Ik ben Scott Tang. Ik ben specialistisch inspecteur binnen de RDI. Ik hou me voornamelijk bezig met toezicht op het gebied van cybersecurity op de energiesector en binnen de NIS1.
We zijn er om de digitale weerbaarheid te vergroten binnen Nederland. Het doel is niet om boetes te geven of te sanctioneren, maar om te kijken: waar zit de verbetering? Waar kunnen wij als Nederland de digitale weerbaarheid vergroten?
Ik denk dat het ook onderdeel is van je bedrijfsvoering als geheel. Om als organisatie in controle te zijn. Je doet het niet alleen maar voor de toezichthouder. Je doet het voor jezelf. Dus als er een incident is gebeurd, zal je ook digitaal weerbaar moeten zijn, zodat je de gevolgen van dat incident beperkt kunt houden.
Als iets vandaag goed genoeg is, betekent dat niet dat het morgen goed genoeg is. Het vraagt van de organisatie dat er continu verbeteringen plaatsvinden in het kader van cyberbeveiligingsmaatregelen.
Wij voeren periodieke gesprekken met organisaties, maar ook met brancheverenigingen. Enerzijds halen we daar informatie over sectorspecifieke risico's en ook over de uitvoering van de wet. Als daar knelpunten in zijn nemen we die mee en adresseren we ze bijvoorbeeld naar beleidsmakers of naar de sector zelf. Wat we binnenhalen proberen we ook weer te verspreiden. Zoals de specifieke cybersecurityrisico's. En nieuwe wet- en regelgeving die eraan komt. Zo is er een wisselwerking tussen de toezichthouder en de organisaties die onder toezicht vallen.
Mijn advies zou zijn: identificeer eerst je belangrijkste risico's. En neem ook de belangrijkste assets en leveranciers waar je afhankelijk van bent voor je diensten mee in je risico-inschatting. Zorg dat je de risico's vertaalt naar beheersmaatregelen en zorg dat het uitgevoerd wordt. Dat is de eerste stap die je kunt zetten.