Nederlandse bedrijven zijn slecht voorbereid op het uitvallen van hun centrale IT-systemen door bijvoorbeeld cyberaanvallen en stroomuitval. Dit zegt de Nationale Coördinator Terrorismebestrijding en Veiligheid (NCTV) Pieter-Jaap Aalbersberg in gesprek met het Financieele Dagblad.

Volgens Aalbersberg zijn Nederlandse bedrijven vaak kwetsbaarder voor cyberaanvallen en uitval van de stroomvoorziening dan hun collega’s in de ons omringende landen. Dit komt doordat Nederlandse bedrijven vaak met centrale IT-omgevingen werken, waardoor zij geen alternatieven hebben in het geval van incidenten. Denk daarbij aan handmatige bediening van hun werkzaamheden of het voeren van een papieren administratie.

Volgens de NCTV hebben Nederlandse bedrijven vaak ‘te snel’ hun oude niet-digitale werkwijze afgeschaft na een overstap naar een IT-omgeving. In bijvoorbeeld Duitsland zou dit niet het geval zijn geweest.

Door de hele bedrijfsvoering naar een centrale IT-omgeving over te brengen, zijn volgens Aalbersberg grote risico’s ontstaan. Bij uitval, om elke reden dan ook, ontstaan dan grote problemen. Bedrijven lopen vast en krijgen mogelijk te maken met omzetverlies en gedupeerde klanten.

Voorbereiding en oefenen noodscenario’s

Naast een te grote afhankelijkheid van een centrale IT-omgeving, ontbreekt meestal ook een goede voorbereiding op noodsituaties. Veel bedrijven hebben nauwelijks de tijd noodsystemen en -scenario’s te ontwikkelen die problemen met de IT-omgeving moeten opvangen.

Ook worden deze systemen en scenario’s weinig geoefend. Bijvoorbeeld omdat IT-beheerders geen tijd hebben of te weinig personeel met expertise aanwezig is, zo stellen experts. Ook laat de 24-uurs economie vrijwel geen (geplande) downtime toe. Hierdoor is het vaak onbekend of een eventuele achtervang wel goed functioneert.

Mogelijke boetes

Grote bedrijven zijn van de Europese Unie verplicht, naast over een goede security, ook over een noodbeleid bij uitval te beschikken. Wanneer bedrijven zich niet hieraan houden, kan dit boetes tot 10 miljoen euro of 2 procent van de jaaromzet tot gevolg hebben.

Tip: ‘Nederlandse organisaties doen te weinig om cyberaanvallen te weren’