NCSC zegt: "Het is tijd om te handelen", maar hoe?

NCSC zegt: “Het is tijd om in actie te komen”, maar hoe?

Door Phil Muncaster • 6 November 2025

Het is ongebruikelijk om aan het begin van een cybersecurityrapport van de overheid een open brief van een bedrijfsleider te zien. Vooral niet van iemand wiens bedrijf net te maken heeft gehad met een vernederende inbreuk. Maar dit zijn ongewone tijden. En de boodschap is van cruciaal belang. Daarom heeft het National Cyber Security Centre (NCSC) van GCHQ aan het begin van zijn rapport ruimte gemaakt voor Shirine Khoury-Haq, CEO van Co-op Group. Jaaroverzicht 2025.

Haar boodschap, die in het hele document werd herhaald en versterkt, was simpel: voorbereiding is alles. Maar hoe zorgen bedrijfsleiders ervoor dat ze vandaag voldoende cyberweerbaarheid in hun organisatie opbouwen, zodat ze morgen bij een inbreuk hun bedrijfsvoering kunnen voortzetten?

Nationaal significante incidenten nemen toe

De cijfers van het afgelopen jaar spreken voor zich. Het NCSC stelt dat bijna de helft (48%) van de incidenten waarop het Incident Management-team het afgelopen jaar heeft gereageerd, "nationaal significant" was. Dat komt neer op 204 afzonderlijke incidenten, oftewel vier per week. Zo'n 4% (18) wordt gecategoriseerd als "zeer significant" – een jaarlijkse stijging van 50%. Dit is één stap lager dan de maximale ernst, die duidt op incidenten die ernstige economische/maatschappelijke gevolgen of verlies van mensenlevens kunnen hebben. Maar het gaat nog steeds om cyberaanvallen en -inbreuken die een ernstige impact kunnen hebben op de centrale overheid, essentiële diensten en een groot deel van de Britse bevolking of economie.

Interessant is dat 29 incidenten die het NCSC in die periode afhandelde, voortkwamen uit slechts drie kwetsbaarheden: CVE‑2025‑53770 (Microsoft SharePoint Server), CVE‑2025‑0282 (Ivanti Connect Secure, Policy Secure & ZTA Gateways) en CVE‑2024‑47575 (Fortinet FortiManager). Dit onderstreept meteen de laaghangende risico's voor organisaties die kiezen voor risicogebaseerde patchmanagementprogramma's.

Dit laaghangende fruit is overal te vinden, mits bedrijfsleiders maar voldoende gemotiveerd zijn of zich bewust zijn van de noodzaak om het te vinden, aldus Richard Horne, CEO van NCSC. In zijn voorwoord beschrijft hij de uitdagingen waarmee Britse organisaties worden geconfronteerd als "een orde van grootte". Horne concludeert: "Cybersecurity is nu cruciaal voor de levensduur en het succes van bedrijven. Het is tijd om actie te ondernemen."

Een brief aan de FTSE 350

Deze nadruk op actie wordt ondersteund door recente catastrofale cybergerelateerde storingen die Jaguar Land Rover (JLR), M&S en Co-op Group, om er maar een paar te noemen, troffen. Sommige schattingen schatten de totale verliezen van deze bedrijven en hun leveranciers op bijna £ 1 miljard. Dit is mede de reden waarom het rapport bedrijfsleiders er rechtstreeks toe aanspoort om cybersecurity niet langer als een zaak van de IT-afdeling te beschouwen en zich te realiseren hoe cruciaal het is voor de bedrijfsgroei en de Britse economie.

Daarom is Khoury-Haq van de Co-op Group erin opgenomen. En daarom roept Horne uit: "Alle bedrijfsleiders moeten verantwoordelijkheid nemen voor de cyberweerbaarheid van hun organisatie." Het is ook waarom het rapport verschillende NCSC-initiatieven promoot, zoals:

De Cyber Governance Code of Practice: ontworpen om besturen en directeuren te helpen digitale risico's beter te beheren
Het Cyber Governance Training-programma, dat aansluit bij de vijf kernprincipes van de code: risicomanagement, strategie, mensen, incidentplanning, respons en herstel, en zekerheid en toezicht
Richtlijnen van het NCSC over ‘betrokkenheid bij besturen om het beheer van cyberbeveiligingsrisico’s te verbeteren’, die CISO’s helpen effectiever met hun bestuur te communiceren
De principes voor cyberbeveiligingscultuur, die schetsen hoe een goede beveiligingscultuur eruitziet en hoe gedrag kan worden veranderd
De Cyber Action Toolkit, om het cyberbewustzijn onder leiders van kleine bedrijven te vergroten

Dat is ook de reden waarom de overheid, in een ogenschijnlijk gecoördineerde actie, een brief heeft geschreven aan de CEO's van de FTSE 350, met het verzoek de omvang van de dreiging te erkennen.

"Cybersecurity is te lang een zorg van het middenmanagement geweest en wordt pas in een crisis naar de top doorverwezen. Het gaat er niet om of je slachtoffer wordt van een cyberaanval, maar om voorbereid te zijn op het moment dat het gebeurt." zei de minister van Veiligheid Dan Jarvis bij de lancering van de review. Veelzeggend genoeg wilde hij het concurrentievoordeel benadrukken dat best practices op het gebied van cybersecurity bedrijven kunnen opleveren.

Veerkracht opbouwen

Het goede nieuws is dat, hoewel de dreiging toeneemt, het NCSC beweert dat de meeste activiteiten die het ziet niet radicaal nieuw zijn, of ze nu door de staat worden gesponsord of het werk zijn van groepen zoals Scattered Spider. Dat zou het bereiken van cyberweerbaarheid iets gemakkelijker moeten maken. Maar wat staat er in het rapport? Naast het opnoemen van NCSC-initiatieven zoals Active Cyber Defence en Cyber Essentials, benadrukt het 100 pagina's tellende document het begrip "resilience engineering".

Hoewel het concept zijn oorsprong vindt in de veiligheidstechniek, zou het volgens het NCSC ook effectief kunnen worden toegepast op het cyberdomein, via initiatieven zoals:

Infrastructuur als code: Zorgt ervoor dat organisaties systemen op betrouwbare wijze kunnen repliceren voor snel herstel en betrouwbare, onveranderlijke infrastructuur kunnen implementeren.

Onveranderlijke back-ups: Maakt effectief herstel mogelijk bij volledig verlies van de omgeving (inclusief identiteit, cloudconfiguraties, hypervisors, etc.).

Segmentatie: Voor isolatie en afscherming om de impact tijdens een gebeurtenis te minimaliseren, of “om voortdurend vertrouwensgrenzen te creëren”.

Minste privilege: In alle diensten, om schade te beperken en Zero Trust-benaderingen te ondersteunen.

Observeerbaarheid en monitoring: Om afwijkingen te detecteren en het leerproces na incidenten te verbeteren.

Chaos engineering: Het opzettelijk niet valideren/testen van detectie- en herstelprocessen.

Veerkrachtige operaties: Omvat het garanderen van de beschikbaarheid van crisisrespons-runbooks, digitaal of fysiek, op afzonderlijke platforms of op papier.

Kijk naar normen

Peter Connolly, CEO bij Toro-oplossingenbetoogt dat best practice-normen zoals ISO 27001 organisaties kunnen helpen hun cyberweerbaarheid te verbeteren.

"Het biedt een gestructureerd raamwerk voor risicobeheer dat verder gaat dan IT en ook mensen, fysieke beveiliging en bedrijfscontinuïteit omvat", vertelt hij aan ISMS.online. "Door deze geïntegreerde aanpak kunnen organisaties de impact van incidenten minimaliseren, kritieke activiteiten in stand houden en klanten, investeerders en partners laten zien dat beveiliging een topprioriteit is."

Connolly voegt eraan toe dat organisaties ISO 27001-naleving moeten gebruiken om beveiliging te verankeren in de dagelijkse bedrijfscultuur.

"Dit betekent dat beveiligingsprincipes onderdeel moeten worden van routinematige activiteiten in plaats van ze als een aparte taak te behandelen", concludeert hij. "Begin met het aanpakken van de meest kritieke risico's en zorg ervoor dat cyber-, fysieke en mensgerelateerde beveiliging samen worden beschouwd. Deze aanpak bouwt echte veerkracht op en biedt tegelijkertijd internationaal erkende geloofwaardigheid."

Het woord "veerkracht" wordt 139 keer genoemd in het NCSC-rapport. Het is tijd dat UK PLC hier aandacht aan besteedt.

Phil Muncaster

Phil Muncaster is al vijftien jaar IT-journalist. Hij begon in 20 als verslaggever van de IT-titel IT Week en klom op tot nieuwsredacteur voordat hij vertrok om een freelance carrière na te streven. Sindsdien heeft Phil geschreven voor titels als The Register, waar hij meer dan twee jaar als Azië-correspondent werkte terwijl hij in Hong Kong woonde, MIT Technology Review, SC Magazine, Infosecurity Magazine en anderen.

Lees meer van Phil Muncaster

Cyber security 6 januari 2026

Vijf trends op het gebied van beveiliging en compliance om in 2026 in de gaten te houden.

Hoe ziet het komende jaar eruit voor professionals in cybersecurity en compliance? We hebben het nieuws doorgenomen en de voorspellingen van branchegenoten bestudeerd...

Phil Muncaster

Cyber security 11 December 2025

Is een beveiligingslek door AI-agenten onvermijdelijk in 2026?

Is een beveiligingslek in AI-agenten in 2026 onvermijdelijk?

Het is misschien wel drie jaar geleden dat ChatGPT een nieuwe technologische wapenwedloop ontketende, maar alle ogen zijn nu gericht op AI-agenten. Voorstanders beweren dat het...

Phil Muncaster

Informatiebeveiliging 9 December 2025

Een jaar in naleving: vijf dingen die we in 2025 hebben geleerd - banner

Een jaar in compliance: vijf dingen die we in 2025 hebben geleerd

De afgelopen 12 maanden hebben opnieuw bewezen dat het cybersecuritylandschap zelden een tekort aan incidenten kent. Grote beveiligingsinbreuken kosten organisaties ...

Phil Muncaster