Report meeting Commissie voor Economie, Werk, Sociale Economie, Wetenschap en Innovatie

– Een aantal sprekers nemen mogelijk deel via videoconferentie.

De heer Gryffroy heeft het woord.

Tussen het indienen van deze vraag om uitleg, vorige week, en vandaag worden we bijna dagelijks geconfronteerd met berichten over cyberaanvallen. Ik denk maar aan wat we gehoord hebben over de politiezone Zwijndrecht en de cyberaanval tegen het Europees Parlement na de goedkeuring van de resolutie tegen de oorlog van Poetin. De cyberaanval tegen Defensie jaren geleden kostte 2,25 miljoen euro. Dat bleek recent. Metro en Makro hebben ermee te kampen. Touring werd slachtoffer van een cyberaanval, waardoor het telefoon- en mailverkeer werd verstoord. En een hacker drong binnen in de bestanden van de politie van Zwijndrecht, wat ik daarnet zei. Dat zijn allemaal feiten met enorme gevolgen.

De laatste jaren neemt de dreiging van cyberaanvallen alsmaar toe, althans volgens Agoria. In 2021 waren er 37 procent meer cyberaanvallen per dag dan in 2019. In 2020 zou bijna de helft of 42 procent van de kmo’s het slachtoffer zijn geworden van een cyberincident. Een op de drie van de betrokken ondernemingen viel daardoor stil.

De digitale ontwikkelingen en Artificiële Intelligentie (AI) staan ten dienste van onze ondernemingen, om de productiviteit te verhogen en processen efficiënter te maken. Als alles goed verloopt, biedt dit heel wat kansen. Maar dit is nooit zonder risico. Digitale toepassingen maken onze ondernemingen kwetsbaar. Cyberaanvallen kunnen heel wat overlast bezorgen en economische schade berokkenen. Regelmatig lezen we berichten in de media over getroffen ondernemingen. Ondernemingen bereiden zich wel voor, maar vaak is dat nog altijd ontoereikend en onvoldoende. Een meerderheid zou zelfs niet weten hoe men adequaat moet reageren op een cyberaanval. Er moet op verschillende sporen worden gewerkt, zoals een vorming voor het personeel, het voorzien van aangepaste toepassingen, het inkopen van expertise enzovoort. U, minister, reserveert middelen om onze ondernemingen te sensibiliseren en minder kwetsbaar te maken.

Agoria berekende dat er in Vlaanderen, Wallonië en Brussel 441 bedrijven en 6.405 voltijdse werknemers actief zijn in de sector van de cyberveiligheid. Men stelt vast dat ondernemingen onvoldoende de weg vinden naar de gespecialiseerde ondernemingen. Tot slot geeft Agoria een aantal aanbevelingen zoals meer opleidingen in cyberveiligheid, aanpak van de krapte in de sector, een betere sensibilisering, het investeren in een cyberveiligheidsplan, het steunen van startende ondernemingen en het aanmoedigen van export en buitenlandse investeringen. Daarover heb ik volgende vragen.

Hoe kunnen onze ondernemingen meer bewust worden gemaakt van de gevolgen en de impact van een cyberaanval?

Hoe kunnen we ervoor zorgen dat de experten in cybersecurity beter toegang krijgen tot de ondernemingen? Kan het Agentschap Innoveren en Ondernemen (VLAIO) bijvoorbeeld worden ingeschakeld om de vraag en het aanbod beter te matchen?

De kostprijs voor de ondernemingen blijft een drempel. Hoe kunnen de bestaande incentives, bijvoorbeeld de kmo-portefeuille, beter worden afgestemd en gepromoot voor het investeren in cyberveiligheid?

Op welke manier kan het sensibiliseren rond het opmaken van een cyberveiligheidsplan worden meegenomen bij de toekomstige sectorconvenanten?

Hoe evalueert u de cybersecurityverbetertrajecten? Zijn die voldoende toegankelijk voor kmo’s?

Minister Brouns heeft het woord.

Dank u voor uw belangrijke vraag over cybersecurity, collega Gryffroy.

Veel Vlaamse ondernemingen zijn zich inderdaad nog te weinig bewust van het belang van een afdoend cybersecuritybeleid. Daarom zetten we al enkele jaren in op het sensibiliseren van de ondernemingen, een belangrijk onderdeel in het implementatieluik van de Vlaamse beleidsagenda cybersecurity, waar we jaarlijks meer dan 1 miljoen euro voor vrijmaken.

Concreet gebeurt dit op verschillende manieren in samenwerking met ondernemersorganisaties en kennisinstellingen. De aanpak werd ook al eerder uitgebreid toegelicht.

Veel ondernemingen hebben het idee dat de vaste IT-partner het thema cybersecurity voldoende afdekt. Door in communicatie en infosessies de meerwaarde van de inzet van experten te blijven benadrukken, proberen we de deuren te openen bij de ondernemingen. VLAIO neemt daar vandaag al een belangrijke rol in op. Ten eerste worden ondernemingen die contact opnemen met de frontoffice, waar nodig begeleid in de zoektocht naar een gepaste cyberexpert. Ten tweede zijn er door VLAIO erkende dienstverleners in het kader van de cybersecurityverbetertrajecten, waarover actief gecommuniceerd wordt. Ten slotte is er in de aanvraagmodule van de kmo-portefeuille een tag opgenomen die ondernemingen toelaat te zoeken op dienstverleners met expertise in cyberveiligheid.

Investeren in cyberveiligheid heeft zijn kostprijs, zoveel is duidelijk. Ondernemingen onderschatten echter vaak de financiële impact van een cyberincident of een cyberaanval.

De financiële drempel verlagen doet de Vlaamse overheid zowel via het verhoogd steunpercentage van de kmo-portefeuille als via de steun aan de cybersecurityverbetertrajecten. Met een eigen inbreng vanaf circa 10.000 euro kan een kmo vandaag al instappen in de verbetertrajecten. Hiervoor krijgt men 18 mensdagen advies en begeleiding van een cyberexpert. Het verder verhogen van het steunpercentage – dat gaat dan over meer dan 45 procent – is niet wenselijk omdat het engagement van de onderneming een belangrijke voorwaarde is voor een succesvolle implementatie van de cyberveiligheid.

Op welke manier kan het sensibiliseren rond het opmaken van een cyberveiligheidsplan worden meegenomen bij toekomstige sectorconvenanten? Net zoals in elke generatie van die sectorconvenanten verwacht ik ook in de komende generatie, die start op 1 juli volgend jaar, een degelijke omgevings- en SWOT-analyse (strengths, weaknesses, opportunities, threats). Ik stimuleer de sectoren om hierin de transities en innovaties, zoals bijvoorbeeld digitale ontwikkelingen en artificiële intelligentie die op hun sector en op het ecosysteem errond afkomen, goed te benoemen alsook de impact ervan op in het bijzonder jobs en vaardigheden.

Daarop aansluitend vragen we ook acties die inspelen op de uitdagingen die in de analyse naar boven komen. In het actieplan van die nieuwe sectorconvenanten kunnen er zeker sensibiliserende acties rond cyberveiligheid en het opmaken van zo’n cyberveiligheidsplan worden uitgewerkt. Sectoren kunnen dat meenemen in het opleidingsaanbod dat ze voorzien voor werknemers en ondernemingen en in hun bedrijfsbezoeken. Sectoren kunnen ondernemingen doorverwijzen naar cyberveiligheidsspecialisten en ze kunnen ondernemingen ondersteunen bij mensgericht digitaliseren.

Hoe evalueren wij de cybersecurityverbetertrajecten? Zijn ze voldoende toegankelijk voor onze kmo’s? Vandaag hebben al 98 Vlaamse kmo’s gebruikgemaakt van de cybersecurityverbetertrajecten. Het vergt steeds de nodige tijd om een nieuw instrument in de markt te zetten. Dat blijkt ook nu weer. VLAIO werkt aan het verhogen van de bekendheid van het instrument en het in de verf zetten van de meerwaarde van dit aanbod, bijvoorbeeld via getuigenissen van ondernemingen. Met de introductie van de lightversie hebben we bovendien de financiële drempel al verder verlaagd. Ondanks de trage opstart is het belangrijk om het instrument een kans te blijven geven om de maturiteit inzake cybersecurity bij nog meer Vlaamse ondernemingen te verhogen, zoveel zal duidelijk zijn uit mijn antwoord, collega Gryffroy.

De heer Gryffroy heeft het woord.

Ik dank u voor uw antwoord.

Een van de pijnpunten die u aankaart, is dat niet enkel het wegwerken van financiële drempels een probleem is, maar ook het meekrijgen van het engagement van de ondernemers. Maar daardoor geraken we een klein beetje in het verhaal van de kip of het ei. Want u zegt zelf dat momenteel 98 kmo’s het traject hebben opgezet. Dat is eigenlijk bitter, bitter weinig. Je kunt echt niet zeggen dat dat veel is op het totale aantal kmo’s. Heel vaak gaat het ook over slechte paswoorden, simpele zaken die worden opengelaten enzovoort.

Ik blijf een beetje op mijn honger zitten: hoe kunnen we de cyclus van het kip of het ei doorbreken? Hoe kunnen we Vlaanderen een duwtje in de rug geven? Ik heb het dan niet noodzakelijk over die financiële drempels, maar eerder over een gigantische communicatiecampagne vanuit VLAIO, die de ondernemingen dat kan duidelijk maken. We hebben nog dergelijke campagnes vanuit de overheid gezien: die kunnen wel degelijk een effect hebben. Als we het engagement van de ondernemingen willen krijgen, moeten we toch wel iets doen. Want 98 kmo’s vind ik bijzonder weinig.

De heer De Roo heeft het woord.

Collega Gryffroy, ik dank u voor uw vraag. Het is een zeer pertinente vraag, omdat cyberveiligheid iets is waarvan we onze bedrijven moeten bewustmaken en waarrond bedrijven ook acties zullen moeten ondernemen. Er zijn steeds meer gevallen van cybercriminaliteit in het nieuws. Hoe meer we gaan digitaliseren en hoe meer we bepaalde internettoepassingen intensiever gaan gebruiken, hoe groter de kans op meer cyberaanvallen. Het is een tijdje iets rustiger geweest, vanwege de oorlog in Oekraïne. Een aantal Russische hackerscollectieven zijn uit elkaar gevallen door het droogleggen van de financiële stromen daarnaartoe. Maar jammer genoeg zit de activiteit er bij die collectieven weer in, waardoor er meer en meer aanvallen zijn.

Vlaanderen heeft een goed beleidsplan opgesteld rond cyberveiligheid. Het bevat een aantal interessante luiken: het onderzoeksluik, het implementatieluik, het bewustwordingsluik voor mensen op de werkvloer.

Collega Gryffroy, ik ondersteun u wanneer u zegt dat het aantal bedrijven dat instapt in een traject of dat daarmee bezig is, omhoog moet. Maar eigenlijk wil ik zelfs nog een stapje terug doen en een bijkomende vraag stellen aan de minister. Heel wat bedrijven die te maken hebben met een cyberaanval, doen geen aangifte bij de politie, maar maken ook niet kenbaar dat ze kwetsbaar of aangevallen zijn en een bepaalde som losgeld hebben betaald. Minister, hoe kunnen we ervoor zorgen dat bedrijven die het slachtoffer zijn van cyberaanvallen effectief de stap durven te zetten om aangifte te doen, zodat het probleem ook nog breder op de kaart wordt gezet?

Minister Brouns heeft het woord.

Collega's, ik heb het in deze commissie al een paar keer gezegd: de voorbije maanden, sinds ik minister ben, heb ik tot mijn verrassing vastgesteld dat het Vlaamse steuninstrumentarium, dat zeer breed is, in dit geval rond cybersecurity, nog niet altijd bekend is bij de grote massa van onze bedrijven. Het blijft een heel belangrijk aandachtspunt om dat aanbod zo bekend te maken dat wie er aanspraak op kan maken, dat ook maximaal benut. Dat is hier niet anders.

Ik verwijs graag naar wat we doen, bijvoorbeeld naar de eerstelijnsdienstverlening die gratis is en de sensibilisering daarrond via het VLAIO-netwerk. Er zijn reeds verschillende campagnes geweest, onder andere via Kanaal Z. Er is op 13 september 2021 binnen de kmo-portefeuille een verhoogd steunpercentage ingevoerd voor cyberveiligheid. Dat heeft ook effect gehad. 163 hebben daar toen van gebruikgemaakt.

Het gaat misschien traag. Het is noodzakelijk dat ondernemend Vlaanderen parallel met het tempo waarop we vandaag digitaliseren de trein van cybersecurity neemt. De overheden en de politici hebben de verantwoordelijkheid om het belang daarvan te benadrukken bij onze Vlaamse bedrijven.

De heer Gryffroy heeft het woord.

Ik vond het laatste deel van de tussenkomst van collega De Roo zeer interessant. Ik heb ook geen antwoord op die vraag. Ik ben er niet zeker van dat de bedrijven het niet melden uit onkunde, waarschijnlijk is het ook uit schaamte. We kunnen er geen getal op plakken hoeveel bedrijven het meemaken en het niet durven te vertellen. Dat bevestigt nog meer mijn oproep om te gaan kijken naar een laagdrempelige brede communicatie. We zullen dat zeker nog bespreken in deze commissie. Kanaal Z is daarvoor te specifiek. Ik zou zelfs bijna durven te verwijzen naar de campagne die werd gevoerd rond het meldpunt historisch misbruik. Dat was zo laagdrempelig dat het aantal meldingen op zeer korte tijd is verdubbeld.

Ik heb het gevoel dat we spreken over een vorm van schaamte. We moeten die schaamte bij de bedrijven wegwerken zodat ze wel een melding doen, waardoor het kan worden gedetecteerd en we kunnen bekijken hoe we eventueel ons plan rond cybersecurity moeten aanpassen. In de toekomst moeten we vooral bekijken hoe we het probleem van het niet melden kunnen wegwerken.