De digitale transformatie opent talloze deuren voor ondernemers, maar brengt ook nieuwe kwetsbaarheden met zich mee. Cyberaanvallen nemen toe en kunnen bedrijven grote schade toebrengen. Hoe kan je jouw onderneming hiertegen wapenen? Het Centrum voor Cybersecurity België deelt tien essentiële tips om je digitale veiligheid te garanderen.
1. Maak back-ups
Een back-up is je reddingsboei bij cyberincidenten. “Door je belangrijkste gegevens op een externe harde schijf of in de cloud op te slaan, voorkom je permanent verlies bij een crash, hack of storing. Maak regelmatig back-ups en test ze ook, zodat je zeker weet dat je je bestanden correct kunt laten herstellen. Bewaar minstens één kopie op een externe locatie, zodat je ook bij brand of diefstal beschermd bent. Hoe actueler je back-up, hoe minder gegevens je kwijt bent. Volg de handleidingen van je besturingssysteem om eenvoudig een back-up in te stellen. Controleer daarnaast of je automatische back-ups kunt inschakelen, zodat je altijd up-to-date kopieën hebt.”
2. Gebruik antivirussoftware
Antivirussoftware is een onmisbare verdedigingslinie tegen malware en cyberdreigingen. “Installeer een betrouwbare virusscanner en voer meteen een volledige scan uit om verborgen dreigingen op te sporen. Stel automatische updates in, zodat je antivirusprogramma nieuwe virussen tijdig herkent en verwijdert. Controleer of je software regelmatig actief is en start handmatig een scan als je verdachte activiteit opmerkt. Krijg je een waarschuwing? Informeer dan je ICT-team of collega’s om verdere besmetting te voorkomen. Raadpleeg een neutrale testwebsite of je internetprovider voor een betrouwbare virusscanner.”
Zelfs met een sterk wachtwoord loop je risico. Gebruik daarom tweefactor-authenticatie (2FA) om je accounts extra te beveiligen.
3. Installeer updates
Updates zorgen ervoor dat je software en besturingssysteem veilig en optimaal blijven werken. “Ze verhelpen fouten, voegen verbeteringen toe en dichten beveiligingslekken die cybercriminelen kunnen misbruiken. Sluit je toestel dagelijks af, zodat updates zich automatisch installeren bij het heropstarten. Krijg je een melding voor een update? Voer die dan meteen uit om risico’s te minimaliseren. Waar mogelijk stel je automatische updates in, zodat je altijd de nieuwste bescherming hebt. Controleer regelmatig of al je programma’s de nieuwste versie hebben, ook minder gebruikte applicaties. Zelfs kleine beveiligingsupdates kunnen het verschil maken tussen een veilig systeem en een cyberaanval.”
4. Multi-factor authenticatie is een prioriteit
Zelfs met een sterk wachtwoord loop je risico. Gebruik daarom tweefactorauthenticatie (2FA) om je accounts extra te beveiligen. “Dit is een extra stap bij het inloggen, zoals een sms-code, een e-mailverificatie of een vingerafdruk. Zonder deze extra controle kunnen hackers je account niet zomaar overnemen, zelfs als ze je wachtwoord kennen. Gebruik verschillende wachtwoorden voor verschillende accounts om verdere schade te beperken als één wachtwoord uitlekt.”
5. Bescherm je wachtwoorden
Je accounts en wachtwoorden beschermen betekent je bedrijfsgegevens beschermen. “Zorg ervoor dat je nooit wachtwoorden deelt en bewaar ze niet in een document of e-mail. Een hacker met toegang tot je computer kan deze bestanden eenvoudig vinden. Moet je een account delen met een collega? Gebruik dan een wachtwoordkluis, waarin je wachtwoorden veilig opslaat en eenvoudig beheert. Daarnaast is het cruciaal om lange wachtwoorden te gebruiken: minstens 13 tekens met een combinatie van letters, cijfers en symbolen. Een wachtwoordzin met onverwachte woorden en tekens kan een goed alternatief zijn.”
6. Investeer in firewallsoftware
Een firewall fungeert als een digitale poortwachter die ongewenste toegang tot je netwerk blokkeert. “Met de juiste instellingen bepaal je welke informatiestromen veilig zijn en welke bedreigingen buiten blijven. Installeer en configureer firewallsoftware om gegevensdiefstal en cyberaanvallen te voorkomen. Door filterregels in te stellen, bepaal je wie toegang krijgt tot je systemen. Zo bescherm je je gevoelige gegevens, voorkom je dat hackers binnendringen en vermijd je dus datadiefstal. Een goed ingestelde firewall is een essentiële stap naar een veilig IT-netwerk.”
7. Herken en vermijd phishing
Cybercriminelen misleiden slachtoffers via valse e-mails, websites of berichten om toegang te krijgen tot gevoelige informatie. “Leer phishing herkennen en laat je niet misleiden door verdachte links, ongebruikelijke verzoeken of dringende taal. Open geen bijlagen of links in twijfelachtige berichten en neem bij twijfel rechtstreeks contact op met de afzender via een officieel kanaal. Een klik kan malware activeren, waardoor hackers je bestanden kunnen blokkeren of stelen. Train ook je medewerkers om phishing-pogingen te doorzien en zo de veiligheid van je systemen en gegevens te garanderen.”
NIS2 omvat meer duidelijke maatregelen, uitgebreidere regels rond incidentmelding, strengere en specifiekere sanctieregels.
8. Wees op de hoogte van de Europese NIS-regelgeving
Europa heeft in 2016 een richtlijn voor cybersecurity uitgevaardigd, die alle lidstaten in wetgeving moe(s)ten omzetten. Dat heeft in België op 7 april 2019 geleid tot de NIS-wet (NIS staat voor ‘Network and Information Systems’, red.). “De Europese NIS-richtlijn had drie doelstellingen. Ze verplichtte de nationale overheden om de nodige aandacht aan cybersecurity te spenderen. Ten tweede moest het de Europese samenwerking tussen cybersecurity-autoriteiten versterken. Daarnaast moesten de belangrijkste operatoren in de meest cruciale sectoren extra veiligheidsmaatregelen nemen en incidenten melden.”
NIS1 slaagde er evenwel niet in alle vooropgezette doelstellingen af te vinken. “Het leverde overal in Europa wel positieve resultaten op, maar het toepassingsgebied was te beperkt en er was nogal wat onduidelijkheid over de doelgroep voor wie NIS1 van kracht was. Dat leidde tot een inefficiënte toepassing en dito sanctionering.”
Daarom kwam Europa met een verstrengde opvolger – NIS2 – op de proppen. Die behoudt dezelfde doelstellingen als NIS1, maar breidt het aantal entiteiten en sectoren die tot de doelgroep behoren enorm uit. “Daarnaast omvat ze meer duidelijke maatregelen, uitgebreidere regels rond incidentmelding, strengere en specifiekere sanctieregels én een sterke responsabilisering van het topmanagement van elke entiteit.”
9. Bekijk of je bedrijf NIS2-plichtig is
België nam die nieuwe richtlijn heel ernstig en was zelfs de eerste om die volledig te vertalen naar de nieuwe NIS2-wetgeving, die op 18 oktober 2024 in voege is getreden. Wat moet je als entiteit nu doen in het NIS2-verhaal? Daarvoor werkte het CCB een zevenstappenplan uit, waarvan je de uitgebreide versie online kan vinden.
- Heeft NIS2 op mij betrekking?
- Registreer jouw NIS2-entiteit zo snel mogelijk
- Meld significante incidenten
- Bepaal je CyberFundamentals-niveau (CyFun®)
- Plan trainingen voor cyberbeveiliging
- Implementeer de beveiligingsmaatregelen
- Laat jouw cyberbeveiliging controleren
In België maken we het onderscheid tussen belangrijke en essentiële bedrijven. De uitleg over hoe dat onderscheid wordt gemaakt, vind je op de website van het CCB en is bepaald in bijlage I en bijlage II van de Belgische NIS2-wet. “Voor ‘belangrijke’ entiteiten zijn regelmatige conformiteitsbeoordelingen in principe vrijwillig. Voor ‘essentiële’ bedrijven daarentegen, zijn die regelmatige conformiteitsbeoordelingen verplicht. Essentiële entiteiten zijn door de band genomen grote organisaties in zeer kritieke sectoren en zijn levensbelangrijk voor een land: als die omwille van een cyberaanval niet meer functioneren, hebben erg veel mensen daar last van.”
Je als entiteit niets van NIS2 aantrekken? Geen goed idee. “Ten eerste schiet je jezelf in de voet door cybersecurity achteloos achterwege te laten. Ten tweede gaat het om wetgeving, je moet je er dus aan houden. Doe je dat niet, dan pleeg je inbreuken inzake risicobeheersmaatregelen of incidentmeldingen, wat kan leiden tot administratieve maatregelen, zoals waarschuwingen, bindende instructies en geldboetes. Als een essentiële entiteit aan NIS2 verzaakt, kan iemand met leidinggevende verantwoordelijkheden, zoals bijvoorbeeld een algemeen directeur, zelfs een tijdelijk verbod krijgen om zijn functie in die entiteit uit te oefenen.”
10. Behaal je CyberFundamentals
-label
Het CyberFundamentals-label bewijst dat je organisatie voldoet aan erkende cyberbeveiligingsnormen. Dit label versterkt je bescherming tegen cyberdreigingen en geeft klanten en partners vertrouwen in je veiligheidsmaatregelen. “Bovendien biedt het een concurrentievoordeel door je inzet voor digitale veiligheid te tonen. Door dit certificaat te behalen, verminder je risico’s en vergroot je de kans op nieuwe zakelijke samenwerkingen. Een sterke cyberbeveiliging is een troef voor je organisatie.”
Zo’n label kan je in vier stappen behalen. “Eerst voer je een risicobeoordeling door om je zekerheidsniveau te selecteren. Vervolgens voltooi je je zelfbeoordelingstool en implementeer je corrigerende maatregelen. Stap drie is contact opnemen met een externe beoordelaar (een CAB, ofwel Conformity Assessment Body) die jouw zelfbeoordeling verifieert en certificeert. Als dit beoordelingsproces is afgerond, kan je op het Safeonweb@work-portaal je label aanvragen.”
Meer gedetailleerde informatie over dit proces vind je op de website van het Centrum voor Cybersecurity België
ccb.belgium.be en atwork.safeonweb.be.