Toezichthouders publiceren samenhangend beeld cybersecurity vitale processen

Organisaties en processen die een belangrijke rol hebben in het functioneren van de Nederlandse maatschappij kunnen zich geen uitval veroorloven. Zij moeten hun digitale veiligheid (cybersecurity) op orde hebben door hun computernetwerken te beveiligen tegen aanvallen. In het vandaag verschenen ‘Samenhangend inspectiebeeld cybersecurity vitale processen 2021-2022’ pleiten zeven toezichthouders voor meer aandacht voor het risicomanagement bij organisaties. Ook denken zij meer te kunnen bereiken in het verbeteren van de cybersecurity door meer te variëren in hun interventies.

Organisaties worden steeds vaker het doelwit van cyberaanvallen. In 2021 kreeg de Autoriteit Persoonsgegevens 88% meer meldingen van datalekken door cyberaanvallen dan het jaar daarvoor. Bedrijven en instellingen moeten daarom ook hun digitale veiligheid op orde hebben. Met name voor vitale processen en bedrijven, denk aan drinkwaterbedrijven, betalingsverkeer en communicatie tussen hulpverleningsdiensten, is het van belang dat ze betrouwbaar kunnen functioneren. Het toezicht op de cybersecurity van deze en andere vitale organisaties en processen is belegd bij verschillende toezichthouders1.  Jaarlijks geven de toezichthouders in een samenhangend inspectiebeeld inzicht in de staat van de cybersecurity van vitale sectoren en processen in Nederland. Hierbij kijken zij specifiek naar de cybersecurity van organisaties die onder hun toezicht vallen. Ook houden zij hun eigen samenwerking en toekomstige trends onder een vergrootglas. De coördinatie ligt bij de Inspectie Justitie en Veiligheid (Inspectie JenV).

Risicomanagement

Risicomanagement-het voortdurend in beeld hebben van risico’s ten aanzien van cyberveiligheid en hoe hiermee om te gaan- krijgt bij organisaties aandacht, blijkt uit het samenhangend inspectiebeeld. De toezichthouders zien echter wel ruimte voor verbetering. Zo moeten organisaties scenario’s van dreigingsbeelden vaker actualiseren. Dat bleek ook uit onderzoek van de Inspectie JenV naar de beveiliging van meldkamersystemen. De Inspectie JenV constateerde dat de ICT-afdeling van de meldkamers wel beveiligingsmaatregelen trof, maar dat niet deed op basis van een zo volledig mogelijk en actueel inzicht in de digitale risico’s. Aansturing op basis van een zo volledig mogelijke en actuele informatie bepaalt uiteindelijk hoe weerbaar een organisatie is tegen verstoring. 

Ook moeten organisaties zich niet laten verleiden om zich te veel te focussen op een bepaald type dreiging. Juist een brede scope is belangrijk bij risicomanagement, aldus de toezichthouders.
 

Toezicht

Verbetering van de cybersecurity gaat hand in hand met continue verbetering van het toezicht hierop. Daarom zijn de toezichthouders ook scherp op hun eigen rol. Zo denken ze meer te kunnen doen in het verder verbeteren van de cyberveiligheid door meer te variëren in interventies, zoals de ene keer een bestuurlijk gesprek, de andere keer een verbeterplan. 

Daarnaast onderschrijven de toezichthouders, waaronder de Inspectie Leefomgeving en Transport, het belang van verdere versterking van samenwerking tussen toezichthouders. Bijvoorbeeld door het uitwisselen van kennis en expertise, een gezamenlijke aanpak bij het werven van extra cyberinspecteurs of samenwerking bij de uitvoering van inspecties.

De nieuwe Europese regelgeving op het gebied van informatiebeveiliging vormt een uitdaging voor organisaties en toezichthouders. Het aantal vitale sectoren en organisaties wordt hiermee in één klap een stuk groter. Het toezicht hierop moet wel uitvoerbaar blijven, stellen de Inspecties.


1 De samenwerkende toezichthouders zijn Autoriteit Nucleaire Veiligheid en Stralingsbescherming (ANVS), Autoriteit Persoonsgegevens (AP), Agentschap Telecom (AT), De Nederlandsche Bank (DNB), Inspectie Gezondheidszorg en Jeugd (IGJ), Inspectie Justitie en Veiligheid (IJenV) en de Inspectie Leefomgeving en Transport (ILT).

UTP netwerkkabels in een patchkast van een computerruimte
Beeld: ©Rijksmediatheek / Valerie Kuypers