Expertise Cybersecurity

Cybersecurity anno 2021

Bedrijven en instellingen zijn steeds afhankelijker van digitale processen en ICT. En sinds coronatijd is het belang van het gedigitaliseerd (thuis)werken alleen nog maar toegenomen. De samenleving kan niet meer zonder digitale oplossingen, maar deze afhankelijkheid maakt organisaties ook kwetsbaarder. Het gevaar van datalekken groeit en cybercriminelen grijpen waar mogelijk hun kans. De gevolgen voor de getroffen organisaties zijn niet te onderschatten: reputatieschade, bedrijfsstilstand, aansprakelijkheid. Door bijtijds te onderzoeken welke cyberrisico’s uw organisatie loopt, passende beveiligingsmaatregelen te treffen en noodplannen te maken voor als het toch misgaat, vergroot u uw cyberweerbaarheid.

Definitie cybersecurity

Cybersecurity zijn alle beveiligingsmaatregelen die een bedrijf of organisatie neemt om schade te voorkomen door storing, uitval of misbruik van een informatiesysteem of computer.

Veel voorkomende cybersecurity issues

Bedrijfsuitval en/of datalekken door:

• Uitval van systemen, bijvoorbeeld door fouten of niet tijdig doorvoeren van systeemupdates.
• Indirecte aanvallen, bijvoorbeeld door phishing, social engineering, virussen, malware.
• Directe aanvallen, zoals een hack, Ddos-aanval, bedrijfsspionage.
• Malafide medewerkers (‘insider threats), die misbruik maken van bevoegdheden die zij hebben voor de uitvoering van hun werkzaamheden.
• Kwetsbaarheden in het systeem, bijvoorbeeld vanwege verouderde systemen (‘legacy systems’) en niet-tijdig updaten en patchen.

Cybersecurity Wet- en regelgeving

Wetgeving

Ieder bedrijf dat persoonsgegevens verwerkt moet voldoen aan de eisen uit de Europese Algemene Verordening Gegevensbescherming (AVG). In die wet is onder andere opgenomen dat bedrijven voor de bescherming van persoonsgegevens ‘passende technische en organisatorische maatregelen’ moeten treffen. Is er sprake van een datalek, dan moet het bedrijf dat in veel gevallen melden aan de Autoriteit Persoonsgegevens. Op overtreding van de AVG staan forse boetes.

Bedrijven en organisaties in de zogeheten vitale infrastructuur zijn bovendien gebonden aan de Wet beveiliging netwerk- en informatiesystemen (Wbni). Deze bedrijven en organisaties hebben een wettelijke zorgplicht om maatregelen te treffen om beveiligingsrisico’s voor de ICT-systemen zoveel mogelijk te verkleinen. Doet zich toch een cyberincident voor, dan moeten ze dat melden. Vitale aanbieders en aanbieders van essentiële diensten doen dat bij het Nationaal Cyber Security Centrum (NCSC). Aanbieders van essentiële diensten moeten daarnaast ook melden bij de sectorale toezichthouders en digitale dienstverleners bij het CSIRT (Computer Security Incident Response Team). Ook op overtreding van deze wet staan forse boetes.

Los van deze wetten rusten op ieder bedrijf dat van gebruikmaakt van ICT en computersystemen (ongeschreven) zorgplichten voor een goede cybersecurity. Bedrijven en organisaties maken vaak deel uit van een digitale keten met daarin andere bedrijven en soms ook consumenten. Ieder bedrijf is zelf verantwoordelijk voor de gebruikte ICT. Door de ketenafhankelijkheid zijn goede, duidelijke afspraken en risico-inschattingen heel belangrijk.

Branchespecifieke regelgeving

Regelgeving kan zeer branchespecifiek zijn. Een goede cybersecurity is sterk afhankelijk van de aard van het bedrijf of organisatie, de mate waarin (bijzondere) persoonsgegevens worden verwerkt en de mate van afhankelijkheid van technologie. Een ziekenhuis werkt met grote hoeveelheden gevoelige gegevens én is sterk afhankelijk van technologie. Dan maak je andere afwegingen in de cybersecuritystrategie dan voor bijvoorbeeld een productiebedrijf, waarbij de gevoeligheid van persoonsgegevens een minder prominente rol speelt. Overheden of kennisinstellingen moeten op hun beurt weer op een andere wijze omgaan met cybersecuritystrategie.

Multidisciplinaire benadering 

Cyber is een onderwerp dat op bestuursniveau aandacht dient te krijgen vanuit een multidisciplinaire benadering: bestuurders moeten om de tafel met het management, IT-ers en afgevaardigden van de juridische, commerciële en communicatieafdeling.

Alle organisaties met digitale processen in alle denkbare branches lopen cyberrisico’s. Het Cybersecurity Team is in al die branches actief:

• IT- en internetbedrijven
• universiteiten en onderwijsinstellingen
• verzekeraars en verzekeringsmakelaars
• overheden
• zorginstellingen
• bedrijfsleven

Multidisciplinair team

Het is dus belangrijk om cyber vanuit alle verschillende perspectieven te bekijken. Daarom is ook het Cybersecurity Team multidisciplinair samengesteld met experts van diverse disciplines van Dirkzwager: IE/IT, Aansprakelijkheid, Schade en Verzekering en Gezondheidszorg. Door alle specialistische kennis op zowel juridisch gebied als van de specifieke branches samen te voegen, heeft het Cybersecurity Team het volledige overzicht.

Onze diensten

Het Cybersecurity Team kan uw organisatie begeleiden bij het hele proces, van preventie tot juridische afwikkeling.

• Contractmanagement: Welke afspraken heeft u gemaakt en hoe zijn de (cyber)risico’s verdeeld?
• Risicomanagement: Hoe implementeer je cybersecurity in het risicomanagement van de organisatie?
• Incident response: Verzorging van het volledige procesmanagement op het moment dat zich een calamiteit (ransomware, datalek) voordoet. Indien nodig doen wij dit in samenwerking met externe deskundigen zoals IT-forensisch experts en communicatieadviseurs. Daarnaast begeleiden we bij specifieke juridische zaken, zoals melden bij de toezichthoudende autoriteit bij datalekken en ernstige cyberincidenten. Of bepalen van de juridische positie ten opzichte van derden, bijvoorbeeld contractpartijen.
• Corporate compliance: Voldoet de organisatie aan de regelgeving? Cybersecurity is onderdeel van corporate governance en heeft raakvlakken met privacywetgeving. Niet naleven van de regels kan ingrijpende gevolgen hebben.
• Nazorg: Juridische bijstand bij de afwikkeling van schadeclaims en bij geschillen. We verlenen verzekeraars bijstand in dekkingsgeschillen. Bij schadevergoedingen wegens overtredingen van de AVG staan wij de aangesproken partij bij.

Het Cybersecurity Team

Het Cybersecurity Team combineert brede ervaring met digitale technologieën en IT-systemen met diepe kennis van de verschillende branches zoals gezondheidszorg en verzekeringen. Het team staat onder leiding van cybersecurityspecialist Nynke Brouwer, gespecialiseerd in cybersecurity, privacy en aansprakelijkheids- en verzekeringsrecht. Hierop zal zij in de loop van 2021 promoveren aan de Radboud Universiteit in Nijmegen. Met haar specialistische kennis begeleidt Nynke Brouwer verzekeraars bij de (door)ontwikkeling van cyberpolissen.

Verder bestaat het team uit: Ernst-Jan van de Pas, Mark Jansen, Marloes Roetert Steenbruggen-Hulshof, Jeroen Lubbers, Dafne de Boer en Sven Wakker.

Wilt u meer informatie over het cyberteam, cybersecurity, incident response of cyberverzekeringen of wilt u een afspraak maken? Dan kunt u contact opnemen met Nynke Brouwer, 026 353 83 12 of mail naar brouwer@dirkzwager.nl.