Cyberveiligheid in de bouw

Betere databeveiliging is daarom cruciaal. Hackers worden steeds creatiever, waardoor risico’s continu veranderen. Een cybersecurity-oplossing die is afgestemd op de specifieke risico’s van een bedrijf en de interacties met toeleveranciers en partners is dus belangrijk. Denk bijvoorbeeld aan data die wordt uitgewisseld via ERP software, BIM-modellen en via AI-tools over bijvoorbeeld projectkosten, materiaal beheer, debiteuren en gebouwbeheersystemen. Veelgebruikte IT-oplossingen zijn meestal onvoldoende, omdat cyberbescherming meer is dan alleen bescherming van de IT-infrastructuur.

Cybercriminaliteit vormt een groeiend probleem voor Nederlandse organisaties. Onderzoek van Check Point Research toont aan dat het aantal cyberaanvallen op Nederlandse bedrijven in het derde kwartaal van 2024 met 69% is toegenomen vergeleken met dezelfde periode in 2023. Ook in de bouwsector komen cyberaanvallen veel voor.

• Drie jaar geleden lukte het Heijmans om een grote cyberaanval af te slaan. Twee dagen lang probeerden criminelen in te breken via de accounts van medewerkers – die waarschijnlijk op straat zijn beland bij een extern datalek. De accounts zijn weg, maar verder is Heijmans de aanval ongeschonden doorgekomen dankzij adequate cybersecurity.
• Halverwege 2023 kreeg Coen Hagedoorn Bouwgroep te maken met een ransomware-aanval. Hierbij kregen de cybercriminelen toegang tot de gegevens van huurders van gelieerde woningcorporaties: denk aan naam, adres en telefoonnummer. Hoewel het bedrijf de aanval snel heeft kunnen stoppen, was er wel sprake van een datalek.
• In juli 2021 lagen alle systemen van Hoppenbrouwers Techniek plotseling plat door een cyberaanval: ze waren getroffen door ransomware-groep Revil. Het Brabantse bedrijf koos ervoor om geen losgeld te betalen, maar bijna 200 medewerkers én externe cybersecurity-specialisten op te trommelen. In één weekend – en met veel geluk – sloegen ze de aanval af. Daar vertellen ze openhartig over in een boek en podcast. Hun belangrijkste advies aan andere ondernemingen: verwacht een aanval en bereid je voor.

De Europese richtlijn omtrent duurzaamheidsverslaggeving verplicht bedrijven om hun prestaties op het gebied van ESG (Environment, Social, Governance) vast te leggen in het jaarverslag. Deze Corporate Sustainability Reporting Directive (CSRD) vraagt om veel meer data-uitwisseling tussen bedrijven in dezelfde keten. Omdat de bouwsector een aanzienlijke impact op het milieu heeft, zowel tijdens de initiële bouw als de ingebruikname ervan, zullen bouworganisaties met de invoering van de CSRD gedetailleerder moeten rapporteren over hun milieu-impact, zoals CO2-uitstoot. Om toekomstbestendig te blijven en continuïteitsrisico’s op het gebied van governance te voorkomen, worden cybersecurity-maatregelen tijdens data-uitwisseling dus nog belangrijker.

Naast duurzaamheid en sociale impact wordt ook cybersecurity steeds vaker uitgevraagd in tenders. De aanbestedende partijen (overheden) beoordelen onder andere de volgende aspecten:

• Wat voor data wordt er uitgewisseld (persoonsgegevens, financiële gegevens of andere gevoelige data)
• Op welke locatie wordt data opgeslagen? En is deze locatie binnen of buiten de Europese Unie?

Ondernemers kunnen zich op dit punt positief onderscheiden als ze oplossingen voor databeveiliging bieden.

Om de cyberveiligheid in Europa te verbeteren, is afgelopen oktober een nieuwe wet ingegaan: NIS2, de opvolger van de Network and Information Security Directive (NIS). Organisaties in de bouw krijgen in eerste instantie vooral indirect met NIS2 te maken. De bouwsector wordt immers als ‘toeleverancier’ aan sectoren die als kritiek worden beschouwd, gezien. De nieuwe NIS2-richtlijn verplicht essentiële en belangrijke organisaties om maatregelen te nemen die hun eigen digitale veiligheid verbeteren. Wanneer u als bedrijf in de bouw zaken doet met NIS2-plichtige bedrijven, houd er dan rekening mee dat klanten of opdrachtgevers eisen kunnen stellen aan de digitale veiligheid van uw bedrijf.

Het is de bedoeling dat Europese lidstaten de richtlijn naar landelijke wetgeving vertalen. Het is de verwachting dat deze wet in Nederland in Q3 2025 in werking treedt. Toch is het verstandig om uw organisatie nu al op de invoering voor te bereiden, omdat de wet er hoe dan ook komt, maar ook omdat klanten of leveranciers in andere Europese landen de richtlijn wél vanaf oktober 2024 volgen. Daarnaast neemt het dreigingsniveau binnen uw organisatie mogelijk toe zodra andere bedrijven wél extra veiligheidsmaatregelen in het kader van NIS2 nemen. Cybercriminelen richten zich immers bij uitstek op de meest kwetsbare schakels in de keten.

Benieuwd of uw organisatie onder de NIS2-richtlijn valt? Lees ons rapport 'Steeds verfijndere cyberaanvallen schudden ondernemers nog lang niet altijd wakker', of vul de Zelfevaluatie NIS2 van het Nationaal Cyber Security Centrum in.

Start om te beginnen met de zeven stappen van het Digital Trust Center om de meest eenvoudige acties zelf al te nemen en download de infosheet voor meer informatie over cyberveiligheid in de Bouwsector.

Lees verder in de bouwsector

De Nederlandse bouwsector behoorde de afgelopen jaren tot een van de best presterende sectoren, ondanks verschillende uitdagingen waar de sector mee te maken heeft. Voorbeelden zijn het stikstof-dossier, de forse prijsverhogingen van energie en bouwmaterialen en ook de personeelstekorten. Gedreven door trends, innovaties en wet- en regelgeving groeit de relevantie van thema’s als duurzaamheid en milieu-impact en zoekt de sector zijn weg naar een nieuw evenwicht.

Bekijk alle artikelen