Handreiking CSR maakt bedrijven bewust van zorgplicht cybersecurity
Naarmate de economie digitaliseert, neemt het belang van goede cybersecurity toe. Voor een groeiend aantal bedrijven is ICT een onmisbaar element in hun bedrijfsvoering geworden. Tegelijkertijd neemt het aantal bedrijven dat producten met een digitale component op de markt zet toe. De beveiliging van deze producten is echter lang niet altijd voldoende. Van vaatwassers tot poppen en van beveiligingscamera’s tot auto’s: regelmatig is er nieuws over beveiligingslekken in producten. Om dit onderwerp meer onder de aandacht te brengen bij bedrijven heeft de Cyber Security Raad (CSR) vandaag een handreiking voor zorgplichten op het gebied van cybersecurity gepubliceerd.
Namens Nederland ICT is Ron de Mos, portefeuillehouder cybersecurity en lid van de CSR, betrokken geweest bij de totstandkoming van de handreiking. In wetgeving is al veel vastgelegd over de verplichtingen van zowel leveranciers als afnemers van ICT. Maar bedrijven zijn zich nog te weinig bewust van deze verplichtingen en de afspraken die ze met elkaar moeten maken. De handreiking draagt er hopelijk aan bij dit bewustzijn te vergroten. Het is een goede toevoeging aan een breed pakket aan maatregelen en initiatieven om Nederland digitaal veiliger te maken.
Nederland ICT organiseert dit voorjaar een workshop voor leden waarin de verschillende zorgplichten uit de handreiking verder worden toegelicht.
Cybersecurity is zo sterk als de zwakste schakel
De handreiking draagt bij aan het beeld van cybersecurity als een verzameling van maatregelen binnen een keten van leveranciers, afnemers en gebruikers. Cybersecurity is zo sterk als de zwakste schakel. Op verschillende momenten hebben verschillende partijen hun eigen rollen en verantwoordelijkheden. Het maken van goede afspraken is dan ook cruciaal. De handreiking helpt om duidelijkheid te scheppen in verschillende aspecten van zorgplicht. Zo staat er een handige checklist in met punten waar alle partijen op moeten letten. Dat begint bij security-by-design en eindigt bij de juiste voorlichting en training van werknemers.
Minimum-eisen, goede afspraken en voldoende budget
Cybersecurity is voor een groot deel maatwerk. Nederland ICT raadt haar leden aan bij de ontwikkeling van nieuwe producten en diensten zo veel mogelijk gebruik te maken van security-by-design. Al tijdens de ontwerpfase moet rekening worden gehouden met de benodigde veiligheidseisen. Dat kan bijvoorbeeld door het toepassen van encryptie, of door gebruikers te dwingen een eigen gebruikersnaam en wachtwoord te kiezen bij het eerste gebruik. We werken met overheden en leden samen aan een minimum aan maatregelen (best practices) om standaardveiligheid van software en hardware te verbeteren.
Daarnaast is het belangrijk dat de afnemer helder heeft waar hij een product voor gaat gebruiken, zodat de leverancier goed kan adviseren over het benodigde veiligheidsniveau. De handreiking benadrukt het belang van goede afspraken hierover. Het is ook van belang om afspraken te maken over onderhoud, updates en andere nazorg. Zowel de gebruiker als de leverancier weet dan waar hij aan toe is. In dat kader raden zetten wij ons in voor goede responsible disclosure procedures, zodat beveiligingslekken snel en veilig kunnen worden gemeld en opgelost.
De CSR concludeert in de handreiking dat er nog onvoldoende aandacht is bij bedrijven voor cybersecurity. Dat blijkt ook uit het feit dat bedrijven te weinig in beveiliging investeren. Als vuistregel stellen wij dat 10% van het IT-budget beschikbaar moet zijn voor cybersecurity. Dat geldt voor het inkopen van de vereiste technische maatregelen, maar bijvoorbeeld ook voor het trainen en voorlichten van personeel.
