Toezichthouders publiceren samenhangend beeld cybersecurity vitale processen

Organisaties en processen die een belangrijke rol hebben in het functioneren van de Nederlandse maatschappij kunnen zich geen uitval veroorloven. Zij moeten hun digitale veiligheid (cybersecurity) op orde hebben door hun computernetwerken te beveiligen tegen aanvallen. In het vandaag verschenen ‘Samenhangend inspectiebeeld cybersecurity vitale processen 2021-2022’ pleiten zeven toezichthouders voor meer aandacht voor het risicomanagement bij organisaties. Ook denken zij meer te kunnen bereiken in het verbeteren van de cybersecurity door meer te variëren in hun interventies. 

Organisaties worden steeds vaker het doelwit van cyberaanvallen. Bedrijven en instellingen moeten daarom ook hun digitale veiligheid op orde hebben. Met name voor vitale processen en bedrijven –  denk aan drinkwaterbedrijven, betalingsverkeer en communicatie tussen hulpverleningsdiensten –  is het van belang dat ze betrouwbaar kunnen functioneren. Het toezicht op de cybersecurity van deze en andere vitale organisaties en processen is belegd bij verschillende toezichthouders. De samenwerkende toezichthouders zijn Autoriteit Nucleaire Veiligheid en Stralingsbescherming (ANVS), Autoriteit Persoonsgegevens (AP), Agentschap Telecom (AT), De Nederlandsche Bank (DNB), Inspectie Gezondheidszorg en Jeugd (IGJ), Inspectie Justitie en Veiligheid (IJenV) en de Inspectie Leefomgeving en Transport (ILT).

 Jaarlijks geven de toezichthouders in een samenhangend inspectiebeeld inzicht in de staat van de cybersecurity van vitale sectoren en processen in Nederland. Hierbij kijken zij specifiek naar de cybersecurity van organisaties die onder hun toezicht vallen. Ook houden zij hun eigen samenwerking en toekomstige trends onder een vergrootglas.  Met dank aan het voorzitterschap van Agentschap Telecom en met procesmatige coördinatie van de Inspectie JenV kwam dit beeld ook in 2022 tot stand.

Risicomanagement

Risicomanagement – het voortdurend in beeld hebben van risico’s ten aanzien van cyberveiligheid en hoe hiermee om te gaan – krijgt bij organisaties aandacht, blijkt uit het samenhangend inspectiebeeld. De toezichthouders zien echter wel ruimte voor verbetering.

Agentschap Telecom constateerde dat in diverse onderzoeken en heeft aandachtspunten gedeeld met energieproducenten. Daar waar nodig zijn de producenten al gestart met verbetertrajecten. Agentschap Telecom vraagt alle producenten met nadruk aandacht te hebben voor supply chain management. Toenemende afhankelijkheden van derden hebben steeds grotere invloed op de eigen cyberveiligheid. En om daar goed toezicht op te houden, zoekt AT toenemend de samenwerking met collega-toezichthouders in binnen- en buitenland. 

Ook moeten organisaties zich niet laten verleiden om zich te veel te focussen op een bepaald type dreiging. Juist een brede scope is belangrijk bij risicomanagement, aldus de toezichthouders. 

Toezicht

Verbetering van de cybersecurity gaat hand in hand met continue verbetering van het toezicht hierop. Daarom zijn de toezichthouders ook scherp op hun eigen rol. Zo denken ze meer te kunnen doen in het verder verbeteren van de cyberveiligheid door meer te variëren in interventies, zoals de ene keer een bestuurlijk gesprek, de andere keer een verbeterplan.

De nieuwe Europese regelgeving op het gebied van informatiebeveiliging vormt een uitdaging voor organisaties en toezichthouders. Het aantal vitale sectoren en organisaties wordt hiermee in één klap een stuk groter. Het toezicht hierop moet wel uitvoerbaar blijven, stellen de Inspecties.