Sector werkt aan IT-verklaring als voorwaarde voor lening

Vrouw doet geld in haar spaarpotje

Er is een nieuw initiatief in de maak die de cyberweerbaarheid en cybersecurity van het bedrijfsleven moet vergroten. Ondernemers die een lening nodig hebben om te groeien, moeten straks wellicht een IT-verklaring kunnen overleggen. Daarin is vastgelegd in welke mate een bedrijf bestand is tegen hackers, cyberaanvallen en andere digitale dreigingen. Banken en andere financiële instellingen kunnen deze informatie gebruiken bij hun besluit om al dan niet te investeren in een bedrijf.

Dat schrijft het Financieele Dagblad, dat met diverse partijen en vertegenwoordigers in het bedrijfsleven en de financiële wereld heeft gesproken.

Over de risico’s van verregaande digitalisering

Hackers en cybercriminelen vormen met de dag een groter gevaar voor de nationale veiligheid van Nederland, zeker als ze gericht zijn op bedrijven en organisaties die actief zijn in de vitale infrastructuur. Een cyberaanval in deze sector kan de economie en samenleving ernstig platleggen. De ransomware-aanvallen op het Amerikaanse Colonial Pipeline en vleesproducent JBS zijn daarvan het bewijs. Ook ons land kent hier voorbeelden van: een aanval met gijzelsoftware bij Bakker Logistiek zorgde dagenlang voor lege schappen bij de Albert Heijn.

Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) Pieter-Jaap Aalbersberg bevestigde dit in het rapport ‘Cybersecuritybeeld Nederland 2021’. Daarin noemde hij ransomware een ‘risico voor onze nationale veiligheid’ en ‘een plaag voor het MKB’. Hij waarschuwt dat niet alleen statelijke actoren een gevaar vormen voor ons land. “Ook cybercriminelen kunnen zorgen voor ontwrichting van de maatschappij door bijvoorbeeld vitale processen te verstoren. Ze zijn vaak net zo vaardig als statelijke actoren en hebben vaak ook nauwe banden daarmee.”

De Nationaal Coördinator erkent dat digitalisering kansen met zich meebrengt. Als bedrijven en organisaties echter onvoldoende beveiligingsmaatregelen treffen, brengt dat risico’s met zich mee. Het ene bedrijf besteedt echter meer tijd, geld en energie aan het vergroten van haar digitale weerbaarheid dan de ander. Hierdoor riskeren we dat er in de toekomst een kloof ontstaat. De overheid doet er dan ook alles aan om de digitale weerbaarheid van de politiek en het bedrijfsleven te vergroten.

Nederland is één van de meest gedigitaliseerde landen ter wereld

Ook het MKB denkt actief mee hoe ze haar cybersecurity kan verbeteren. Een initiatief dat momenteel ontwikkeld wordt, is een IT-verklaring. Je kunt het zien als een document en controlemiddel voor bedrijven dat aantoont dat de beveiliging van hun computersystemen op orde is. Investeerders en banken kunnen deze informatie gebruiken bij hun beslissing om al dan niet geld te lenen aan ondernemers.

Volgens Marc Welters, bestuurder bij Norea, de beroepsvereniging voor IT-auditors en bedenker van het initiatief, is het belangrijk dat zo’n IT-verklaring er komt. “Wij zijn één van de meest gedigitaliseerde landen. Andere landen, ook de VS, doen meer op papier. Het is daarom belangrijk dat we ook in de controle voorop lopen”, zo vertelt hij tegen het Financieele Dagblad.

Een IT-verslag is momenteel geen verplicht onderdeel van een accountantsverklaring. Op dit moment worden IT-systemen alleen gecontroleerd als ze een rol spelen in de financiële huishouding. IT-auditors geven enkel verklaringen af voor individuele projecten. Er zijn geen voorschriften of richtlijnen die voorschrijven dat gehele IT-systemen getest moeten worden. Dat kan grote risico’s met zich meebrengen.

Brede steun voor IT-verklaring

Welters zegt dat het voornemen van een IT-verklaring breed wordt gesteund door bedrijven, banken, investeerders en accountantskantoren. Irene Vettewinkel-Raymakers, voorzitter van Norea en auditdirecteur bij ABN Amro, verwacht dat de verklaring belangrijk wordt voor commissarissen en banken. Wido Dalhuisen van accountantsorganisatie BDO bevestigt dat. “In praktijk kan zo’n verklaring heel snel veranderen van ‘nice to have’ in een verplichting. Financiers willen graag zekerheid over de IT-systemen, als ze met een bedrijf in zee gaan.”

Werkgeversorganisatie VNO-NCW en belangenbehartiger MKB Nederland zijn niet tegen een IT-verklaring, maar hebben wel enkele kritische noten. Zij stellen dat niet alle ondernemers toe zijn aan een controleplicht. Ook willen ze weten of de kosten van zo’n IT-check ‘behapbaar’ zijn voor kleinere bedrijven. Tot slot pleiten ze voor een geheimhoudingsplicht voor controleurs en zekerheid over hun onafhankelijkheid tegenover andere dienstverleners.

CSR wil honderden miljoenen euro’s investeren in cyberweerbaarheid

Dat er geïnvesteerd moet worden in het verbeteren van cybersecurity en digitale weerbaarheid wordt niet betwijfeld. Begin april presenteerde de Cyber Security Raad (CSR) het rapport ‘Integrale aanpak cyberweerbaarheid’. Demissionair minister van Justitie en Veiligheid Ferd Grapperhaus vroeg de CSR om advies te geven over de benodigde investeringen om de weerbaarheid van Nederland te verbeteren.

De Raad kwam met het voorstel om tussen nu en 2024 een bedrag van 833 miljoen euro te investeren. Deze gigantische investering is noodzakelijk, omdat de meeste bedrijven en organisaties in ons land hun cybersecurity niet op orde hebben. Daardoor zijn ze vatbaar voor DDoS-aanvallen, datalekken en andere cyberdreigingen. Volgens de CSR wordt onze samenleving continu blootgesteld aan dit soort dreigingen. Daarom is het zaak dat er snel iets aan gedaan wordt.

Politie wil 300 miljoen euro voor doorontwikkeling cyberbestrijding

Theo van der Plas, programmadirecteur digitalisering en cybercrime bij de politie, staat volledig achter deze analyse. “Nederland is een van de meest gedigitaliseerde economieën ter wereld, maar de stappen die zijn gezet wat betreft cyberweerbaarheid zijn nog niet overal toereikend. En dat maakt ons land kwetsbaar”, zegt hij. Het tempo waarin veiligheidsmaatregelen genomen worden moet in zijn ogen ‘echt omhoog’. Het is daarom van groot belang om te investeren in cyberweerbaarheid.

Om het opsporings- en handhavingsapparaat de komende jaren klaar te stomen om digitale dreigingen te bestrijden, is een investering van 300 miljoen euro nodig. Met dat geld kunnen de komende vier jaar 460 fulltime medewerkers aangenomen worden. “Voor de doorontwikkeling van cyberbestrijding en de digitalisering van de politieorganisatie is het aantrekken van hoog opgeleid personeel met specifieke digitale kennis en vaardigheden noodzakelijk”, zo betoogde de politie afgelopen maart.

Techredacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen