Risico-adviseurs VLC: “Deze 3 cybersecurity-maatregelen moeten bedrijven nemen”

In oktober, tijdens de European Cybersecurity Month, wordt cyberveiligheid extra onder de aandacht gebracht. Ongeacht hoe robuust de cyberbeveiliging is, blijven er namelijk voor elk bedrijf kwetsbaarheden bestaan. Daarom verplicht Europese wetgeving bedrijven om zich hiertegen te beschermen. Risico-adviseur VLC & Partners beschrijft een aanpak in drie stappen: het inventariseren van risico’s, het nemen van maatregelen en het verzekeren van restrisico’s.

• Europese Cybersecurity Month in oktober vestigt aandacht op cyberveiligheid
• EU-wetgeving verplicht bedrijven tot bescherming tegen cyberrisico’s
• VLC & Partners adviseert cyberriskmanagement in drie stappen: risico’s inventariseren, maatregelen nemen en restrisico’s verzekeren.
• Volledige cyberbeveiliging onmogelijk; bedrijven moeten afwegen welke maatregelen noodzakelijk en haalbaar zijn
  

Het beschermen tegen cybercriminaliteit is niet langer een vrijwillige keuze voor bedrijven. Europese regelgeving verplicht ondernemingen om maatregelen te nemen. Vanaf volgend jaar moeten financiële instellingen voldoen aan de Digital Operational Resilience Act (DORA). Toezichthouders zoals de Autoriteit Financiële Markten (AFM) en De Nederlandsche Bank (DNB) houden toezicht. Specifieke veiligheidsmaatregelen worden in de komende jaren voor steeds meer bedrijven verplicht.

Risico’s per managementlaag

De noodzaak hiervan is duidelijk voor iedereen. De risico’s van cybercriminaliteit zijn inmiddels tot elke managementlaag doorgedrongen. “Tot voor kort waren bedrijven bang voor inbraak in het bedrijf, nu zijn we bang voor inbraak in het IT-systeem”, aldus Diane Biersteker, Commercieel Directeur Risk van VLC & Partners. “We helpen hen om de risico’s in kaart te brengen, zodat ze op basis van hun risicobeleid weloverwogen beslissingen kunnen nemen voor hun cyberweerbaarheid.”

Er is echter ook het besef dat een organisatie onmogelijk alle risico’s van cybercriminaliteit tot nul kan reduceren. Het gaat erom welke maatregelen noodzakelijk, zinvol en betaalbaar zijn, waar kwetsbaarheid een aandachtspunt blijft en hoe een bedrijf hiermee wil omgaan. Voor elk bedrijf zijn de omstandigheden verschillend; een blauwdruk voor cyberriskmanagement bestaat niet.

Niet alles beheersbaar door snelle ontwikkelingen

Vincent van Beek, Senior Specialist & Practice Lead Cyber Nederland bij VLC & Partners, benadrukt dat inzicht in alle cyberrisico’s niet betekent dat ze allemaal beheersbaar zijn vanwege voortdurende technologische ontwikkelingen. Cybercriminelen richten zich steeds vaker op leveranciers en IT-dienstverleners van organisaties. Contractuele afspraken kunnen helpen, maar sluiten risico’s niet altijd uit.

Het afwegen van risico’s en bijbehorende maatregelen verschilt per bedrijf. Hoewel wettelijke voorschriften toenemen, behouden bedrijven ruimte om eigen maatregelen te nemen. Volledige beveiliging zou samenwerking met leveranciers en klanten bemoeilijken, dus een goede afweging van verplichte en gewenste maatregelen is cruciaal.

Welk risico kan je dragen?

“Vraag je af waar je grootste kwetsbaarheden zitten”, zegt Biersteker. Het monitoren en wegen van cyberrisico’s vraagt om gedegen kennis van regelgeving, technologie en de juridische en financiële impact van risico’s. Van Beek stelt dat verzekeringen tegen cybercriminaliteit steeds populairder worden onder middelgrote bedrijven.

Blijf monitoren

De derde stap in het cyberriskmanagement is de uitvoering van alle maatregelen. Dit omvat niet alleen technische oplossingen zoals firewalls, maar ook gedragsprotocollen en regelmatige evaluaties om ervoor te zorgen dat het risicobeleid actueel blijft met veranderende omstandigheden.