IT-professionals voorstander van minimumeisen cybersecurity

(Nederlandse) IT-professionals staan positief tegenover wettelijke minimumeisen voor cybersecurity en digitale weerbaarheid. Dat blijkt uit internationaal onderzoek van security-aanbieder Mimecast. Een overgrote meerderheid van de ondervraagde professionals verwacht dat hun organisatie met dergelijke basiseisen minder kwetsbaar wordt voor cyberaanvallen.

Veel Nederlandse organisaties zijn al wettelijk verplicht om hun digitale beveiliging op orde te brengen. Zo stelt de Wet beveiliging netwerk- en informatiesystemen (Wbni) dat vitale sectoren en digitale dienstverleners adequate beveiligingsmaatregelen moeten nemen om hun netwerken en systemen te beschermen. Privacywet AVG stelt securityeisen aan alle organisaties die persoonsgegevens verwerken. En overheidsorganisaties moeten daarnaast nog voldoen aan de Baseline Informatiebeveiliging Overheid (BIO).

Mimecast heeft onder meer Nederlandse IT-professionals gevraagd wat zij vinden van de invoering van wettelijke minimumeisen voor cybersecurity en digitale weerbaarheid als een soort ondergrens. 90 procent van de Nederlandse respondenten verwacht een positief effect hiervan op het algehele beveiligingsniveau van de organisatie. Volgens 96 procent verkleinen wettelijke minimumeisen de impact van een cyberaanval.

Verplichte basisbeveiliging

Een verplichte basisbeveiliging leidt er verder toe dat managers en bestuurders meer aandacht krijgen voor cybersecurity, zo verwachten de professionals. Wel denken zij dat hun organisatie hogere kosten moet maken om aan de wettelijke eisen te voldoen. Ook zullen organisaties dan minder vrijheid hebben om zelf te bepalen hoe wordt omgegaan met digitale bedreigingen, zoals bij het informeren van stakeholders over een cyberincident.

Dirk Jan Koekkoek, VP bij Mimecast, denkt ook dat wettelijke minimumeisen voor cybersecurity een positief effect kunnen hebben. “Allereerst wordt iedere Nederlandse organisatie dan gedwongen om bewust bezig te zijn met security. En als een goede basisbeveiliging overal vanzelfsprekend wordt, ook bij kleinere bedrijven, profiteert de hele bv Nederland daarvan. Bijvoorbeeld omdat dit het risico op geslaagde cyberaanvallen via ketenpartners verkleint.”

Koekkoek plaatst wel een kanttekening. “Dergelijke wetgeving moet praktisch uitvoerbaar zijn. Het is bijvoorbeeld belangrijk dat alle organisaties gemakkelijk kunnen aantonen dat ze aan de eisen voldoen. Het verplicht stellen van open standaarden zoals DKIM, DMARC en TLS is een goed middel gebleken bij (internationale) overheidsorganisaties. Waarom zouden we dit model niet doortrekken naar andere sectoren?”

Te veel focus op compliance

Verder vreest Koekkoek dat de focus te veel op compliance komt te liggen. “Sommige organisaties zullen alleen het minimale doen, om een vinkje te krijgen. Maar zo werkt cybersecurity niet. De basis is slechts het startpunt. Het beperken van digitale risico’s vereist een gelaagde beveiliging, inclusief een goed geoefend incident-responseplan en security-awarenesstrainingen. Cyberaanvallen vormen een serieuze bedreiging voor de business. Ook zonder wetgeving zou dit een prioriteit in elke bestuurskamer moeten zijn.”

Koekkoek wijst erop dat veel Nederlandse IT-professionals ontevreden zijn over het beschikbare securitybudget. “Zes op de tien IT-professionals geven aan dat het huidige budget voor digitale weerbaarheid binnen hun organisatie niet toereikend is. Vaak is er bijvoorbeeld geen geld voor het upgraden van securityoplossingen en het trainen van personeel. Minimale securityeisen kunnen helpen, maar uiteindelijk moeten organisaties zelf hun verantwoordelijkheid pakken en dit bedrijfsrisico afdekken.”