Verslag vergadering Commissie voor Economie, Werk, Sociale Economie, Wetenschap en Innovatie
Verslag
De heer Gryffroy heeft het woord.
Minister, door de digitalisering worden onze ondernemingen kwetsbaar. We zien dat bijna de helft van de kmo’s al op een of andere manier te maken heeft gehad met een cyberaanval. Wekelijks worden we ook geconfronteerd met voorbeelden van ondernemingen, maar ook van gemeenten en steden, die hierdoor worden getroffen. We zien ook dat ieder type onderneming hiervan het slachtoffer kan worden, van klein tot groot. Cyberaanvallen veroorzaken veel schade, zowel financieel en organisatorisch als op het vlak van vertrouwen bij klanten en leveranciers, maar we hebben ook de indruk dat velen de risico’s nog niet correct inschatten en zich onvoldoende voorbereiden om hun eigen systemen te beveiligen. Dat gaat soms over kleine dingetjes: standalonecomputers, wachtwoorden die niet regelmatig worden gereset of te eenvoudig zijn enzovoort.
Het blijft een taak van de overheid om hen voor te bereiden en te wapenen tegen deze cyberaanvallen. U voorziet daarvoor jaarlijks ook in een budget. Dat moet bijdragen aan het versterken van het bewustzijn en de basiskennis qua cybersecurity bij onze ondernemers en kmo’s. Daarnaast zijn er de ondersteuningsinstrumenten van VLAIO (Agentschap Innoveren en Ondernemen) om ondernemingen te stimuleren om initiatieven te nemen. De cybersecurityverbetertrajecten ondersteunen kmo’s en maatwerkbedrijven in Vlaanderen bij het verbeteren van hun cyberveiligheid. Kmo’s kunnen nu tot 50 procent steun krijgen op trajecten tussen 17.000 en 35.000 euro, exclusief btw. Vroeger was dat 40 procent. Ik heb op een bepaald moment een schriftelijke vraag gesteld om te weten hoeveel bedrijven dat hadden aangevraagd. Voor 2021 en 2022 samen ging het over 103 Vlaamse kmo’s op een totaal van 680.000 kmo’s die werden bereikt door de cybersecurityverbetertrajecten. In 2021 waren dat er nog 60, in 2022 nog maar 43. De totale ondersteuning was in 2021 ongeveer 950.000 euro en in 2022 ongeveer 650.000 euro. Met andere woorden, we zien een dalende lijn, terwijl we eigenlijk altijd maar meer cybersecurityproblemen horen.
Minister, mijn vraag is dus: hoe evalueert u die cybersecurityverbetertrajecten? Hebt u een verklaring voor de terugval tussen 2021 en 2022? Wat gaat u doen om het instrument meer te promoten? Op welke manier kunnen goede praktijken stimulerend zijn om andere kmo’s te waarschuwen en te sensibiliseren om in te zetten op cybersecurity?
Minister Brouns heeft het woord.
Collega Gryffroy, dank u wel. Dit is een belangrijke vraag.
De cybersecurityverbetertrajecten zijn in 2021 gelanceerd door VLAIO om de Vlaamse kmo’s via diepgaand extern advies te helpen hun cybersecuritymaturiteit substantieel te verbeteren. We moeten er elkaar niet van overtuigen dat dat nodig is. Inzetten op een cyberveilige Vlaamse economie is zeer belangrijk. Na de lancering werd duidelijk dat het niet eenvoudig is om het kmo-landschap te activeren rond cyberveiligheid. Ondanks de opeenvolging van de cyberincidenten die in de pers komen en de vele initiatieven op het vlak van sensibilisering is er bij heel wat bedrijven toch nog steeds een gebrek aan een sense of urgency vast te stellen om de stap naar investeringen daadwerkelijk te zetten. Meer dan oorspronkelijk gedacht moeten we daardoor inspanningen leveren om ondernemingen te werven. We hebben daarom ook al zeer snel een meer laagdrempelige formule, een lightpakket gelanceerd om de drempel te verlagen, maar dat heeft het bereik niet plots de hoogte ingestuwd. We moeten dan ook toegeven dat het aantal ondernemingen die we tot op heden hebben bereikt, dat zijn er dus 110, toch wel ver onder de verwachtingen blijft.
Daarentegen stelt VLAIO op basis van de eindverslagen vast dat ondernemingen waar de verbetertrajecten werden uitgevoerd globaal genomen wel heel tevreden zijn over de geleverde diensten. Die ondernemingen geven aan dat ze door toedoen van de verbetertrajecten enerzijds een stap vooruit hebben gezet inzake cyberveiligheid en zich anderzijds ook sterker bewust zijn van het feit dat er blijvend moet worden ingezet op dat belangrijke thema. Dat sterkt ons ook in de overtuiging dat de aangeboden dienstverlening wel degelijk een toegevoegde waarde heeft. We hebben dan ook de ambitie om dit in de toekomst verder en nog sterker in de markt te zetten. De noodzaak is immers bekend.
De belangrijkste reden voor de terugval van 2021 naar 2022 lijkt op dit ogenblik de onzekere economische situatie, die al zeer snel in 2022 bij veel Vlaamse kmo’s heeft geleid tot het on hold zetten van investeringen. Dit werd ook aan VLAIO bevestigd door diverse dienstverleners. Daarnaast wordt ook vastgesteld dat de capaciteit bij sommige dienstverleners is afgenomen. De werving van kmo’s vraagt immers ook inspanningen van de dienstverleners. VLAIO is hierover dan ook met hen in overleg.
We bekijken momenteel met VLAIO een aantal pistes om het gebruik van de cybersecurityverbetertrajecten te verhogen. Concreet wordt er gedacht aan de mogelijkheid om de financiële drempel verder te verlagen – u verwees daarnaar – door naast het bestaande basispakket en de lightversie een nieuw starterspakket aan te bieden dat enkel de analysefase en de opmaak van een roadmap bevat. De bedoeling is dat deze roadmap voldoende concreet is zodat de IT-partners van een kmo hiermee aan de slag kunnen. Kmo’s die na een starterspakket een stap verder willen zetten met de gespecialiseerde cybersecuritydienstverlener, kunnen dit dan perfect doen binnen het kader van de cybersecurityverbetertrajecten door het pakket te upgraden.
Verder wil ik erop wijzen dat we eind 2022 al beslist hebben om het steunpercentage te verhogen tot 50 procent met als doel de impact van de geïndexeerde tarieven op het aandeel van de kmo tot een minimum te beperken. We willen immers vermijden dat de financiële drempel verder zou toenemen.
Een tweede piste die wordt bekeken, is de mogelijkheid om een bijkomende groep van dienstverleners aan te duiden. Het is immers duidelijk dat de capaciteit van de huidige dienstverleners ook haar limieten kent, zowel op het vlak van cyberexpertise als op het vlak van werving. Voor deze tweede piste is er een nieuwe raamovereenkomst nodig en een dergelijke procedure vraagt de nodige tijd. De eerste piste zouden we al sneller kunnen realiseren.
VLAIO zet al vanaf de start van de cybersecurityverbetertrajecten in op het verzamelen van getuigenissen van bedrijven die getuigen over dit instrument en de acties die ze ondernemen rond cyberveiligheid. Ook in 2023 wordt hier verder op ingezet. Daarnaast wordt er met het industriepartnerschap onder leiding van Agoria en Sirris gewerkt aan een gepersonaliseerde opleiding via e-mail rond cyberveiligheid, waarin ook aandacht geschonken zal worden aan goede praktijken rond cyberveiligheid. Deze laatste zal ergens in de loop van de maand maart gelanceerd worden.
De heer Gryffroy heeft het woord.
Minister, ik dank u voor uw antwoord. Ik vind het goed dat we die evaluatie maken. U geeft een aantal voorzetten. Voor mij hoeft die ondersteuning niet als er geen cybersecurityproblemen zijn, maar die zijn er wel, we moeten daar niet flauw over doen. U raakt een goed punt aan: zijn de bedrijven nog bereid om investeringen te doen in een moeilijk jaar? Maar de vraag is vooral de analyse. Die is soms veel belangrijker. Ik hoor in de bedrijven, als ik daarover praat, dat wachtwoorden zelfs al een probleem zijn. Als ze dat al zouden verbeteren, zouden ze al veel verder staan dan zware investeringen te moeten doen. Een simpele VPN aansluiten en andere zaken kan men al doen en die zouden uit die analyse kunnen komen. Kan die analyse worden gefinancierd via de kmo-portefeuille? Dat is toch het gepaste instrument dat ook zeer laagdrempelig is?
De heer Verbeurgt heeft het woord.
Ik maak van de gelegenheid gebruik om een gedicht voor te dragen. Het heeft niets te maken met dit thema, ik had liever in een andere commissie gezeten deze legislatuur waar literatuur veel aan bod kwam. (Opmerkingen)
Het heeft niets met deze commissie te maken. (Opmerkingen)
Dat kan ik me voorstellen, mijnheer Vande Reyde. (Gelach. Opmerkingen)
Zelfs tien minuten zou al straf zijn.
Het is een van mijn lievelingsgedichten en het zet aan tot denken. Het is van Willem Wilmink en heet ‘Ben Ali Libi’.
Op een lijst van artiesten, in de oorlog vermoord,
staat een naam waarvan ik nog nooit had gehoord,
dus keek ik er met verwondering naar:
Ben Ali Libi. Goochelaar.
Met een lach en een smoes en een goocheldoos
en een alibi dat-ie zorgvuldig koos,
scharrelde hij de kost bij elkaar:
Ben Ali Libi, de goochelaar.
Toen vonden de vrienden van de Weduwe Rost
dat Nederland nodig moest worden verlost
van het wereldwijd joods-bolsjewistisch gevaar.
Ze bedoelden natuurlijk die goochelaar.
Wie zo dikwijls een duif of een bloem had verstopt,
kon zichzelf niet verstoppen, toen er hard werd geklopt.
Er stond al een overvalwagen klaar
voor Ben Ali Libi, de goochelaar.
In 't concentratiekamp heeft hij misschien
zijn aardigste trucs nog wel eens laten zien
met een lach en een smoes, een misleidend gebaar,
Ben Ali Libi, de goochelaar.
En altijd als ik een schreeuwer zie
met een alternatief voor de democratie,
denk ik: jouw paradijs, hoeveel ruimte is daar
voor Ben Ali Libi, de goochelaar.
Voor Ben Ali Libi, de kleine schlemiel,
hij ruste in vrede, God hebbe zijn ziel.
(Applaus)
Om opnieuw te komen tot de actualiteit van deze vraag: ik ging eigenlijk ook verwijzen naar de kmo-portefeuille, maar collega Gryffroy heeft al verwezen naar wat daar de mogelijkheden zijn.
Ten tweede, wat mij toch opviel, zowel in de vraag van collega Gryffroy als in het antwoord, is inderdaad de vaststelling dat bedrijven zich nog onvoldoende bewust lijken te zijn van het probleem. Dat heeft wellicht ook een financieel aspect, maar ik denk dat we niet mogen onderschatten dat er bij bedrijven nog altijd een bewustzijn moet worden gecreëerd over de risico’s op het gebied van cyberveiligheid, ondanks de vele berichtgeving. Mijn vraag is dus of er ook wordt gekeken, met bijvoorbeeld collega Jambon, die bevoegd is voor Digitaal Vlaanderen, maar ook met minister Weyts, bevoegd voor het onderwijs, of we het bewustzijn rond cyberveiligheid al vroeger wakker kunnen maken. Het gaat dan bijvoorbeeld om mensen die vandaag nog studeren en dus richting de arbeidsmarkt gaan, en die misschien een eigen onderneming zullen starten of actief zullen worden in kmo’s. Misschien moeten we ook bij hen dat bewustzijn rond cyberveiligheid proactief wakker maken, zodanig dat we met bedrijven niet de discussie moeten aangaan dat het belangrijk is dat ze erin investeren, maar dat dat bewustzijn er al in wordt gebracht nog voor men aan de slag gaat binnen of met een kmo.
De heer De Roo heeft het woord.
(N.v.d.r.: Wegens een probleem met de microfoon van de heer De Roo kan zijn tussenkomst niet in het verslag worden opgenomen.)
Minister Brouns heeft het woord.
Dank u wel, collega’s. Ik denk dat het absoluut zo is dat het bewustzijn er onvoldoende is bij onze Vlaamse kmo’s. Als je met de werkgeversorganisaties praat, is dat een vaak terugkerend thema. De digitalisering heeft een enorme vlucht genomen. Heel wat ondernemingen zitten daarop. Collega De Roo, we hebben het gisteren ook nog gehad over digitalisering als basis om met data aan de slag te gaan voor nieuwe artificiële-intelligentietoepassingen. Dus ik denk dat we inderdaad een verantwoordelijkheid hebben om dat bewustzijn te vergroten.
Wat betreft de kmo-portefeuille: dat klopt. Met de kmo-portefeuille zijn er bijvoorbeeld 141 kmo’s aan de slag gegaan op het vlak van cybersecurity, naast de cijfers die ik daarnet bekend heb gemaakt. Dat is toch wel belangrijk om even met jullie te delen. Kleine ondernemingen genieten dus 30 procent steun en middelgrote ondernemingen 20 procent. Voor diensten inzake cybersecurity wordt het percentage opgetrokken tot 45 procent voor de kleinere en 35 procent voor de middelgrote ondernemingen. Het maximale subsidiebedrag blijft voor alle diensten hetzelfde, met name 7500 euro per jaar. De kmo-portefeuille, collega Gryffroy, is dus inderdaad complementair.
De heer Gryffroy heeft het woord.
Minister, dank u voor dit bijkomende antwoord.
Collega De Roo, mijn vraag was vooral ingegeven door het feit dat we zien dat cybersecurity een gigantisch probleem is, dat we heel veel kmo’s hebben en dat er blijkbaar maar een heel klein fragmentje is dat eraan deelneemt.
Dan zijn er in principe volgens mij drie mogelijkheden. Ofwel bestaat cybersecurity niet meer. Dat is niet het geval. Ofwel is er een gap tussen wat wij aanbieden vanuit de overheid en wat de bedrijven nodig hebben. Ik denk dat er nog meer kan worden gedaan aan de laagdrempelige analyse. Ofwel is er een probleem met de bekendmaking of met hoe men moet vertellen aan een bedrijf dat er een probleem is. In plaats van te werken via de overheidskanalen zou men eventueel ook de sectorfederaties kunnen aanspreken en hen vragen dat zij in hun vakblad af en toe daarover iets neutraals schrijven via een van hun leden of medewerkers. Misschien kom je zo op een laagdrempelige manier binnen bij de ondernemers.
Ik hoop dat we dit kunnen voortzetten.
Voorzitter, u zult het mij niet kwalijk nemen, maar ik ben ingenieur van opleiding. Edicten en ingenieurs, dat gaat niet altijd samen. (Opmerkingen en gelach)
Het lava vloeit waar het niet lopen kan, of zoiets.
De vraag om uitleg is afgehandeld.