Vanaf vrijdag 18 oktober zijn Belgische bedrijven verplicht zich beter te wapenen tegen cybercriminelen. ‘Het aantal aanvallen neemt jaar na jaar toe met 60 procent’, zegt Johan Klykens van het Centrum voor Cyberveiligheid België.
Bedrijven uit achttien ‘cruciale’ sectoren worden vanaf vrijdag 18 oktober verplicht om hun niveau van cyberweerbaarheid op te trekken. Het Centrum voor Cyberveiligheid België (CCB) begeleidt en controleert de betrokken bedrijven.
De nieuwe regels gelden niet voor bakkers en boekhouders. Voor wie dan wel?
Johan Klykens (CCB): In België gaat het naar schatting om 2500 bedrijven. Voorbeelden zijn ziekenhuizen, bedrijven actief in afvalverwerking of drinkwatervoorziening, middelgrote en grote ondernemingen in de voedingsindustrie, De Lijn, de NMBS, grote transportbedrijven, enzovoort. Belgische ziekenhuizen bijvoorbeeld zijn al zeer vaak het doelwit geweest van cyberaanvallen. En wereldwijd blijven dat soort aanvallen jaar na jaar toenemen met 60 procent.
Hoe ernstig kunnen de gevolgen zijn?
Klykens: Neem het voorbeeld van ransomware, waarbij de aanvaller jouw data steelt en versleutelt. Pas na het betalen van een geldsom krijg je de sleutel voor je data terug, een vorm van afpersing dus. Wel, er zijn Belgische bedrijven die door zo’n ransomware hun productie hebben zien stilvallen. Er zijn in België zelfs al bedrijven failliet gegaan wegens ransomware.
Wat moeten al die 2500 bedrijven vanaf 18 oktober precies gaan doen?
Klykens: In de eerste plaats moeten ze zich registeren bij het Centrum voor Cybersecurity Belgium –zodat wij bij elk bedrijf weten wie de contactpersonen zijn als er iets misgaat. Wanneer we bepaalde kwetsbaarheden opmerken, kunnen we vervolgens die bedrijven ook waarschuwen.
Tot nu toe hebben 200 bedrijven zich al aangemeld. De rest heeft de tijd tot maart 2025. Verder moeten de bedrijven hun cyberbescherming verhogen én belangrijke incidenten verplicht aan ons melden.
Een alledaagse phishingmail valt daar vast niet onder?
Klykens: Klopt, het moet gaan om significante cyberincidenten die hun werking verstoren. Neem een maakbedrijf dat na een aanval zijn productie ziet stilvallen en daardoor zijn levertermijnen niet meer kan garanderen. Of bijvoorbeeld een bedrijf dat financiële schade lijdt groter dan 250.000 euro. Of wanneer er fysieke schade is aan personen. Denk maar aan de chemische sector: het is niet omdat de IT van een chemisch bedrijf stilvalt, dat ook de chemische processen stoppen. Daar zijn wel degelijk ernstige risico’s aan verbonden. En dat soort incidenten moet dus binnen de 24 uur gemeld worden aan het Centrum voor Cyberveiligheid België.
En hoe moeten bedrijven hun cyberweerbaarheid verhogen? Een firewall en antivirusprogramma volstaan anno 2024 niet?
Klykens: Bedrijven krijgen dertig maanden de tijd om gradueel een reeks maatregelen te nemen. Zoals regelmatig opleidingen voorzien voor het personeel. Een heel eenvoudige en dringende maatregel is het invoeren van ‘multifactorauthenticatie’: om je aan te loggen, gebruik je niet alleen je paswoord maar ook een ander middel –zoals een smartphone met code, een vingerafdruk of gezichtsherkenning. Met die stap kun je alvast 60 tot 80 procent van alle cyberaanvallen vermijden.
Wie zijn de slechteriken waartegen bedrijven zich moeten wapenen?
Klykens: Criminelen op zoek naar geld of aandacht zijn de hoofdmoot. Daarnaast heb je uiteraard ook nog industriële spionage én spionage door staten.
Wie zal controleren of Belgische bedrijven zich aan de nieuwe wet houden?
Klykens: Wij, het CCB, in samenwerking met zogenoemde sectorale overheden. Zoals het FANC voor de nucleaire sector of de FOD Volksgezondheid voor de ziekenhuizen. We kunnen ter plekke inspecties uitvoeren maar ook op afstand screenings doen. Hackers afsturen op een ziekenhuis zullen we niet doen. Maar de meest kritieke bedrijven zullen zelf wel penetratietests laten uitvoeren op hun systemen.
Er zijn in België al bedrijven failliet gegaan wegens ransomwareaanvallen.
Wat met bedrijven die de nieuwe verplichtingen naast zich neerleggen, al is het maar omdat cyberveiligheid ook wel wat geld kost?
Klykens: De wet voorziet in boetes tot 10 miljoen euro of 2 procent van de omzet. Maar voor alle duidelijkheid: dat is absoluut niet de boodschap die we willen brengen. Wij willen vooral bedrijven ondersteunen. Als we merken dat er een probleem is, gaan we dat eerst samen met het bedrijf proberen aanpakken. Ze krijgen dan bijvoorbeeld eerst de kans om een actieplan in te dienen. We kunnen ook wel bepaalde eisen opleggen aan bedrijven, en zelfs bestuurders een verbod opleggen om het bedrijf nog te besturen. Maar voor ons zijn die sancties louter een stok achter de deur.
Afsluitend: hoe staat België ervoor? Hoe goed zijn Belgische bedrijven gewapend tegen de vele cyberdreigingen?
Klykens: In Europese rankings staat België steevast in de top drie. We staan er dus niet slecht voor. Maar dat neemt niet weg dat Belgische bedrijven vaak nog een hele weg af te leggen hebben.
Meer weten? Lees hier alles over het CyberFundamentals Framework, een instrument dat het Centrum voor Cybersecurity Belgium ter beschikking stelt aan Belgische bedrijven.Fout opgemerkt of meer nieuws? Meld het hier