Medewerkers RDI aan het woord: wat betekent de Cbw voor uw organisatie?

Wido den Hollander, ik ben CTO van Your.Online. Your.Online is een holdingorganisatie. Wij hebben een groot aantal dochterbedrijven. In Nederland, Europa en ook buiten Europa. We houden ons bezig met online presence hoe we dat noemen, bedrijven zijn aanwezig op het internet en in alle vormen bieden wij daar diensten voor aan. We doen daarin veel overnames en proberen onze bedrijven organisch te groeien. En goede en betrouwbare online dienstverlening aan te bieden.
Mijn naam is Rob Augustinus. Ik ben specialistisch inspecteur en ik houd me bezig met het toezicht op IT bedrijven in de digitale infrastructuur zoals Your.Online. En daarbij kijk ik of die bedrijven voldoen aan de wet en regelgeving op het gebied van cybersecurity, zoals de Cyberbeveiligingswet.

De Cyberbeveiligingwet is er niet voor niks. Het is er voor digitale weerbaarheid. En dat is ook gewoon het belang van alle bedrijven, maar ook van heel Nederland om digitaal weerbaar te zijn. Want er zijn genoeg nieuwe dreigingen die allemaal op ons afkomen. IT wordt ook veel, veel complexer. En je hebt ook nieuwe technologische ontwikkelingen zoals AI, wat weer allerlei nieuwe mogelijkheden geeft voor aanvallers om aanvallen op te zetten. Maar ook het hele verwevenheid eigenlijk. De keten afhankelijkheden die zijn voor bedrijven zoals Your.Online, heel veel leveranciers en heel veel partners.
Toenemende complexiteit in de infrastructuur. Een constante technologische race om je cyber securityrisico's te kunnen managen, maar ook om bij te blijven op het gebied van cybersecurity. Het komt dagelijks voor dat wij aanvallen krijgen, bijna elk uur komen er aanvallen binnen. Dat kunnen hele simpele aanvallen zijn, waar iemand probeert gebruikersnaam en wachtwoord combinatie in te vullen op een systeem van ons en probeert binnen te komen of complexere aanvallen, dat iemand echt probeert systemen offline te krijgen, plat te leggen.
Nou ik denk dat de komst van de Cyberbeveiligingswet een goede toevoeging is op het digitale landschap. We hebben een hele complexe infrastructuur staan, niet alleen in Nederland, maar eigenlijk Europees en wereldwijd. Waar we denk ik niet altijd volledig begrijpen waar de uitdagingen zitten in de infrastructuur. De Cyberbeveiligingswet die zorgt ervoor dat we heldere spelregels krijgen en kaders krijgen waar we als bedrijf aan moeten voldoen. Je merkt dat het bij grootaandeelhouders en ook bij een supervisory board ook daadwerkelijk echt leeft. Er worden continu vragen over gesteld.

Ja, dat klopt. Je kunt niet vroeg genoeg beginnen met je voor te bereiden op de Cyberbeveiligingwet. En dat is ook goed, dat Your.Online daar nu al actief mee bezig is. Het hele uitgangspunt van de Cyberbeveiligingswet is eigenlijk risicomanagement. Goed inzicht krijgen als bedrijf in je risico's. Ook je bewustzijn; met welke risico?s heb ik te maken, specifiek voor mijn bedrijfsvoering?
Wat de cyberbeveiligingswet ons natuurlijk biedt is dat het hele strikte kaders schetst over wat we als organisatie moeten gaan doen. Dus ik kan ook makkelijker in een vergadering binnenlopen bij de board en zeggen, dit is wat de Cyberbeveiligingswet ons verplicht om te gaan doen en daar moeten we ons aan gaan conformeren. Dus het maakt ook heel veel zaken een stuk helderder en duidelijker en ook Europees wat we dus moeten gaan doen met onze bedrijven.
Wij zijn eigenlijk al heel vroeg toen al de eerste wetgeving in concept aanwezig was begonnen met bedrijven te informeren. En dat deden we dus door naar brancheorganisaties toe te gaan om daar te gaan vertellen over de nieuwe wetgeving. Daarnaast zijn we ook regelmatig op events waar we worden uitgenodigd en zo proberen we ook awareness te cre ren van kijk, het komt eraan. Daarnaast vragen veel bedrijven zich af val ik nu eigenlijk onder de Cyberbeveiligingswet? En moet ik mezelf gaan registreren? En daar heeft ook RDI een tool voor beschikbaar op onze website waarbij bedrijven een hele beslisboom kunnen volgen, waarbij ze uiteindelijk dan de vraag wordt beantwoord van ja ik val wel of niet onder de Cyberbeveiligingswet en onder welke sector en moet ik me daarvoor registreren?

Ik zie teveel organisaties die zeggen: Oh ja, de Cyberbeveiligingswet komt eraan. Ja, daar moet ik misschien nog wat mee doen? Maar ik heb nu even andere dingen te doen. Ik zou die organisaties zeggen ga pro-actief aan de slag met het stuk wetgeving, want het komt eraan en het kan echt helpen om je bedrijf beter te maken.
 

Mijn functie bij de RDI is manager toezicht op vertrouwensdiensten en inlogmiddelen. Het belang van digitale weerbaarheid is dat bedrijven en burgers vertrouwen kunnen hebben in het beschikbaar zijn en in de veiligheid van de digitale infrastructuur. Als medewerker bij de RDI werk ik eraan mee om die veiligheid ook te borgen.

Ook zijn we ons in ons team aan het voorbereiden op de veranderingen die de Cyberbeveiligingswet met zich meebrengt. Die wetgeving is er vanwege de realiteit waarin we leven. Die realiteit is dat we heel erg steunen op onze digitale infrastructuur voor onze economie, en eigenlijk voor alles wat we dagelijks doen. En dat die digitale infrastructuur dan ook betrouwbaar is. Dat is waarvoor wij het doen en waarvoor bedrijven het ook zouden moeten doen. Dat de regelgeving er nog niet is, betekent natuurlijk niet dat die realiteit er niet al is.
Wat typisch is aan de RDI, is dat hier mensen rondlopen met allemaal verschillende expertises en achtergronden. We zijn allemaal heel erg gedreven om Nederland veilig verbonden te houden. We werken veel samen om de verschillende toezichtsactiviteiten te kunnen ontplooien.

Ik denk dat het moeilijkste voor organisaties is dat er niet één recept is om te voldoen aan de wetgeving. Je moet namelijk de maatregelen nemen die passen bij jouw risico's en dat maakt het moeilijk. Zij zijn verantwoordelijk voor een goede inschatting van die risico's en de maatregelen die daarbij passen.

Mijn advies zou zijn: bescherm je bedrijf, begin vandaag nog. Krijg zicht op de risico's die er spelen en ga met ons in gesprek.
 

Ik ben Scott Tang. Ik ben specialistisch inspecteur binnen de RDI. Ik hou me voornamelijk bezig met toezicht op het gebied van cybersecurity op de energiesector en binnen de NIS1.
We zijn er om de digitale weerbaarheid te vergroten binnen Nederland. Het doel is niet om boetes te geven of te sanctioneren, maar om te kijken: waar zit de verbetering? Waar kunnen wij als Nederland de digitale weerbaarheid vergroten?

Ik denk dat het ook onderdeel is van je bedrijfsvoering als geheel. Om als organisatie in controle te zijn. Je doet het niet alleen maar voor de toezichthouder. Je doet het voor jezelf. Dus als er een incident is gebeurd, zal je ook digitaal weerbaar moeten zijn, zodat je de gevolgen van dat incident beperkt kunt houden.

Als iets vandaag goed genoeg is, betekent dat niet dat het morgen goed genoeg is. Het vraagt van de organisatie dat er continu verbeteringen plaatsvinden in het kader van cyberbeveiligingsmaatregelen.

Wij voeren periodieke gesprekken met organisaties, maar ook met brancheverenigingen. Enerzijds halen we daar informatie over sectorspecifieke risico's en ook over de uitvoering van de wet. Als daar knelpunten in zijn nemen we die mee en adresseren we ze bijvoorbeeld naar beleidsmakers of naar de sector zelf. Wat we binnenhalen proberen we ook weer te verspreiden. Zoals de specifieke cybersecurityrisico's. En nieuwe wet- en regelgeving die eraan komt. Zo is er een wisselwerking tussen de toezichthouder en de organisaties die onder toezicht vallen.

Mijn advies zou zijn: identificeer eerst je belangrijkste risico's. En neem ook de belangrijkste assets en leveranciers waar je afhankelijk van bent voor je diensten mee in je risico-inschatting. Zorg dat je de risico's vertaalt naar beheersmaatregelen en zorg dat het uitgevoerd wordt. Dat is de eerste stap die je kunt zetten.
 

Mijn naam is Arjan de Jong. Ik ben werkzaam bij de RDI als inspecteur en als jurist. Ik heb op twee wijzen te maken met de Cyberbeveiligingswet. Enerzijds omdat ik in de toekomst toezicht ga houden op de Cyberbeveiligingswet. Daarnaast werk ik nu aan de voorkant al mee aan de Cyberbeveiligingswet en ben ik dus betrokken bij de totstandkoming van die wetgeving. Ik heb daar vooral vanuit het perspectief van toezicht over geadviseerd.

Onze samenleving steunt op digitale techniek. Ja, dat biedt heel veel kansen. Heel veel innovatie. Mooie nieuwe dingen. Maar het maakt ons tegelijkertijd afhankelijk van die digitale technologie. Verstoringen in die digitale technologie zullen dus steeds vaker een impact hebben. Een mogelijk grote impact. In het bijzonder bij bedrijven die een belangrijke rol spelen in de maatschappij. Als zij een verstoring hebben, kan dat grote consequenties hebben. Niet alleen voor henzelf, maar ook voor de rest van de maatschappij.

De wetgeving is op punten open geformuleerd. Omdat digitale weerbaarheid zoveel aspecten omvat dat je het niet tot de punt en komma dicht kunt regelen. Enerzijds kun je nooit helemaal volledig zijn en anderzijds, als je het helemaal tot de punt en komma dicht regelt, kan het ook onnodig gaan knellen bij partijen. En het kan er natuurlijk ook voor zorgen dat ontwikkeling stil komt te staan.

Als bedrijf is het echt belangrijk dat je snel aan de slag gaat. Er is eigenlijk geen reden om als organisatie niet nu al een vliegende start te maken. Want ja, digitale weerbaarheid is niet alleen iets in het hier en nu. Daarbij moet je natuurlijk goed oog hebben voor de toekomst.
 

00:00:02:07 - 00:00:03:11
Welkom bij de Kiesraad!

00:00:03:11 - 00:00:04:10
Dank je wel.

00:00:06:05 - 00:00:07:09
Ik ben Fleur van Leusden.

00:00:07:09 - 00:00:09:09
Ik ben CISO bij de Kiesraad.

00:00:09:09 - 00:00:13:20
Dat houdt in dat ik me bezighoud met informatie
beveiliging van het verkiezingsproces.

00:00:13:21 - 00:00:16:20
Digitale weerbaarheid zit
echt ingebakken in alles wat wij doen.

00:00:16:20 - 00:00:19:07
Omdat het raakt aan
het hart van onze missie.

00:00:19:07 - 00:00:23:00
Onze missie is: in Nederland kan iedereen de uitslag
van verkiezingen vertrouwen

00:00:23:05 - 00:00:26:12
en dat maakt dat het voor ons
een hele hoge prioriteit heeft.

00:00:27:06 - 00:00:30:12
Freddie Muller, ik ben verbindend adviseur NIS2 overheid.

00:00:30:18 - 00:00:31:21
En ik hou me dan specifiek

00:00:31:21 - 00:00:34:18
bezig met ministeries en ZBO’s en provincies.

00:00:34:18 - 00:00:37:14
Vanuit RDI proberen we de start met

00:00:37:14 - 00:00:41:03
de Cyberbeveiligingswet te bespoedigen
en we zijn nu aan het kijken.

00:00:41:14 - 00:00:44:12
Ja, wat is er al bij die organisaties?

00:00:47:11 - 00:00:50:19
We komen in de praktijk
heel veel verschillende organisaties tegen

00:00:50:19 - 00:00:52:14
met allerlei verschillende volwassenheden.

00:00:53:01 - 00:00:56:01
Daarbij zijn er ook nog
organisaties die nog, ja

00:00:56:01 - 00:00:59:01
eigenlijk moeten beginnen
of in de kinderschoenen staan.

00:00:59:19 - 00:01:01:13
Ja, daarbij adviseren we

00:01:01:13 - 00:01:04:00
echt om te starten met risicoanalyses, 

00:01:04:00 - 00:01:08:03
te bekijken waar zitten de belangrijkste bedrijfsprocessen?

00:01:08:03 - 00:01:10:12
begin met het in kaart brengen van je leveranciers, 

00:01:10:12 - 00:01:13:00
zodat je weet welke afhankelijkheden je hebt.

00:01:13:00 - 00:01:15:08
Wij zijn voorbereid
op de cyberbeveiligingswet

00:01:15:08 - 00:01:19:03
doordat we verschillende activiteiten
al hebben voorbereid.

00:01:19:07 - 00:01:20:09
Een aantal jaar geleden hebben we een

00:01:20:09 - 00:01:23:13
fit gap analyse laten uitvoeren
toen NIS2 werd aangekondigd.

00:01:23:13 - 00:01:27:07
Toen kon je wel al een quickscan doen
om in hoofdlijnen te zien waar heb

00:01:27:07 - 00:01:30:07
ik nog werk
en waar ben ik al een eind op weg.

00:01:30:09 - 00:01:32:23
Volwassenheidsniveau en op basis daarvan
hebben we gekeken waar kunnen we met

00:01:32:23 - 00:01:34:02
Volwassenheidsniveau en op basis daarvan
hebben we gekeken waar kunnen we met

00:01:34:05 - 00:01:37:19
relatief eenvoudige stappen
al veel winst behalen

00:01:38:02 - 00:01:40:11
en waar zit
nog wat meer lange termijn werk?

00:01:40:11 - 00:01:43:19
We hebben vorig jaar veel gewerkt aan
leveranciersmanagement en dat hebben we in

00:01:43:19 - 00:01:45:17
kaart gebracht
als het gaat om IT dienstverleners.

00:01:45:17 - 00:01:49:05
Welke IT dienstverleners hebben we
als ze op cloud structuren draaien,

00:01:49:05 - 00:01:53:06
wat voor cloud draaien ze dan op en hoe belangrijk
zijn ze voor onze primaire processen?

00:01:53:10 - 00:01:57:18
Waar we nog aan werken: we willen
risicomanagement verder verfijnen.

00:01:58:04 - 00:02:00:13
We doen
veel op het gebied van risicomanagement.

00:02:00:13 - 00:02:03:08
We willen alleen meer formaliseren daarin.

00:02:04:05 - 00:02:09:01
Dus we zijn zeker niet perfect,
maar we zijn continu aan het zoeken

00:02:09:01 - 00:02:10:18
wat kunnen we nog beter doen?

00:02:13:17 - 00:02:15:24
Wat ons ook helpt is dat wij

00:02:15:24 - 00:02:19:24
een vrij cyber aware bestuur
hebben, zou ik willen zeggen.

00:02:20:11 - 00:02:25:16
Er zit een hoogleraar
cybersecurity in onze bestuurslaag. 

00:02:25:20 - 00:02:29:19
En ook verschillende andere raadsleden met
veel achtergrond en kennis over security,

00:02:30:19 - 00:02:34:08
dus het belang ervan wordt vrij eenvoudig

00:02:34:08 - 00:02:37:03
al in alle lagen, erkend.

00:02:37:08 - 00:02:39:05
Oké, dat klinkt al goed.

00:02:39:05 - 00:02:41:16
En van die besprekingen in het

00:02:41:16 - 00:02:44:19
bestuur bijvoorbeeld is daar ook
een vastlegging van?

00:02:44:19 - 00:02:47:19
Of wordt dat
geagendeerd op een bepaalde manier?

00:02:47:23 - 00:02:52:01
Ja, de verantwoordingen als het gaat
om security, die bestaan voor ons al.

00:02:52:21 - 00:02:56:03
Er is een maand rapportage over
informatiebeveiliging, een half jaar en

00:02:56:03 - 00:02:57:11
een jaarrapportage.

00:02:57:11 - 00:03:00:05
We zijn een zelfstandig bestuursorgaan,
dus wij hoeven niet,

00:03:00:05 - 00:03:02:04
we zijn niet verplicht
om verantwoording aan het

00:03:02:04 - 00:03:04:15
ministerie af te leggen als het gaat
om informatiebeveiliging.

00:03:04:15 - 00:03:08:12
En toch hebben wij er zelf voor gekozen
om op half jaar een jaarlijkse basis

00:03:08:12 - 00:03:11:08
onze rapportages te delen
met het ministerie.

00:03:11:08 - 00:03:12:17
Dat is in
ieder geval een eind op weg.

00:03:12:17 - 00:03:14:17
En in ieder geval
de bestuurlijke verantwoordelijkheid

00:03:14:17 - 00:03:17:20
zoals die in de wet genoemd wordt,
dat die in ieder geval aantoonbaar is.

00:03:17:23 - 00:03:18:17
Dat is mooi.

00:03:19:03 - 00:03:23:09
Wat wij zien als de belangrijkste
kritieke succesfactor om

00:03:23:13 - 00:03:27:10
de cyberweerbaarheid goed op orde te
krijgen is wel de verantwoordelijkheid

00:03:27:10 - 00:03:31:00
van het bestuur dat die gevoeld
wordt en ook gedragen wordt.

00:03:31:21 - 00:03:35:09
Dat is niet alleen omdat het
de besluitvorming makkelijker maakt

00:03:35:17 - 00:03:39:05
of dat het de budgetten
voor elkaar kan krijgen, maar ook dat

00:03:39:05 - 00:03:41:13
het blijvend op de agenda blijft.

00:03:41:13 - 00:03:43:21
En dat informatiebeveiliging en cybersecurity 

00:03:43:21 - 00:03:47:03
continu wordt meegenomen in
elke verandering die daar gemaakt wordt.

00:03:50:10 - 00:03:53:24
Voor organisaties die net beginnen hebben 
we een Quickscan beschikbaar

00:03:53:24 - 00:03:59:10
Daarmee kun je zelf een inschatting maken in 
hoeverre je aan de Cbw voldoet

00:03:59:20 - 00:04:04:07
Daarnaast is het altijd goed om al te beginnen met risicoanalyses.

00:04:04:16 - 00:04:09:12
Vanuit de Baseline Informatie Beveiliging is de BIO2 ook al verplicht.

00:04:09:17 - 00:04:13:06
En daar komen ook allerlei hulpmiddelen voor beschikbaar.

00:04:13:07 - 00:04:18:06
Ik probeer om teams hier intern en hun
collega's handvatten te geven

00:04:18:06 - 00:04:22:00
zodat ze zelf bepaalde security
afwegingen kunnen maken.

00:04:22:10 - 00:04:26:19
Het is niet van IT het is niet van mij 
het is niet van iemand.

00:04:26:19 - 00:04:29:05
We moeten het allemaal doen.