-specialisten die bedrijven bijstaan bij cyberincidenten. Tot slot is de financiële impact van aansprakelijkheidsstellingen, bijvoorbeeld als gevolg van datalekken, zo’n 5-7% van de totale financiële impact.”

3. FM.nl: Waarom zijn bedrijven nog steeds niet optimaal beveiligd tegen cybersecurity?  X Sjaak Schouteren: “Het is vaak een combinatie van de bovenstaande aspecten. Uit ervaring weten we dat het bewustzijn wel groter is geworden. Veel bedrijven weten wel dat ze iets moeten doen maar weten niet wat. Daarom begint het met risico bewustzijn creëren. Door het risico te kwalificeren kun je bepaalde scenario’s met elkaar bespreken. Deze scenario’s kun je, al dan niet met behulp van specialisten, kwantificeren. Daarna heb je goed inzicht in de prioriteiten en kun je kosten/baten afweging maken hoe de risico’s te managen.

We zien helaas nog steeds dat cyberrisico bij de ICT-afdeling belegt wordt en niet bij de directie. Daarnaast zien we ook dat CFO’s die een belangrijke rol spelen in het bewustwordingsproces niet altijd dezelfde taal spreken als de ‘techneuten’ van de ICT-afdeling.”

4. FM.nl: Is er een indeling te maken van de daders? 
Sjaak Schouteren: “Jazeker. Uit onze analyse blijkt dat uit de georganiseerde criminaliteit verreweg de grootse bedreiging komt. Scriptkiddies of rotzooitrappende funhackers maken vaak namelijk een minder grote impact. Ook eigen personeel zien we wel onder de daders voorkomen maar in veel mindere mate. Dit kan met name impact opleveren aangezien deze precies weten hoe systemen werken en welke van belang zijn.”