Risicoklassenindeling Digitale Veiligheid: een goed begin is het halve werk

Risicoklassenindeling Digitale Veiligheid: een goed begin is het halve werk

In 2016 zaten wij vanuit ThreadStone aan tafel bij het Verbond van Verzekeraars: wij wilden uitleggen dat een ‘Cyber VRKI’ (een indeling in soorten risico’s op het gebied van digitale criminaliteit) interessant kon zijn om vooral de weerbaarheid van het MKB tegen cyberdreigingen te vergroten. Voor ‘gewone’ inbraken hanteren verzekeraars al zo’n indeling. Hieruit volgt bijvoorbeeld dat als je juwelier in de Kalverstraat in Amsterdam bent met een waarde van ‘attractieve zaken’ in de winkel van 2 miljoen euro, dat jouw onderneming maatregelen moet treffen zoals bijvoorbeeld brandwerende rolluiken, een mistgenerator, een alarmknop onder de toonbank etc. (in dit voorbeeld zullen de maatregelen in overleg met de verzekeraar worden vastgesteld).

In januari 2021 is, onder leiding van het CCV, in samenwerking met experts van VNO-NCW, MKB-Nederland, het Verbond van Verzekeraars, de Nationale Politie, Cyberveilig Nederland, NLdigital, het CIO Platform Nederland, Online Trust Coalitie, het Digital Trust Center en het ministerie van EZK een eerste versie van een Risicoklassenindeling Digitale Veiligheid gelanceerd. Zo’n risico-indeling voor cybercriminaliteit maakt cyberweerbaarheid en het belang daarvan voor ondernemers veel begrijpelijker dan praten over ingewikkelde technische IT-zaken. Daar zijn wij ontzettend blij mee. Want wij zetten ons al bijna zeven jaar in, samen met andere partijen in de markt waaronder verzekeraars, voor veilig digitaal ondernemen. Juist voor die ondernemers die niet beschikken over grote budgetten of een toegewijde IT-afdeling in huis.

Bij ThreadStone denken we graag mee. Daarom zijn we met grote nieuwsgierigheid door deze Risicoklassenindeling Digitale Veiligheid heen gelopen. Een goede, solide eerste opzet! Maar we zien zeker ruimte voor een uitwerking. De focus ligt nu erg op technische maatregelen, en minder op beleid en gedrag van mensen zelf. Terwijl dat juist minstens zo belangrijk is in preventie. Daarnaast is de huidige indeling vooral gemaakt op basis van hoe vaak je iets controleert. Wij denken dat een organisatie met een hogere aantrekkelijkheid voor criminelen automatisch ook ándere maatregelen zou moeten treffen in plaats van dat controles alleen vaker worden uitgevoerd. Wij vragen ons ten slotte af in hoeverre deze risico-indeling als ‘hard criterium’ gebruikt gaat worden door de verzekeraars voor bijvoorbeeld het uitsluiten van schades of het toelaten tot cyberverzekeringen. Er zijn namelijk maatregelen opgenomen die op meerdere manieren zijn uit te leggen, wat tot discussies kan gaan leiden.

Zoals wij het zien, lijkt er nog een extra verdiepingsslag nodig. Daarvoor bieden wij graag onze hulp aan. We hebben een lijst met aanbevelingen gemaakt, die wij graag willen delen met het CCV. Want roepen vanaf de zijlijn is niet onze stijl: we werken heel graag mee aan concrete stappen die wij gezamenlijk kunnen zetten. De ervaring die wij onder meer hebben met nulmetingen bij onze klanten komt daarbij goed van pas.

Deel dit artikel