Cyberveiligheid komt aan op leiderschap

‘De ondernemer is eindverantwoordelijk – niet de IT’er’

Cyberdreigingen zijn allang geen ver-van-je-bedshow meer. Toch handelen veel ondernemers nog altijd pas na een incident. Volgens Jack Koppers – sales manager bij Terberg IT & Cybersecurity uit IJsselstein – is dat een groot risico. ‘De nieuwe wetgeving én verzekeraars gaan het mkb dwingen om verantwoordelijkheid te nemen. Het is niet langer een technisch onderwerp, maar een thema dat hoog op de directieagenda komt te staan.’

‘Wat moeten ze met mijn informatie?’ Het is volgens Jack de meest gehoorde reactie van ondernemers als het over cybersecurity gaat. ‘Maar dat is precies de misvatting. Het gaat criminelen niet om je informatie, het gaat hen om wat het jou waard is. Ze zetten alles op zwart, en pas als je betaalt, krijg je weer toegang. Dat is het verdienmodel.’

De urgentie groeit snel. Niet alleen omdat hackers steeds inventiever worden, maar ook door de opkomst van nieuwe regelgeving. Zo verplicht de Europese NIS 2-richtlijn bedrijven om hun digitale beveiliging aantoonbaar op orde te hebben – uiterlijk medio 2026. Jack: ‘De overheid schuift die deadline telkens iets op, maar verzekeraars, accountants en banken stellen inmiddels hun eigen eisen. Die gaan niet wachten tot Den Haag klaar is. Wie straks niet kan aantonen dat hij zijn zaken op orde heeft, loopt het risico uitgesloten te worden van zakelijke samenwerking.’

Bewustwording als eerste verdedigingslinie

Volgens Jack ligt de sleutel vooral in bewustwording. ‘Negentig procent van de incidenten ontstaat door menselijk gedrag. Medewerkers klikken op een link, openen een bijlage, of reageren goedgelovig op een mail die nét echt genoeg lijkt. Dat is geen domheid, maar gewoon gebrek aan alertheid.’

Om die alertheid te vergroten, organiseert Terberg IT & Cybersecurity laagdrempelige trainingen en phishing-simulaties. ‘We sturen medewerkers bijvoorbeeld een nep-mail met een link die er volkomen betrouwbaar uitziet. Als ze erop klikken, krijgen we een melding en bespreken we het intern met de ondernemer. Dat geeft vaak een schrikmoment, maar het werkt. Mensen zien dan hoe makkelijk ze erin trappen.’ Ook directieleden blijken niet immuun voor die valkuilen. ‘Dat zien we regelmatig. Het bewijst dat bewustwording op alle niveaus nodig is – van baliemedewerker tot CEO.’

Darkweb-ID en pentests

Naast trainingen biedt Terberg IT & Cybersecurity ook technische ondersteuning. Een van de opvallendste tools is darkweb-ID, waarmee bedrijven kunnen zien of inloggegevens of e-mailadressen van medewerkers ergens op het darkweb circuleren. ‘We hebben dat onlangs bij een advocatenkantoor gedaan,’ vertelt Jack. ‘Toen we lieten zien welke gegevens er al op het darkweb bleken te staan, gingen de ogen pas écht open. Dat is geen bangmakerij, maar realiteit. Hackers kopen die data gewoon om later binnen te komen. Als je dat weet, begrijp je waarom beveiliging cruciaal is.’

Daarnaast voert Terberg IT & Cybersecurity automatische pentests uit – gecontroleerde aanvallen die kwetsbaarheden in systemen opsporen. ‘Veel ondernemers denken dat ze veilig zijn, maar weten dat niet zeker. Zo’n test laat zien waar de gaten zitten. Omdat het proces grotendeels geautomatiseerd is, blijft het betaalbaar, ook voor kleinere bedrijven. Bovendien geeft het duidelijkheid: je ziet zwart op wit hoe het écht met je beveiliging staat.’

‘Het gaat criminelen niet om je informatie, het gaat hen om wat het jou waard is’

De ondernemer als eindverantwoordelijke

Een belangrijke verandering in de nieuwe wetgeving is dat niet langer de IT-afdeling, maar de ondernemer zelf verantwoordelijk wordt gehouden voor digitale veiligheid. ‘Dat is de kern van NIS 2,’ zegt Jack. ‘De IT’er zorgt dat je kunt werken, dat systemen draaien en updates lopen. Maar cybersecurity vraagt om een andere laag van aandacht. De eigenaar of financieel directeur moet dit onderwerp op de agenda zetten, budget vrijmaken en beleid voeren. Daar hoort ook bij dat je je laat informeren en durft te toetsen: zijn we echt veilig, of denken we dat alleen?’

Die verantwoordelijkheid reikt verder dan de eigen organisatie. ‘Grote bedrijven zullen straks van hun leveranciers eisen dat ook zíj voldoen aan beveiligingsstandaarden. Er komen al quality marks vanuit Samen Digitaal Veilig die aangeven in hoeverre een bedrijf zijn beveiliging op orde heeft. Mkb’ers die daar niet in meegaan, lopen het risico buiten de keten te vallen.’

Verzekeringen bieden schijnzekerheid

Een valkuil waar veel ondernemers in stappen, is het overschatten van hun cyberverzekering. ‘Men denkt: ik heb iets afgesloten, dus ik zit goed. Maar dat is vaak een illusie,’ waarschuwt Jack. ‘Die polissen hebben strenge voorwaarden, en ze keren zelden volledig uit. Verzekeraars verdienen vooral aan de premies, niet aan de schade. Bovendien: ook juridisch ligt de verantwoordelijkheid bij de ondernemer zelf. Je kunt je niet afkopen van zorgplicht.’ Zijn advies is simpel: investeren in preventie loont. ‘Het is net als bij brandveiligheid. Je sluit wel een verzekering af, maar je zorgt ook dat er een brandblusser hangt en dat de nooduitgang werkt. In de digitale wereld is dat niet anders.’

De verhuizing van Terberg IT & Cybersecurity naar een nieuw pand visualiseert letterlijk de groei van het bedrijf. IT, telecom en cybersecurity zijn daar volledig geïntegreerd. ‘Vroeger waren het losse disciplines,’ vertelt Jack. ‘Maar alles raakt elkaar inmiddels: cloudtelefonie, data, beveiliging. Door die kennis te bundelen kunnen we klanten echt ontzorgen. En ja, we groeien nog steeds.’

Meebewegen

Kijkend naar de toekomst ziet Koppers zowel bedreigingen als kansen. ‘AI zal veel veranderen. Het maakt beveiliging slimmer, maar aanvallen geraffineerder. We krijgen te maken met deepfakes waarbij je je eigen directeur hoort en ziet vragen om geld over te maken. Dat kun je nauwelijks nog van nep onderscheiden. Daarom zal beveiliging voortdurend mee moeten bewegen.’

www.terbergitc.eu