Toezichthouders publiceren voor tweede keer gezamenlijk inspectiebeeld cybersecurity vitale processen

Drinkwater, energie en betalingsverkeer, alle drie voorbeelden van vitale zaken voor Nederlanders. Organisaties die gaan over dit soort zaken, moeten hun digitale veiligheid (cybersecurity) op orde hebben. Denk aan computernetwerken voldoende beveiligen tegen aanvallen.

Uit onderzoek blijkt dat de organisaties die onder toezicht van de ANVS staan voldoen aan de wet. In het rapport ‘Samenhangend inspectiebeeld cybersecurity vitale processen 2021-2022’ pleiten zeven toezichthouders -waaronder de ANVS- wel voor meer aandacht voor het risicomanagement bij organisaties.

Organisaties worden steeds vaker het doelwit van cyberaanvallen. Drinkwaterbedrijven, betalingsverkeer en communicatie tussen hulpverleningsdiensten moeten echter continu kunnen functioneren. Het toezicht op de cybersecurity van deze en andere vitale organisaties en processen ligt bij verschillende toezichthouders. Jaarlijks geven de toezichthouders in een samenhangend inspectiebeeld inzicht in de staat van de cybersecurity van vitale sectoren en processen in Nederland. Hierbij kijken zij specifiek naar de cybersecurity van organisaties die onder hun toezicht vallen. Ook houden zij hun eigen samenwerking en toekomstige trends onder een vergrootglas. De coördinatie ligt bij de Inspectie Justitie en Veiligheid. Dit jaar komt het gezamenlijke rapport voor de tweede keer uit.

Uit de toezichtresultaten van de ANVS komt naar voren dat binnen de nucleaire sector er constant wordt verbeterd. Bij een aantal bedrijven is de digitale weerbaarheid dan ook aantoonbaar sterk toegenomen. Zo is uit inspecties gebleken dat processen en maatregelen aangescherpt of verbeterd waren op het gebied van cybersecurity. De organisaties die bij ons onder toezicht staan, voldoen ook aan de wettelijke eisen met betrekking tot digitale weerbaarheid. De ANVS hoefde dan ook het afgelopen jaar geen handhavende maatregelen te nemen. Er worden wel uitdagingen door onze sector ervaren, zoals meer gekwalificeerd personeel werven en behouden.

Risicomanagement

Een belangrijk onderdeel van cybersecurity is risicomanagement. Dit betekent het voortdurend in beeld hebben van risico’s ten aanzien van cyberveiligheid en hoe een organisatie hiermee omgaat.  Uit het samenhangend inspectiebeeld blijkt dat dit bij organisaties aandacht krijgt. De ANVS en de andere toezichthouders zien echter wel ruimte voor verbetering. Zo moeten organisaties scenario’s van dreigingsbeelden vaker actualiseren. Dat bleek ook uit onderzoek van de Inspectie JenV naar de beveiliging van meldkamersystemen. Aansturing op basis van een zo volledig mogelijke en actuele informatie, met aandacht voor de versterking van het anticipeervermogen van organisaties, bepaalt uiteindelijk hoe weerbaar een organisatie is en blijft tegen verstoring. Ook moeten organisaties zich niet laten verleiden om zich te veel te focussen op een bepaald type dreiging. Juist een brede blik is belangrijk bij risicomanagement, aldus de toezichthouders.

Toezicht

Verbetering van de cybersecurity gaat hand in hand met continue verbetering van het toezicht hierop. Daarom zijn de toezichthouders ook scherp op hun eigen rol. Zo denken ze meer te kunnen doen in het verder verbeteren van de cyberveiligheid door meer te variëren in interventies, zoals de ene keer een bestuurlijk gesprek, de andere keer een verbeterplan. Daarnaast benoemt de Inspectie voor Leefomgeving en Transport (ILT) het belang van verdere versterking van samenwerking tussen toezichthouders. Te denken valt aan het uitwisselen van kennis en expertise, een gezamenlijke aanpak bij het werven van extra cyberinspecteurs of samenwerking bij de uitvoering van inspecties. De ANVS ondersteunt dit uitgangspunt van harte.