Wie is er verantwoordelijk voor onze Cybersecurity?
Over gedeelde verantwoordelijkheid en onduidelijke afspraken bij IT-dienstverleners en IT-afnemers
Cybersecurity is onmisbaar in een digitale werkomgeving. Maar wie is er eigenlijk verantwoordelijk voor? Uit onderzoek van Motivaction in opdracht van het Digital Trust Center (DTC, onderdeel van het Ministerie van Economische Zaken) blijkt dat zowel IT-dienstverleners als hun klanten vinden dat die verantwoordelijkheid gedeeld is. Toch blijft de voorbereiding op cyberincidenten vaak achter. Waarom lukt het niet om samen écht cyberweerbaar te worden? En hoe kan het DTC hierbij helpen?
Vertrouwen is goed, concrete afspraken zijn beter
Niet iedereen zegt goed voorbereid te zijn op cyberincidenten. Twee op de tien dienstverleners (18%) geven aan dat zij matig tot niet voorbereid zijn op cyberincidenten samen met hun klanten. Onder afnemers is dit aandeel nog hoger. Zo geven drie op de tien afnemers (30%) aan dat hun bedrijf matig tot niet voorbereid is. Wanneer gevraagd wordt naar de concrete mate van voorbereiding zien we dit aandeel toenemen. 44% van afnemers geeft aan dat er matige tot geen concrete voorbereidingen zijn. Onder dienstverleners blijft dit aandeel vrijwel gelijk (20%).
De partijen die zich slecht of niet gezamenlijk voorbereiden op cyberincidenten, gaan vaker uit van een vertrouwensband tussen de IT-dienstverlener en de IT-afnemer. Vertrouwen in de (diensten van) de IT-dienstverlener en de inschatting dat de kans op incidenten gering is, zijn de meest genoemde redenen om niet of matig voor te bereiden op cyberincidenten: vier op de tien IT-afnemers (resp. 39% en 40%) en twee op de tien IT-dienstverleners (resp. 20% en 18%) noemen deze redenen.
De 4 basismaatregelen van het Digital Trust Center: veelal niet op orde
Deze lage mate van voorbereiding zien we ook terug in de getroffen maatregelen. Het Digital Trust Center raadt aan in ieder geval 4 maatregelen op orde te hebben:
1. Antivirus software
2. Back-ups van systemen
3. Beveiligingsupdates tijdig installeren
4. Authenticatie- & Wachtwoordbeleid (multifactor authentificatie en sterke wachtwoorden)
Deze maatregelen worden echter door een groot deel van de IT-afnemers en IT-dienstverleners nog niet getroffen:

Wie doet wat?
IT-afnemer en de IT-dienstverlener vinden dat zij gedeelde verantwoordelijkheid hebben voor de digitale veiligheid van het bedrijf van de IT-afnemer. Beide partijen zijn het erover eens dat de IT-dienstverlener voornamelijk verantwoordelijk is voor de digitale veiligheid op het gebied van de IT-services die zij leveren. Verder hangt het van de maatregel af wie verantwoordelijk is. IT-dienstverleners worden vaker verantwoordelijk gehouden voor technische maatregelen als netwerk segmentatie en actieve monitoring en detectie. IT-afnemers worden vaker gezien als verantwoordelijke voor het regelen van zaken als vergroting van bewustzijn onder medewerkers en het afsluiten van een cyberverzekering.
Drie tips voor goede samenwerking tussen IT-dienstverleners en IT-afnemers
IT-afnemers en IT-dienstverleners zijn het erover eens dat ze samen verantwoordelijk zijn voor de cybersecurity van het afnemende bedrijf. Toch blijkt dat de mate van voorbereiding op cyberincidenten nog niet altijd voldoende is. DTC wil IT-afnemers en IT-dienstverleners helpen om zich samen beter voor te bereiden. Op basis van het onderzoek geeft Motivaction drie aanbevelingen:
- Voorkom blinde vlekken door overzicht en tips te bieden
Door het vertrouwen van IT-dienstverleners en IT-afnemers in zichzelf en elkaar, kunnen blinde vlekken ontstaan. De overheid zou hier een rol in kunnen spelen door het opstellen van een checklist van de zaken die afgestemd moeten worden en tips hoe de partijen dit goed kunnen afstemmen.
> DTC heeft een checklist opgesteld die bedrijven ondersteunt bij het maken van afspraken met hun IT-dienstverlener.
- Richt de communicatie op de IT-dienstverlener
Communicatie over cyberveiligheid vanuit de overheid kan het best gericht worden op IT-dienstverleners. Geef daarbij ook tips of versimpelde uitleg die IT-dienstverleners kunnen doorgeven aan hun IT-afnemers.
> Voor de communicatie tussen de overheid en IT-dienstverleners, en tussen IT-dienstverleners onderling, heeft DTC de DTC community, waar dienstverleners kennis kunnen uitwisselen en ervaringen te delen. Via deze community ontvangen IT-dienstverleners ook informatie over actuele kwetsbaarheden en dreigingen.
- Help bij het nemen van de juiste maatregelen ter voorbereiding op een cyberincident
Help IT-dienstverleners en IT-afnemers bij het nemen van de juiste maatregelen. Dit kan de overheid doen door aan te geven welke maatregelen belangrijk zijn bij bepaalde dreigingen.
> DTC heeft een praatplaat ontwikkeld met handvatten om de juiste afspraken te maken ter voorbereiding op alle fasen van een cyberincident: van voorkomen van een incident, tot respons, herstel en evaluatie.
Meer weten?
Wil je meer weten over onderzoek op maat rondom IT-vraagstukken? Neem gerust contact op met Kevin Hengstz voor meer informatie of een vrijblijvend gesprek.
Onderzoeksverantwoording


Vanaf 1 juni mogen we weer! Hoe maak je de cultuur- en vrijetijdssector veilig én leuk in het nieuwe normaal?
Consument duidelijk over AI-toepassingen bij retailers: kansen, maar ook huiver
