Toezichthouders: Merendeel van vitale organisaties is zich bewust van belang cybersecurity

Een groot deel van de vitale organisaties in Nederland beseft het belang van digitale weerbaarheid en verbetert deze telkens. Een kritische blik van toezichthouders is echter nodig om alert te blijven op verbeteringen op het gebied van cybersecurity en digitale veiligheid.

Dit melden zes toezichthouders in hun eerste Samenhangend inspectiebeeld cybersecurity vitale processen 2020-2021. De Autoriteit Nucleaire Veiligheid en Stralingsbescherming (ANVS), Agentschap Telecom (AT), De Nederlandsche Bank (DNB), Inspectie Gezondheidszorg en Jeugd (IGJ), Inspectie Justitie en Veiligheid (Inspectie JenV) en Inspectie Leefomgeving en Transport (ILT) werkten mee aan het onderzoek. Zij houden toezicht op de beveiliging van vitale digitale processen, zoals het leveren van energie, drinkwater, transport en financieel verkeer.

Toezicht verschilt per toezichthouder

Het rapport meldt dat ANVS, AT en DNB hun toezicht op cybersecurity 'stevig hebben ingericht'. Andere toezichthouders ontwikkelen dit nog. Daardoor doet het rapport niet over alle vitale processen uitspraken. Uit onderzoeken van ANVS, AT en DNB blijkt dat in de sectoren nucleair, financieel, ICT/telecom, energie, digitale infrastructuur en de elektronische vertrouwensdiensten partijen voldoende beseffen dat zij digitaal bestand moeten zijn tegen verstoring of sabotage.

Voor de ILT en Inspectie JenV is cybertoezicht echter nog een relatief nieuwe taak, die nog wordt opgebouwd. De ILT stelde onlangs bijvoorbeeld een drinkwaterbedrijf onder verscherpt toezicht aangezien het bedrijf onvoldoende grip had op zijn digitale veiligheid. De zorgsector is in Nederland tot nu toe niet vitaal verklaard. Ook zijn er geen aanbieders van essentiële diensten in de zorg als vitaal aangewezen. De IGJ houdt daarom nog geen toezicht op vitale organisaties.

Nog veel werk te verzetten

De toezichthouders melden dat er nog veel werk verzet moet worden. Niet alleen vanuit organisaties en toezichthouders, maar ook vanuit ministeries is daarom meer aandacht nodig voor cybersecurity. Zo zijn voor vitale processen in de chemie en digitale overheidsprocessen nog geen toezichthouders aangewezen. Ook verwachten de toezichthouders dat het aantal vitale sectoren en processen waarop zij toezicht moeten houden gaat groeien. Onder meer door het vernieuwen van een Europese richtlijn op het gebied van informatie- en netwerkveiligheid.

De partijen wijzen erop dat cybersecurity om kennis en expertise vraagt, maar deze niet altijd standaard aanwezig is bij alle toezichthouders. Zij vragen daarom om voldoende voorwaarden en middelen . Het gaat hierbij niet alleen om geld, maar ook om de beschikbaarheid van goed personeel. De toezichthouders willen hun werkwijzen meer op elkaar laten aansluiten, zodat kennis en mensen onderling kunnen worden uitgewisseld. Ook gaan de partijen samenwering bij gezamenlijk te onderzieken thema's.