Elke dag worden er alleen al in Nederland meer dan honderd cyberaanvallen gedaan en die cijfers blijven explosief stijgen. Een op de vijf bedrijven krijgt ermee te maken. Een virus, hacking, DDos-aanvallen, phishing, ransomware en malware: het kan grote gevolgen hebben. Productieprocessen die stil komen te komen, bedrijfsgevoelige informatie die op straat komt te liggen of intellectuele eigendommen die gestolen worden. Het kost een ondernemer veel geld. Een voorzichtige schatting is dat de kosten van cybercriminaliteit wereldwijd op $ 20 biljoen uitkomen in 2026. Een cyberaanval kan bovendien reputatieschade opleveren als bijvoorbeeld persoonlijke gegevens van klanten weglekken. Alle ondernemers moeten zich wapenen tegen cybercriminaliteit, maar niet elk mki-bedrijf heeft daarvoor iemand dedicated in dienst.

Maar is dat genoeg?

Dat gold ook voor Johan Postma die al tien jaar aan het roer staat van Jongia Mixing Technology, leverancier van innovatieve roer- en mengapparatuur. Het bedrijf in Leeuwarden heeft meer dan tachtig jaar ervaring met het maken van mixers, mengers en roerders voor voedingsmiddelen, petro, chemie en bio & milieu en de producten worden wereldwijd verkocht. Vragen over cyber vond hij lastig. Johan: “Natuurlijk waren we bezig met dit thema. We hebben hier alles in de cloud, werken met gestandaardiseerde softwarepakketten en zijn scherp op inlogprocedures. Maar is dat genoeg? Die vraag kon ik moeilijk beantwoorden. Er zijn zoveel bureaus die je kunnen ondersteunen, maar wie kun je vertrouwen en op basis van welke criteria kies je een leverancier op dat gebied? Als ondernemer is cyber niet je core business. De FME-tool Samen Digitaal Veilig was voor mij een goed vertrekpunt en ik ben heel tevreden met de praktische handvatten die FME hiermee aanbiedt.”

Met externe partijen afspraken maken

Een van de learnings uit de tool voor Johan was de ontdekking dat er veel normen beschikbaar zijn. Ook voor de schil van toeleveranciers waarmee hij werkt. “Het was voor mij een bevestiging dat je ook met externe partijen afspraken moet maken en dat daar gestandaardiseerde procedures voor zijn. Ik was me daar niet zo van bewust, maar het bleek dat we in dat opzicht al best veel dingen goed hadden ingeregeld. Lloyds heeft onlangs een audit gedaan waarbij ze onze interne procedures hebben onderzocht. Ze waren onder de indruk en dat komt mede doordat we de FME-tool hebben gebruikt. Tegelijkertijd ben je nooit klaar. In 2024 komt de vernieuwde NiS2-directive (Network and Information Security) waarin richtlijnen staan voor de verbetering van de digitale en economische weerbaarheid van Europese lidstaten. Daar moeten we dus mee aan de slag.” NiS2 is de opvolger van de eerste NiS-richtlijn, ook wel bekend als de NiB, die in Nederland in 2016 is opgenomen in de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni). De richtlijn is een van de onderdelen van het Actieplan Nederlandse Cybersecuritystrategie 2022-2028 van de rijksoverheid.

Onderhouden en optimaliseren

Bewustwording is stap een, het onderhouden en optimaliseren van cyberveiligheid is een tweede. Johan: “Er werken hier 55 mensen en de volgende stap is om al die medewerkers op te lijnen. We organiseren elk kwartaal interne sessies en cyber staat nu vast op de agenda. Om de kennis over te brengen, maar ook om uit te leggen dat een ongeluk in klein hoekje kan zitten. Een te simpel wachtwoord, iets downloaden op de bedrijfscomputer of klikken op een linkje. Daar zit geen kwade opzet achter, maar het kan met zoiets kleins goed misgaan. Als ons bedrijf morgen een cyberaanval krijgt, kan de productie nog wel doordraaien. Maar de tekeningen die wij in huis hebben, vertegenwoordigen een waarde. Dat is ons bedrijfskapitaal en als dat op straat komt te liggen, dan kan ik niet meer verder met dit bedrijf.”

"De tekeningen die wij in huis hebben, vertegenwoordigen een waarde. Dat is ons bedrijfskapitaal en als dat op straat komt te liggen, dan kan ik niet meer verder met dit bedrijf.”

Cybercriminelen zijn slim. En ze worden elke dag slimmer. Het organiseren en onderhouden van cyberveiligheid in een bedrijf is dus nooit af. Johan ziet dat ook: “Mijn kennis over cyber is behoorlijk bijgespijkerd door de tool. Ik zou aanvullend misschien wel een soort cyber balance scorecard willen hebben waarmee ik doorlopend kan toetsen of al mijn maatregelen nog voldoen. En dat als ik onder een bepaald percentage scoor, weet dat ik maatregelen moet treffen. En ook wélke. Ik kan als ondernemer onmogelijk alles op de voet volgen. Ook op het gebied van verzekeringen en het trainen van mijn medewerkers zie ik nog wel een behoefte. Cyberveiligheid heeft ook te maken met het gedrag van mensen.”