In het ‘Samenhangend inspectiebeeld cybersecurity vitale processen 2021-2022’ pleiten zeven toezichthouders voor meer aandacht voor het risicomanagement bij organisaties. Ook denken zij meer te kunnen bereiken in het verbeteren van de cybersecurity door meer te variëren in hun interventies.

Organisaties en processen die een belangrijke rol hebben in het functioneren van de Nederlandse maatschappij kunnen zich geen uitval van de ICT veroorloven. Zij moeten hun digitale veiligheid (cybersecurity) op orde hebben door hun computernetwerken te beveiligen tegen aanvallen.

88 procent meer datalekken
Organisaties worden echter steeds vaker het doelwit van cyberaanvallen. In 2021 kreeg de Autoriteit Persoonsgegevens 88 procent meer meldingen van datalekken door cyberaanvallen dan het jaar daarvoor. Bedrijven en instellingen moeten daarom ook hun digitale veiligheid op orde hebben. Met name voor vitale processen en bedrijven, denk aan drinkwaterbedrijven, betalingsverkeer en communicatie tussen hulpverleningsdiensten, is het van belang dat ze betrouwbaar kunnen functioneren. Het toezicht op de cybersecurity van deze en andere vitale organisaties en processen is belegd bij verschillende toezichthouders, namelijk de Autoriteit Nucleaire Veiligheid en Stralingsbescherming (ANVS), Autoriteit Persoonsgegevens (AP), Agentschap Telecom (AT), De Nederlandsche Bank (DNB), Inspectie Gezondheidszorg en Jeugd (IGJ), Inspectie Justitie en Veiligheid (IJenV) en de Inspectie Leefomgeving en Transport (ILT).

Samenhangend inspectiebeeld
Jaarlijks geven de toezichthouders in een samenhangend inspectiebeeld inzicht in de staat van de cybersecurity van vitale sectoren en processen in Nederland. Hierbij kijken zij specifiek naar de cybersecurity van organisaties die onder hun toezicht vallen. Ook houden zij hun eigen samenwerking en toekomstige trends onder een vergrootglas. De coördinatie ligt bij de Inspectie Justitie en Veiligheid (Inspectie JenV).
Risicomanagement – het voortdurend in beeld hebben van risico’s ten aanzien van cyberveiligheid en hoe hiermee om te gaan – krijgt bij organisaties aandacht, blijkt uit het samenhangend inspectiebeeld. De toezichthouders zien echter wel ruimte voor verbetering. Zo moeten organisaties scenario’s van dreigingsbeelden vaker actualiseren. Dat bleek ook uit onderzoek van de Inspectie JenV naar de beveiliging van meldkamersystemen. De Inspectie JenV constateerde dat de ICT-afdeling van de meldkamers wel beveiligingsmaatregelen trof, maar dat niet deed op basis van een zo volledig mogelijk en actueel inzicht in de digitale risico’s. Aansturing op basis van een zo volledig mogelijke en actuele informatie bepaalt uiteindelijk hoe weerbaar een organisatie is tegen verstoring.
Ook moeten organisaties zich niet laten verleiden om zich te veel te focussen op een bepaald type dreiging. Juist een brede scope is belangrijk bij risicomanagement, aldus de toezichthouders.

Toezicht
Verbetering van de cybersecurity gaat hand in hand met continue verbetering van het toezicht hierop. Daarom zijn de toezichthouders ook scherp op hun eigen rol. Zo denken ze meer te kunnen doen in het verder verbeteren van de cyberveiligheid door meer te variëren in interventies, zoals de ene keer een bestuurlijk gesprek, de andere keer een verbeterplan.
Daarnaast onderschrijven de toezichthouders, waaronder de Inspectie Leefomgeving en Transport, het belang van verdere versterking van samenwerking tussen toezichthouders. Bijvoorbeeld door het uitwisselen van kennis en expertise, een gezamenlijke aanpak bij het werven van extra cyberinspecteurs of samenwerking bij de uitvoering van inspecties.
De nieuwe Europese regelgeving op het gebied van informatiebeveiliging vormt een uitdaging voor organisaties en toezichthouders. Het aantal vitale sectoren en organisaties wordt hiermee in één klap een stuk groter. Het toezicht hierop moet wel uitvoerbaar blijven, stellen de Inspecties.