RDI start inspecties assetmanagement in energiesector en digitale infrastructuur

'Als je niet weet wat je hebt, kan je het ook niet beheersen'

De Rijksinspectie Digitale Infrastructuur (RDI) voert deze maanden inspecties uit op assetmanagement bij aanbieders van essentiële diensten (AED’s) in de energiesector en de digitale infrastructuur. Om de continuïteit van de dienstverlening te kunnen waarborgen moeten de risico’s in beeld zijn. Dat vraagt een betrouwbaar overzicht van alle onderdelen (assets) die de dienst omvat. Alleen dan kan je maatregelen treffen om de risico’s te verkleinen. Deze inspecties zijn onderdeel van de RDI-speerpunten 2024 rond de Wet beveiliging netwerk- en informatiesystemen (WBNI).

Assetmanagement cruciaal voor risicobeheersing

We beoordelen of organisaties inzicht hebben in hun kritieke infrastructuur, oftewel de assets die essentieel zijn voor de levering van hun diensten. "Als je niet weet wat je hebt, kan je het ook niet beheersen," aldus onze inspecteurs. Een volledig en accuraat overzicht van alle assets is een basisvoorwaarde voor effectieve risicobeheersing en het treffen van passende beveiligingsmaatregelen.

Een mogelijk maatregel kan zijn het uitvoeren van een kwetsbaarhedenscan. Daarmee brengt je in kaart hoe het IT-landschap bij een organisatie is geregeld. Uit de scan komen de kwetsbaarheden naar voren. De scan laat zien wat mogelijke doelwitten zijn en welke computers, systemen en servers voor hackers interessant kunnen zijn.

Papier versus praktijk

Hoewel veel bedrijven op papier hun assetmanagement op orde lijken te hebben, blijkt uit eerdere inspecties dat er vaak nog verbeterpunten zijn in de praktijk. Tijdens de inspecties beoordelen we ook op locatie hoe processen en procedures daadwerkelijk worden toegepast. Dit houdt in dat we nagaan of concrete assets, zoals firewalls, correct zijn geregistreerd. We onderzoeken niet alleen of een asset in de systemen is opgenomen, maar ook of de geregistreerde assets daadwerkelijk bestaan.

Toetsing op basis van ISO 27000

De RDI hanteert hiervoor een toetsingskader gebaseerd op de best practice ISO 27001. Hierbij ligt de nadruk op verschillende elementen, zoals het beheer van bedrijfsmiddelen, beveiliging in leveranciersrelaties, systeem- en netwerkbeveiliging en het beheer van dreigingen en kwetsbaarheden. Deze elementen helpen om een verbetercyclus te implementeren en een gedegen managementsysteem op te zetten en zorgen voor structurele beveiliging en risicobeheersing.

Oproep aan de sector

De RDI adviseert alle organisaties in de energie en digitale infrastructuursector op om proactief met assetmanagement aan de slag te gaan, ook als ze geen directe inspectie ondergaan. De resultaten van de inspecties worden in het eerste kwartaal van 2025 gedeeld en kunnen als leidraad dienen voor verdere verbetering in de sector.