Toezichthouders publiceren eerste inspectiebeeld cybersecurity vitale processen

Een groot deel van de onderzochte vitale organisaties in Nederland beseft hoe belangrijk zijn digitale weerbaarheid is en verbetert die telkens. Om alert te blijven op die verbeteringen van de cybersecurity ofwel de digitale veiligheid is wel de kritische blik van toezichthouders nodig.

Dit melden zes toezichthouders in hun eerste Samenhangend inspectiebeeld cybersecurity vitale processen 2020-2021. De zes zijn de Autoriteit Nucleaire Veiligheid en Stralingsbescherming (ANVS), Agentschap Telecom (AT), De Nederlandsche Bank (DNB), Inspectie Gezondheidszorg en Jeugd (IGJ), Inspectie Justitie en Veiligheid (Inspectie JenV) en Inspectie Leefomgeving en Transport (ILT).
Veel organisaties verrichten werk dat van vitaal belang is voor de samenleving. Zoals het leveren van energie, drinkwater, het verrichten van transport en financieel verkeer. Dit verloopt voor een deel digitaal. Als het digitale proces stilvalt door storing of sabotage dan kan de maatschappij ontwricht raken of de nationale veiligheid worden bedreigd. Een digitaal proces moet hiertegen beveiligd zijn. De toezichthouders letten hier op.

ANVS, AT en DNB hebben hun toezicht op cybersecurity stevig ingericht. Andere toezichthouders ontwikkelen dit nog. Daarom is dit cyberbeeld nog niet rijk genoeg om over alle vitale processen uitspraken te doen. Uit onderzoeken van ANVS, AT en DNB blijkt dat in de sectoren nucleair, financieel, ICT/telecom, energie, digitale infrastructuur en de elektronische vertrouwensdiensten voldoende besef is dat zij digitaal bestand moeten zijn tegen storing of sabotage. Soms waren verbetermaatregelen nodig. Het doorvoeren van verbeteringen is een continu proces.
Voor de ILT en de Inspectie JenV is cybertoezicht nog een relatief nieuwe taak, zij bouwen die nog op. Zo heeft de ILT recent een drinkwaterbedrijf onder verscherpt toezicht gesteld vanwege onvoldoende grip op zijn cybersecurity.
De zorgsector is in Nederland tot op heden nog niet vitaal verklaard en er zijn ook nog geen aanbieders van essentiële diensten in de zorg als vitaal aangewezen. De IGJ ziet daarom nog niet toe op vitale organisaties.

Inrichten toezicht

Het inspectiebeeld laat zien dat er nog veel werk verzet moet worden. Daarom is voor cybersecurity niet alleen aandacht nodig van organisaties zelf en toezichthouders maar ook vanuit de ministeries.
Op vitale processen zoals in de chemie en digitale overheidsprocessen zijn nog geen toezichthouders aangewezen. Daarnaast verwachten de toezichthouders dat het aantal vitale sectoren en processen waarop zij hun cybertoezicht moeten uitoefenen zal toenemen, onder andere door het vernieuwen van een Europese richtlijn op het gebied van informatie- en netwerkveiligheid.
Toezicht op cybersecurity vraagt kennis en expertise. Die zijn niet standaard bij alle toezichthouders aanwezig. Zij vragen daarom aandacht voor voldoende voorwaarden en middelen. Dit betreft niet enkel geld, maar ook de beschikbaarheid van goed personeel. Zelf willen de toezichthouders hiertoe een aanzet geven door hun werkwijzen meer op elkaar te laten aansluiten zodat kennis en mensen onderling kunnen worden uitgewisseld. Verder gaan zij samenwerken bij gemeenschappelijk te onderzoeken thema’s.

Hoogspanningsmast bij verdeelstation
Beeld: ©Rijksoverheid / Rijksmediatheek