Vanaf vandaag is de Wet bevordering digitale weerbaarheid bedrijven van kracht, waardoor het Digital Trust Center (DTC), onderdeel van het ministerie van Economische Zaken, sneller vertrouwelijke informatie over cyberdreigingen mag delen met bedrijven. Deze wet is vooral bedoeld om het mkb te helpen, dat vaak minder middelen heeft op het gebied van cybersecurity.
Waar grotere bedrijven doorgaans toegang hebben tot dreigingsinformatie via hun eigen IT-securityteams, hebben lang niet alle kleinere bedrijven deze luxe. De nieuwe wet moet hierin verandering brengen. Het DTC krijgt hierdoor de bevoegdheid om vertrouwelijke informatie over digitale kwetsbaarheden en incidenten te delen met individuele bedrijven.
De wet creëert een juridische basis voor de uitwisseling van specifieke dreigingsinformatie tussen het DTC, het Nationaal Cyber Security Centrum (NCSC) en het Computer Security Incident Response Team (CSIRT). Waar voorheen alleen vitale sectoren zoals energie en telecom toegang hadden tot deze informatie, is deze info nu ook voor het algemene bedrijfsleven toegankelijk.
Dat betekent ook dat bedrijven in gevallen die hen aangaan, sneller kunnen worden geïnformeerd. Zo kan het DTC niet alleen waarschuwen voor bekende kwetsbaarheden, maar ook op specifieke dreigingen wijzen, zoals gelekte bedrijfsinformatie of kwetsbare software.
Terughoudend met delen informatie
Voorheen kon de overheid door wetgeving als de AVG lang niet altijd zelf proactief informatie delen, omdat dit zou botsen met privacy-vereisten. Gevolg was dat de overheid terughoudend moest zijn met het waarschuwen van bedrijven over cyberdreigingen, juist als dat ging over hun eigen systemen of software. Met de nieuwe wet kan het DTC bedrijven tijdig informeren, bijvoorbeeld wanneer tijdens een onderzoek blijkt dat zij doelwit zijn van een aanval of dat hun data, zoals gebruikersnamen en wachtwoorden, zijn buitgemaakt.
Natuurlijk heeft iedereen een eigen verantwoordelijkheid op het gebied van cybersecurity, aldus de verantwoordelijke minister van Economische Zaken Dirk Beljaarts. “Gezien de toenemende dreigingen en complexiteit is dit voor het mkb een grote uitdaging. We zien dat alleen oproepen om alert online te zijn, niet genoeg is om de mkb’ers en hun klanten te ondersteunen.” De Cyber Security Raad (CSR) adviseerde eerder al om specifieke dreigingsinformatie breder te delen.
Uit onderzoek van het Centraal Bureau voor de Statistiek (CBS) bleek eerder dat jaarlijks duizenden bedrijven, zowel groot als klein, slachtoffer worden van cyberaanvallen. Daarom richtte het ministerie van EZ in 2018 het Digital Trust Center (DTC) om het niet-vitale bedrijfsleven te ondersteunen (dat wil zeggen, alles wat geen financiële instellingen, energieleveranciers of telecomaanbieders en dergelijke zijn). De DTC-notificatiedienst speelt hierbij een belangrijke rol. In 2023 waren er meer dan 140.000 notificaties, en voor dit jaar staan de teller al op meer dan 150.000. Dat aantal zal vermoedelijk groeien nu de wetgeving meer informatievoorziening mogelijk maakt.
Eerder al subsidie aangekondigd
Volgens het DTC beschikken kleine bedrijven nog steeds niet allemaal over een goede cyberweerbaarheid. Zo zijn er bijvoorbeeld bij 19 procent van alle kleine bedrijven met minder dan tien medewerkers helemaal geen maatregelen ingesteld om tegen cyberaanvallen te beschermen. Om hen te helpen hun zaken op orde te krijgen, stelde het DTC eerder al een bedrag van 1 miljoen euro beschikbaar.
Kleine bedrijven kunnen deze subsidie gebruiken voor bijvoorbeeld het verbeteren van hun netwerken, het aanschaffen van wachtwoordmanagers, de implementatie van twee-factorauthenticatie, patchbeheer, cybertrainingen, back-ups en het kopen van antivirussoftware.
Lees ook: Tweede ronde Mijn Cyberweerbare Zaak voor kleine bedrijven