Organisaties en processen die een belangrijke rol hebben in het functioneren van de maatschappij moeten hun digitale veiligheid op orde hebben. In het ‘Samenhangend inspectiebeeld cybersecurity vitale processen 2021-2022’ pleiten zeven toezichthouders voor meer aandacht voor het risicomanagement bij deze organisaties.
Organisaties worden steeds vaker het doelwit van cyberaanvallen. In 2021 kreeg de Autoriteit Persoonsgegevens 88 procent meer meldingen van datalekken door cyberaanvallen dan het jaar daarvoor. Met name voor vitale processen en bedrijven, zoals drinkwaterbedrijven, betalingsverkeer en communicatie tussen hulpverleningsdiensten, is het belangrijk dat ze betrouwbaar kunnen functioneren. Het toezicht op de cybersecurity van deze en andere vitale organisaties en processen is belegd bij verschillende toezichthouders.
De samenwerkende toezichthouders zijn Autoriteit Nucleaire Veiligheid en Stralingsbescherming (ANVS), Autoriteit Persoonsgegevens (AP), Agentschap Telecom (AT), De Nederlandsche Bank (DNB), Inspectie Gezondheidszorg en Jeugd (IGJ), Inspectie Justitie en Veiligheid (IJenV) en de Inspectie Leefomgeving en Transport (ILT).
Trends
Jaarlijks geven deze toezichthouders in een samenhangend inspectiebeeld inzicht in de staat van de cybersecurity van vitale sectoren en processen in Nederland. Hierbij kijken zij specifiek naar de cybersecurity van organisaties die onder hun toezicht vallen. Ook houden zij hun eigen samenwerking en toekomstige trends onder een vergrootglas. De coördinatie ligt bij de Inspectie Justitie en Veiligheid.
Risicomanagement, het voortdurend in beeld hebben van risico’s ten aanzien van cyberveiligheid en hoe hiermee om te gaan, krijgt bij organisaties aandacht, blijkt uit het samenhangend inspectiebeeld. De toezichthouders zien echter wel ruimte voor verbetering. Zo moeten organisaties scenario’s van dreigingsbeelden vaker actualiseren.
Dat bleek ook uit onderzoek van de Inspectie JenV naar de beveiliging van meldkamersystemen. De Inspectie constateerde dat de ICT-afdeling van de meldkamers wel beveiligingsmaatregelen trof, maar dat niet deed op basis van een zo volledig mogelijk en actueel inzicht in de digitale risico’s. Aansturing op basis van een zo volledig mogelijke en actuele informatie bepaalt uiteindelijk hoe weerbaar een organisatie is tegen verstoring.
Brede scope
Ook moeten organisaties zich niet laten verleiden om zich te veel te focussen op een bepaald type dreiging. Juist een brede scope is belangrijk bij risicomanagement, aldus de toezichthouders.
Verbetering van de cybersecurity gaat hand in hand met continue verbetering van het toezicht hierop. Daarom zijn de toezichthouders ook scherp op hun eigen rol. Zo denken ze meer te kunnen doen in het verder verbeteren van de cyberveiligheid door meer te variëren in interventies, zoals de ene keer een bestuurlijk gesprek, de andere keer een verbeterplan.
Daarnaast onderschrijven de toezichthouders, waaronder de Inspectie Leefomgeving en Transport, het belang van verdere versterking van samenwerking tussen toezichthouders. Bijvoorbeeld door het uitwisselen van kennis en expertise, een gezamenlijke aanpak bij het werven van extra cyberinspecteurs of samenwerking bij de uitvoering van inspecties.
Uitvoerbaar
De nieuwe Europese regelgeving op het gebied van informatiebeveiliging vormt een uitdaging voor organisaties en toezichthouders. Het aantal vitale sectoren en organisaties wordt hiermee in één klap een stuk groter. Het toezicht hierop moet wel uitvoerbaar blijven, stellen de Inspecties.
