82%

64%

49%

36%

27%

Zonder security geen ICT

Klanten vragen erom

Onderscheidend t.o.v.

concurrentie

Er is geld mee te verdienen

Nederland kan zich ontwikkelen

tot Cyber Security-land

46%

48%

70%

De klant is bereid in

security te investeren

Klanten hebben erbehoefte aan dat wij

ingaan op security in

marketinguitingen/

klantgesprekken

Klanten plaatsensecurity vaker in zijn

set van eisen

Om te kunnen profiteren van de impuls die onze internetinfrastructuur en ICT de digitale economie kan geven, is cyber security een essentiële randvoorwaarde. Cybercriminaliteit richt naar schatting jaarlijks voor honderden miljoenen tot enkele miljarden euro’s aan schade aan. ICT-bedrijven, gebruikersorganisaties in overheid en de private sector spelen allen een belangrijke rol bij digitale veiligheid. Branchevereniging Nederland ICT peilde in augustus 2014 de stemming onder haar leden. Onder andere CEO’s, CFO’s en security-experts van grote en kleine ICT-bedrijven werkten mee aan het onderzoek.

Belangrijkste bevindingen

- Cyber security is het nummer 1 thema bij ICT-bedrijven

- Klanten zetten beveiliging vaker op de agenda, maar budget blijft achter

- De overheid heeft een belangrijke voorlichtingstaak, beleid ook richten op ’digitale wereld’ van morgen

- Cybercriminaliteit is alleen te bestrijden door goede samenwerking tussen overheid en bedrijfsleven

- Kennisniveau gebruikersorganisaties in private en publieke sector stijgt, maar schiet nog steeds tekort

- Focus klanten op certificeringen werkt averechts

- Cybercriminelen moeten steviger worden aangepakt

Cyber security speelt enorm bij ICT-bedrijven. 95 procent van de bedrijven die meededen aan het onderzoek geeft aan dat het een belangrijk thema is binnen de organisatie. Belangrijker dan een thema als kostenefficiëntie of een trend als cloud computing is. De impact die cyber security heeft op het vertrouwen, speelt hier een grote rol. Drie op vier ICT-bedrijven realiseert zich dat een gebrek aan vertrouwen in ICT en internet leidt tot minder investeringen.

Ook bij gebruikersorganisaties staat cyber security steeds vaker op de agenda. Bijna 90 procent van de ICT-bedrijven merkt dat beveiliging van ICT en informatie de afgelopen drie jaren steeg op de agenda van klanten.

Dat gebruikersorganisaties in zowel het bedrijfsleven als bij de overheid meer belang hechten aan cyber security, is volgens de ICT-bedrijven ook terug te zien in de dagelijkse praktijk. 70 procent van de achterban ziet dat klanten beveiliging vaker in de set van eisen plaatsen. Ongeveer de helft van de ondervraagden merkt dat klanten er duidelijk behoefte aan heeft dat beveiliging aandacht krijgt tijdens klantgesprekken.

64 procent van de ondervraagden geeft aan dat de vraag vanuit de klant een belangrijke reden is om zich te richten op cyber security. Een andere aanjager is concurrentie: de helft van de ICT-bedrijven wil zich op dit onderwerp onderscheiden van andere bedrijven.

De aandacht voor cyber security richt zich niet alleen naar buiten toe. Ook binnen de eigen organisatie ligt er een stevige nadruk op cyber security. Bijna 85 procent van de bedrijven richt zich bij cyber security in zijn bedrijf op security in de ontwikkeling van producten en diensten, 70 procent van de ICT-bedrijven licht medewerkers voor over beveiliging. Bij twee derde van de bedrijven wordt aandacht besteed aan verdeling van verantwoordelijkheden.

1% 7%15% 8%

6% 4%

46%41%

34%

55%

37%44%

61%

41%

Mobiliteit Cloud Cyber security Kostefficiëntie

Zeer onbelangrijk Onbelangrijk Neutraal

Belangrijk Zeer belangrijk

“GEEN VERTROUWEN IN ICT BETEKENT

GEEN TOEPASSING EN GEEN

INVESTERINGEN”

WAT IS HET BELANG VAN DEZE THEMA’S VOOR

UW BEDRIJF?

NEDERLAND ICT CYBER SECURITY ZOMERONDERZOEK 2014

1%

7%

18%

49%

24%

Zeer oneens

Oneens

Neutraal

Eens

Zeer mee eens

59%

30%

8%

3%

Duidelijk omhoog

Enigszins omhoog

Gelijk

Duidelijk omlaag

65%85%

70%

41% 39%

3%

Security krijgt

aandacht in de

organisatie.

Verantwoordelijk

-heden zijn

verdeeld

Security krijgt

aandacht bij

ontwikkelen

producten/

diensten

Security

onder de

aandacht

brengen van

personeel

Nadruk op

security in de

marketing van

mijn product

maakt het

beter

verkoopbaar

We hebben

een plan wat

te doen bij

een incident

of als een

klant hier last

van heeft

Binnen onze

organisatie

krijgt het

nauwelijks

aandacht

GING BEVEILIGING IN DE AFGELOPEN 3 JAAR BIJ UW

KLANTEN OP DE AGENDA OMHOOG OF OMLAAG?

WAT MAAKT CYBER SECURITY VOOR UW

ORGANISATIE ZO BELANGRIJK?

HOE BESTEEDT U ALS ICT-BEDRIJF AANDACHT AAN SECURITY? HOE MERKT U DAT UW KLANTEN

MEER AANDACHT VOOR SECURITY

KRIJGEN?

1

De prioriteit die cyber security in het

bedrijfsleven en overheid krijgt maakte in

de afgelopen jaren een positieve

ontwikkeling door. Aandacht moet echter

vergezeld gaan van kennis om effectief te

zijn. Alleen wanneer organisaties voldoende

kennis bezitten over de risico’s die zij lopen

en deze kunnen omzetten naar acties om

zich te beschermen tegen deze risico’s, kan

er op een veilige manier gewerkt worden.

Bijna 80 procent van de ICT-bedrijven geeft

aan dat er een verantwoordelijkheid ligt bij

gebruikersorganisaties, bijvoorbeeld om te

zorgen dat medewerkers de beschikbare

ICT-systemen op de juiste manier

gebruiken.

Driekwart van de ICT-bedrijven vindt dat

klanten het benodigde kennisniveau nog

niet halen. Wel ziet een ruimte meerderheid

dat het kennisniveau bij klanten stijgt. In de

private sector lijkt dit iets sneller te gaan

dan bij de overheid. 75 procent denkt dat

opleidingen in de toekomst belangrijker

gaan worden voor eindgebruikers én ICT-

professionals. Zo vindt bijna 80 procent dat

er aandacht moet zijn voor cyber security in

het onderwijs.

Hoewel er meer aandacht is voor cyber

security binnen organisaties en ook het

kennisniveau langzaam stijgt, blijft het

budget achter. Zo merkt minder dan de helft

van de ICT-bedrijven dat klanten ook echt

bereid zijn om te betalen voor veiligheid.

Niet alle veiligheidsmaatregelen kosten

geld, maar enig budget zal nodig zijn.

Nederland ICT heeft als stelregel in de ’10

cyber security vuistregels’ aangegeven dat

ongeveer 10 procent van het ICT-budget

aan security besteed moet worden.1

In Duitsland is deze stelregel recent ook

voor de Duitse federale overheid als

uitgangspunt bepaald.2

ICT-bedrijven hebben vertrouwen dat de

cyber security vragen in de toekomst

beantwoord kunnen worden. Daarbij

zien ICT-bedrijven dat cyber security

prima samengaat met nieuwe

ontwikkelingen en innovaties. Slechts 14

procent vreest dat het denken in cyber

security belemmerend gaat werken.

Ook bestaat het gevaar dat er enkel

kennis wordt opgedaan over het

toepassen van regels en standaarden.

De helft van de ondervraagde bedrijven

geeft aan dat klanten te veel verwachten

van certificering. Hoewel certificering

nuttig kan zijn, betekent compliance niet

per definitie dat er ook veilig wordt

gewerkt of dat er veilig wordt

aangekocht. Klanten moeten nadenken

over de data en systemen die ze

gebruiken, welke risico’s ze lopen en

welke van deze risico’s ze (wettelijk)

moeten of willen afdekken. Dit is geen

eenmalige oefening, maar een proces

dat bedrijven keer op keer moeten

herhalen. Bedrijven die te veel focussen

op afvinklijstjes gaan voorbij aan de

kernvragen en zullen niet veiliger

worden.

NEDERLAND ICT CYBER SECURITY ZOMERONDERZOEK 2014

KENNIS IS KEY

7% 4% 8% 8%

20% 21%31%

49%

59%70%

56%

41%

14%4% 4% 1%

De klant wil secure zijn, maar

weet niet wat dat inhoudt

De kennis over

securityvraagstukken bij

klanten in het algemeen stijgt

de afgelopen 3 jaar

Private klanten hebben meer

kennis over security dan 3

jaar geleden

Publieke (overheid) klanten

hebben meer kennis over

security dan 3 jaar geleden

Zeer oneens Oneens Neutraal Eens Zeer mee eens

WEET DE KLANT WAT HIJ WIL ALS HET OM SECURITY GAAT?

27%3%

52%

7%

27%21%

14%

37%

32%

30%

7%

49%35%

42%

7% 3% 7%

Klanten zijn zelf niet

verantwoordelijk voor goede

security met de aangekochte

ICT, dit ligt volledig bij de

leverancier

Klanten stellen vaak de

verkeerde eisen bij security,

ze weten niet waarop ze

moeten letten

Klanten zijn niet bereid om te

betalen voor security, het is

geen budgetprioriteit

Klanten staren zich blind op

certificeringen

Zeer oneens Oneens Neutraal Eens Zeer mee eens

WAAR LIGT DE VERANTWOORDELIJKHEID EN LETTEN KLANTEN OP DE JUISTE ZAKEN?

1,4% 5,6% 9,9%2,8% 2,8%

47,9%49,3%

18,3%8,5%

22,5%26,8%

63,4%

56,3%

23,9%12,7%14,1%

32,4%

1,4%

Opleiding wordt belangrijker voorgebruikers

Opleiding wordt belangrijker voor ICT-professionals

Security wordt een te grootonderwerp, waarop we geen antwoord

hebben

Het denken over cyber security zalbelemmerend werken in nieuwe

ontwikkelingen/innovatie

Zeer onwaarschijnlijk Onwaarschijnlijk Neutraal Waarschijnlijk Zeer waarschijnlijk

TOEKOMSTVERWACHTINGEN

1

http://www.nederlandict.nl/Files/TER/Tien_cyber_sec

urity_vuistregels_voor_bestuurders_en_ondernemers.

pdf 2

http://www.bundesregierung.de/Content/DE/_Anlage

n/2013/2013-12-17-

koalitionsvertrag.pdf?__blob=publicationFile

2

1% 1% 6% 3%1%13% 1%1%

27%

6%4%

8%

55%

38%

54%34% 31%

42%

20%

41%55% 58%

Voorlichting, klanten en

burgers

Voorlichting aan ICT

bedrijfsleven hoe

security toe te passen

Actief informatie delen

met bedrijven over

risico's en

kwetsbaarheden

Cybercriminelen stevig

aanpakken

Het beleid moet

vooruitstrevend zijn,

gericht op de wereld

van morgen

Geen mening Totaal onbelangrijk Onbelangrijk Neutraal Belangrijk Zeer belangrijk

NEDERLAND ICT CYBER SECURITY ZOMERONDERZOEK 2014

De overheid heeft volgens het ICT-

bedrijfsleven naast voorlichting nog een

aantal duidelijke rollen. Zo zou

cybercriminaliteit volgens ICT-bedrijven

steviger aangepakt moeten worden, zodat

de pakkans omhoog gaat. Een meerderheid

ziet echter niets in het overheidsplan om

‘terug te hacken’. Slechts 21 procent vindt

dat de overheid zelf mag inbreken op

systemen om cybercriminelen tegen te

houden. Verder vinden ICT-bedrijven het

belangrijk dat beleid meer in de pas loopt

met de voortdurende innovatie die op het

gebied van ICT en cyber security

plaatsvindt.

Uit het onderzoek blijkt dat ICT-bedrijven

zowel de politiek als de overheid zichtbaar

vinden op dit gebied. Eén derde van de

ICT-bedrijven is echter wel van mening dat

waar wet- en regelgeving omtrent cyber

security nodig is, deze beter moet worden

vormgegeven. Groot risico bij wetgeving op

cyber security is dat deze vooral

symbolische waarde krijgt en in realiteit

maar beperkt bijdraagt veiligheid.

BELANGRIJKE ROL OVERHEID

Uit het onderzoek blijkt dat op het

gebied van voorlichting om

bewustwording te krijgen een

nadrukkelijke inzet van de overheid

wordt verwacht. 98 procent stelt dat de

overheid een rol heeft in de

voorlichting aan overheidsorganisaties,

bedrijven en burgers.

Nederland ICT draagt bij aan

bewustwording over cyber security,

zowel bij haar eigen achterban als bij

organisaties die de producten en

diensten van ICT-bedrijven afnemen.

Zo bracht Nederland ICT de ’10

vuistregels voor cyber security’ uit,

waaraan bestuurders en ondernemers

kunnen toetsen of er voldoende kennis

over cyber security aanwezig is in

hun organisatie.

Op www.beschermjebedrijf.nl kunnen

MKB-bedrijven een quick scan doen,

waarmee zij inzicht krijgen in de risico’s

voor hun bedrijfsvoering. Voor ICT-

bedrijven biedt de branchevereniging

een checklist aan over incidentrespons

& communicatie. Daarnaast is cyber

security een terugkerend onderwerp bij

veel van de bijeenkomsten van

Nederland ICT, zoals bij masterclasses

cyber security die vorig jaar werden

gegeven.

BEWUSTWORDING ROL OVERHEID IN CYBER SECURITY

1%17%

6%

24%

1%

1%

1%7%

3% 24%

6%

13%

23%

28% 24%48%

38%

32%30%

30%18%

8%17%

Cyber security begint in

het onderwijs

Het kennisniveau is te

laag bij de overheid

Het bedrijfsleven kijkt

nog teveel naar de

overheid voor

oplossingen

Er is te weinig budget

beschikbaar bij de

overheid om echte

problemen aan te pakken

Geen mening Zeer oneens Oneens Neutraal Eens Zeer mee eens

CYBER EN OVERHEID

6%18% 21%

34%17%

4%

Geen mening Zeer oneens Oneens Neutraal Eens Zeer mee eens

“DE OVERHEID MOET ZELF OP SYSTEMEN KUNNEN INBREKEN OM

CYBERCRIMINELEN TEGEN TE HOUDEN”

7%

23%

8%

13%

32%

7%

4%

6%

Ander antwoord

Kan ik niet beoordelen

Niet zichtbaar

Zijn goed zichtbaar, maar alleen bij

incidenten

Zijn vaak zichtbaar, maar beleid /

wet en regelgeving moet beter

worden vormgegeven

Zijn vaak zichtbaar, vragen vaak

aandacht ervoor, maar ik weet niet

goed bij wie ik waarvoor terecht kan

voor informatie

Zijn vaak zichtbaar en zijn goed

bezig

Zijn vaak zichtbaar, informatie

hierover is ook makkelijk te vinden

HOE ZICHTBAAR VINDT U DE OVERHEID

OP CYBER SECURITY?

3

14%4%

54%

7%

15%

51%

15%

38%

1%

Cybercriminelen zijn nog moeilijker te pakken

dan criminelen, dat kan alleen maar door samen

te werken

Cyber security is primair de verantwoordelijkheid

van de overheid

Zeer mee eens

Eens

Neutraal

Oneens

Zeer oneens

NEDERLAND ICT CYBER SECURITY ZOMERONDERZOEK 2014

Cyber security vraagt een samenspel

van bedrijfsleven en overheid:

cybercriminaliteit is van een andere

orde dan andere vormen van

criminaliteit, waardoor samenwerking

volgens 89 procent nodig is. 60 procent

van de ICT-bedrijven vindt dat cyber

security niet primair bij de overheid kan

worden neergelegd. Dat is goed te

verklaren, want uiteindelijk zijn de

private sector en overheid samen

verantwoordelijk om te investeren in

cyber security.

94 procent van de deelnemende ICT-

bedrijven geeft wel aan dat de overheid

actiever informatie moet delen met

bedrijven over risico’s en

kwetsbaarheden. Dit is immers ook een

voorwaarde om samen te werken aan

cybercrimebestrijding. 96 procent vindt

dan ook dat Nederland ICT als

vertegenwoordiger van de branche

moet meedenken met de overheid om

goed cyber security-beleid te

ontwikkelen. Dat is de reden dat

Nederland ICT met de overheid

samenwerkt aan de Nationale Cyber

Security Strategie. Ook zit Nederland

ICT-voorzitter Bart Hogendoorn in de

Cyber Security Raad, dat het kabinet

adviseert op cyber security. Binnen

Nederland ICT is de adviesgroep cyber

security een gesprekspartner voor

overheid, gebruikersorganisaties en

vitale sectoren. Door actief samen te

werken, samen problemen te

analyseren en oplossingen te bedenken,

krijgt de overheid ook meer inzicht in

wat de markt aan kennis al aanbiedt.

Bedrijven zien hierbij een duidelijk

belang om Nederland digitaal veilig te

maken en te houden.

SAMENWERKING TUSSEN

OVERHEID EN BEDRIJFSLEVEN

Een aantal keer per jaar onderzoekt

Nederland ICT de kijk van haar leden op

markt- en andere ontwikkelingen. Het

cyber security-onderzoek werd in juli en

augustus 2014 uitgevoerd door Keala

Consultancy.

Aan het onderzoek deden medewerkers

van lidbedrijven van Nederland ICT mee.

Onder de respondenten zaten onder

andere CEO’s, CFO’s en specialisten op

het gebied van cyber security.

Voor dit onderzoek is de volgende

definitie van cyber security gebruikt:

Cyber security is het streven (als

samenleving of als individueel bedrijf)

naar het voorkomen van schade door

verstoring, uitval of misbruik van ICT en,

indien er toch schade is ontstaan, het

herstellen hiervan.

OVER NEDERLAND ICT

Nederland ICT is de branchevereniging

van ruim 550 ICT-bedrijven in Nederland,

waarvan 80% tot het Midden- en

Kleinbedrijf behoort. Ook de grootste ICT-

bedrijven in Nederland zijn lid.

Nederland ICT vertegenwoordigt een

sector met een omzet van ruim €30

miljard, die werk biedt aan een kwart

miljoen mensen en bijdraagt aan 70%

van alle innovaties.

Postbus 401 | 3440 AK Woerden |

Pompmolenlaan 7 | 3447 GK Woerden

0348 49 36 36 | info@nederlandict.nl|

www.nederlandict.nl| @Nederland_ICT

OVER HET ONDERZOEK CYBERCRIMINALITEIT EN OVERHEID

GEWENSTE ROL NEDERLAND ICT:

“WORKSHOPS ORGANISEREN OVER

ONTWIKKELINGEN IN CYBER SECURITY”

GEWENSTE ROL NEDERLAND ICT:

“NETWERKFUNCTIE; VERBINDEN VAN

BEDRIJVEN MET KENNIS VAN CYBER

SECURITY”

GEWENSTE ROL NEDERLAND ICT:

“MET DE OVERHEID MEEDENKEN VOOR

GOED CYBER SECURITY-BELEID”

0% 4%

20%

58%

18% Totaal onbelangrijk

Onbelangrijk

Neutraal

Belangrijk

Zeer belangrijk

0% 3%

11%

68%

18% Totaal onbelangrijk

Onbelangrijk

Neutraal

Belangrijk

Zeer belangrijk

0%0% 4%

70%

25%Totaal onbelangrijk

Onbelangrijk

Neutraal

Belangrijk

Zeer belangrijk

0% 1%

28%

52%

18% Totaal onbelangrijk

Onbelangrijk

Neutraal

Belangrijk

Zeer belangrijk

GEWENSTE ROL NEDERLAND ICT:

“VOORLICHTING OVER WAT ER SPEELT IN

DEN HAAG”

4