Goedemorgen!
Mijn naam is Ingeborg Kortekaas en ik ben werkzaam als Security Officer voor het bedrijfsonderdeel Wind van Vattenfall. Daarnaast vervul ik de rol van National Information Security Officer voor Vattenfall NV.
Ik ben Jeroen Cordeweners, Coördinerend Inspecteur bij de Rijksinspectie Digitale Infrastructuur. Ik werk binnen de afdeling Digitale Weerbaarheid samen met mijn collega’s aan de programmering en planning van het toezichtswerk en ben specifiek coördinator voor de energiesector.
De energiesector is één van onze vitale infrastructuren in Nederland. Iedereen wil thuis het licht kunnen aandoen en de verwarming kunnen gebruiken zonder zich af te vragen of dat werkt. Vrijwel alle vitale processen en systemen zijn digitaal of hebben een digitaal component, en dat geldt ook voor energieproducenten. Daarmee zijn we helaas ook kwetsbaar voor digitale dreigingen. Het is dus noodzakelijk om deze systemen goed te beschermen. Dat is ook het achterliggende idee van de wetgeving: partijen moeten extra stappen zetten om dit te waarborgen. Daarom zetten wij in op samenwerking met organisaties in deze sector om de digitale weerbaarheid stap voor stap te verhogen.
De komst van de Cyberbeveiligingswet heeft voor ons een beperkte impact, omdat we al sinds 2021 voldoen aan de voorloper ervan. Dat neemt niet weg dat bepaalde maatregelen worden aangescherpt, zoals leveranciersmanagement. Als producent van windenergie zijn we afhankelijk van een beperkt aantal toeleveranciers voor windturbinecomponenten. Als daar iets misgaat, hebben wij direct een probleem, bijvoorbeeld bij reserveonderdelen. Een goede relatie met leveranciers is daarom essentieel.
De sector kent veel uitdagingen. Net als in andere sectoren neemt de verwevenheid in de keten toe. Het gesprek met toeleveranciers over cybersecurity en informatiebeveiliging wordt steeds meer onderdeel van het reguliere contact. Dat is een belangrijk aanknopingspunt. Cybersecurity moet geen geïsoleerd onderwerp zijn, maar een integraal onderdeel van het risicomanagement van een organisatie.
Tot nu toe heb ik bij inspecties ervaren dat er ruimte is voor feedback over hoe audits zinvol kunnen worden ingericht. Wij opereren in meerdere EU-lidstaten en toen er vorig jaar een inspectie door de RDI werd uitgevoerd, hadden we net ook een inspectie in een ander land gehad. Die informatie hebben we gedeeld, zodat niet opnieuw dezelfde zaken werden getoetst, maar er juist op andere punten werd gefocust. Er is toen bewust gekozen voor een bottom-up aanpak: niet eerst kijken naar documentatie, maar direct naar de werking van beheersmaatregelen. Dat vond ik een prettige aanpak.
Wij waren als toezichthouder ook blij met het initiatief van Vattenfall om hierover in gesprek te gaan. We werken uiteindelijk met hetzelfde doel: het vergroten van de digitale weerbaarheid. Een complex bedrijf als Vattenfall heeft met veel toezichthouders te maken en daar hebben wij oog voor. We zoeken naar manieren om de administratieve lasten te beperken, zonder afbreuk te doen aan het doel van toezicht. Dit was een goed voorbeeld van hoe we daar samen uit zijn gekomen.
Onderdeel van de inspectie was om niet alleen naar documentatie te kijken, maar ook daadwerkelijk een windmolenpark te bezoeken. Zo zie je hoe beleid en praktijk op elkaar aansluiten. Dat is het voordeel van een bottom-up benadering: eerst kijken hoe het in de praktijk werkt en daarna de vertaalslag maken naar processen en documentatie.
Wat ik andere organisaties zou adviseren, is om de Cyberbeveiligingswet vooral te zien als een kans en niet als een verplichting. Het doel is niet alleen voldoen aan wet- en regelgeving, maar het beter beschermen van vitale infrastructuur. Daarnaast is samenwerking belangrijk. Grote organisaties zoals Vattenfall zijn vaak aangesloten bij brancheorganisaties, maar ook voor kleinere partijen is het waardevol om die samenwerking op te zoeken en van elkaar te leren.
Wacht niet af tot de wet in werking treedt, maar ga nu al aan de slag. Er is veel informatie beschikbaar om de eerste stappen te zetten. Bedrijven blijven zelf verantwoordelijk voor het nemen van de juiste maatregelen, maar waar mogelijk proberen wij als toezichthouder te helpen. Alles wat je nu doet, helpt om het niveau in de toekomst te verhogen.
Tot slot: zorg dat cybersecurity niet alleen binnen één afdeling blijft, maar breng het naar de bestuurstafel. Het moet een integraal onderdeel zijn van het risicomanagement, net als andere bedrijfsrisico’s.