Medewerkers RDI aan het woord: wat betekent de Cbw voor uw organisatie?

Goedemorgen!

Mijn naam is Ingeborg Kortekaas en ik ben werkzaam als Security Officer voor het bedrijfsonderdeel Wind van Vattenfall. Daarnaast vervul ik de rol van National Information Security Officer voor Vattenfall NV.

Ik ben Jeroen Cordeweners, Coördinerend Inspecteur bij de Rijksinspectie Digitale Infrastructuur. Ik werk binnen de afdeling Digitale Weerbaarheid samen met mijn collega’s aan de programmering en planning van het toezichtswerk en ben specifiek coördinator voor de energiesector.

De energiesector is één van onze vitale infrastructuren in Nederland. Iedereen wil thuis het licht kunnen aandoen en de verwarming kunnen gebruiken zonder zich af te vragen of dat werkt. Vrijwel alle vitale processen en systemen zijn digitaal of hebben een digitaal component, en dat geldt ook voor energieproducenten. Daarmee zijn we helaas ook kwetsbaar voor digitale dreigingen. Het is dus noodzakelijk om deze systemen goed te beschermen. Dat is ook het achterliggende idee van de wetgeving: partijen moeten extra stappen zetten om dit te waarborgen. Daarom zetten wij in op samenwerking met organisaties in deze sector om de digitale weerbaarheid stap voor stap te verhogen.

De komst van de Cyberbeveiligingswet heeft voor ons een beperkte impact, omdat we al sinds 2021 voldoen aan de voorloper ervan. Dat neemt niet weg dat bepaalde maatregelen worden aangescherpt, zoals leveranciersmanagement. Als producent van windenergie zijn we afhankelijk van een beperkt aantal toeleveranciers voor windturbinecomponenten. Als daar iets misgaat, hebben wij direct een probleem, bijvoorbeeld bij reserveonderdelen. Een goede relatie met leveranciers is daarom essentieel.

De sector kent veel uitdagingen. Net als in andere sectoren neemt de verwevenheid in de keten toe. Het gesprek met toeleveranciers over cybersecurity en informatiebeveiliging wordt steeds meer onderdeel van het reguliere contact. Dat is een belangrijk aanknopingspunt. Cybersecurity moet geen geïsoleerd onderwerp zijn, maar een integraal onderdeel van het risicomanagement van een organisatie.

Tot nu toe heb ik bij inspecties ervaren dat er ruimte is voor feedback over hoe audits zinvol kunnen worden ingericht. Wij opereren in meerdere EU-lidstaten en toen er vorig jaar een inspectie door de RDI werd uitgevoerd, hadden we net ook een inspectie in een ander land gehad. Die informatie hebben we gedeeld, zodat niet opnieuw dezelfde zaken werden getoetst, maar er juist op andere punten werd gefocust. Er is toen bewust gekozen voor een bottom-up aanpak: niet eerst kijken naar documentatie, maar direct naar de werking van beheersmaatregelen. Dat vond ik een prettige aanpak.

Wij waren als toezichthouder ook blij met het initiatief van Vattenfall om hierover in gesprek te gaan. We werken uiteindelijk met hetzelfde doel: het vergroten van de digitale weerbaarheid. Een complex bedrijf als Vattenfall heeft met veel toezichthouders te maken en daar hebben wij oog voor. We zoeken naar manieren om de administratieve lasten te beperken, zonder afbreuk te doen aan het doel van toezicht. Dit was een goed voorbeeld van hoe we daar samen uit zijn gekomen.

Onderdeel van de inspectie was om niet alleen naar documentatie te kijken, maar ook daadwerkelijk een windmolenpark te bezoeken. Zo zie je hoe beleid en praktijk op elkaar aansluiten. Dat is het voordeel van een bottom-up benadering: eerst kijken hoe het in de praktijk werkt en daarna de vertaalslag maken naar processen en documentatie.

Wat ik andere organisaties zou adviseren, is om de Cyberbeveiligingswet vooral te zien als een kans en niet als een verplichting. Het doel is niet alleen voldoen aan wet- en regelgeving, maar het beter beschermen van vitale infrastructuur. Daarnaast is samenwerking belangrijk. Grote organisaties zoals Vattenfall zijn vaak aangesloten bij brancheorganisaties, maar ook voor kleinere partijen is het waardevol om die samenwerking op te zoeken en van elkaar te leren.

Wacht niet af tot de wet in werking treedt, maar ga nu al aan de slag. Er is veel informatie beschikbaar om de eerste stappen te zetten. Bedrijven blijven zelf verantwoordelijk voor het nemen van de juiste maatregelen, maar waar mogelijk proberen wij als toezichthouder te helpen. Alles wat je nu doet, helpt om het niveau in de toekomst te verhogen.

Tot slot: zorg dat cybersecurity niet alleen binnen één afdeling blijft, maar breng het naar de bestuurstafel. Het moet een integraal onderdeel zijn van het risicomanagement, net als andere bedrijfsrisico’s.

Wido den Hollander, ik ben CTO van Your.Online. Your.Online is een holdingorganisatie. Wij hebben een groot aantal dochterbedrijven. In Nederland, Europa en ook buiten Europa. We houden ons bezig met online presence hoe we dat noemen, bedrijven zijn aanwezig op het internet en in alle vormen bieden wij daar diensten voor aan. We doen daarin veel overnames en proberen onze bedrijven organisch te groeien. En goede en betrouwbare online dienstverlening aan te bieden.
Mijn naam is Rob Augustinus. Ik ben specialistisch inspecteur en ik houd me bezig met het toezicht op IT bedrijven in de digitale infrastructuur zoals Your.Online. En daarbij kijk ik of die bedrijven voldoen aan de wet en regelgeving op het gebied van cybersecurity, zoals de Cyberbeveiligingswet.

De Cyberbeveiligingwet is er niet voor niks. Het is er voor digitale weerbaarheid. En dat is ook gewoon het belang van alle bedrijven, maar ook van heel Nederland om digitaal weerbaar te zijn. Want er zijn genoeg nieuwe dreigingen die allemaal op ons afkomen. IT wordt ook veel, veel complexer. En je hebt ook nieuwe technologische ontwikkelingen zoals AI, wat weer allerlei nieuwe mogelijkheden geeft voor aanvallers om aanvallen op te zetten. Maar ook het hele verwevenheid eigenlijk. De keten afhankelijkheden die zijn voor bedrijven zoals Your.Online, heel veel leveranciers en heel veel partners.
Toenemende complexiteit in de infrastructuur. Een constante technologische race om je cyber securityrisico's te kunnen managen, maar ook om bij te blijven op het gebied van cybersecurity. Het komt dagelijks voor dat wij aanvallen krijgen, bijna elk uur komen er aanvallen binnen. Dat kunnen hele simpele aanvallen zijn, waar iemand probeert gebruikersnaam en wachtwoord combinatie in te vullen op een systeem van ons en probeert binnen te komen of complexere aanvallen, dat iemand echt probeert systemen offline te krijgen, plat te leggen.
Nou ik denk dat de komst van de Cyberbeveiligingswet een goede toevoeging is op het digitale landschap. We hebben een hele complexe infrastructuur staan, niet alleen in Nederland, maar eigenlijk Europees en wereldwijd. Waar we denk ik niet altijd volledig begrijpen waar de uitdagingen zitten in de infrastructuur. De Cyberbeveiligingswet die zorgt ervoor dat we heldere spelregels krijgen en kaders krijgen waar we als bedrijf aan moeten voldoen. Je merkt dat het bij grootaandeelhouders en ook bij een supervisory board ook daadwerkelijk echt leeft. Er worden continu vragen over gesteld.

Ja, dat klopt. Je kunt niet vroeg genoeg beginnen met je voor te bereiden op de Cyberbeveiligingwet. En dat is ook goed, dat Your.Online daar nu al actief mee bezig is. Het hele uitgangspunt van de Cyberbeveiligingswet is eigenlijk risicomanagement. Goed inzicht krijgen als bedrijf in je risico's. Ook je bewustzijn; met welke risico?s heb ik te maken, specifiek voor mijn bedrijfsvoering?
Wat de cyberbeveiligingswet ons natuurlijk biedt is dat het hele strikte kaders schetst over wat we als organisatie moeten gaan doen. Dus ik kan ook makkelijker in een vergadering binnenlopen bij de board en zeggen, dit is wat de Cyberbeveiligingswet ons verplicht om te gaan doen en daar moeten we ons aan gaan conformeren. Dus het maakt ook heel veel zaken een stuk helderder en duidelijker en ook Europees wat we dus moeten gaan doen met onze bedrijven.
Wij zijn eigenlijk al heel vroeg toen al de eerste wetgeving in concept aanwezig was begonnen met bedrijven te informeren. En dat deden we dus door naar brancheorganisaties toe te gaan om daar te gaan vertellen over de nieuwe wetgeving. Daarnaast zijn we ook regelmatig op events waar we worden uitgenodigd en zo proberen we ook awareness te cre ren van kijk, het komt eraan. Daarnaast vragen veel bedrijven zich af val ik nu eigenlijk onder de Cyberbeveiligingswet? En moet ik mezelf gaan registreren? En daar heeft ook RDI een tool voor beschikbaar op onze website waarbij bedrijven een hele beslisboom kunnen volgen, waarbij ze uiteindelijk dan de vraag wordt beantwoord van ja ik val wel of niet onder de Cyberbeveiligingswet en onder welke sector en moet ik me daarvoor registreren?

Ik zie teveel organisaties die zeggen: Oh ja, de Cyberbeveiligingswet komt eraan. Ja, daar moet ik misschien nog wat mee doen? Maar ik heb nu even andere dingen te doen. Ik zou die organisaties zeggen ga pro-actief aan de slag met het stuk wetgeving, want het komt eraan en het kan echt helpen om je bedrijf beter te maken.
 

Welkom bij de Kiesraad!

Dank je wel.

Ik ben Fleur van Leusden en ik ben CISO bij de Kiesraad. Dat betekent dat ik me bezighoud met de informatiebeveiliging van het verkiezingsproces. Digitale weerbaarheid zit echt ingebakken in alles wat wij doen, omdat het raakt aan het hart van onze missie. Onze missie is dat in Nederland iedereen de uitslag van verkiezingen kan vertrouwen. Dat maakt dat dit voor ons een zeer hoge prioriteit heeft.

Ik ben Freddie Muller, verbindend adviseur NIS2 overheid. Ik houd me specifiek bezig met ministeries, ZBO’s en provincies. Vanuit de RDI proberen we de start met de Cyberbeveiligingswet te bespoedigen en kijken we wat er bij organisaties al aanwezig is.

In de praktijk zien we veel verschillende organisaties met uiteenlopende volwassenheidsniveaus. Sommige organisaties staan nog aan het begin. Daarom adviseren we om te starten met risicoanalyses: kijk waar de belangrijkste bedrijfsprocessen zitten en begin met het in kaart brengen van je leveranciers, zodat je inzicht krijgt in afhankelijkheden.

Wij zijn voorbereid op de Cyberbeveiligingswet, doordat we al verschillende activiteiten hebben uitgevoerd. Een aantal jaar geleden hebben we, toen NIS2 werd aangekondigd, een fit-gap-analyse laten doen. Daarmee konden we op hoofdlijnen zien waar nog werk zat en waar we al op niveau waren. Op basis daarvan hebben we bepaald waar we met relatief eenvoudige stappen snel winst konden behalen en welke onderwerpen meer lange termijn aandacht vragen.

We hebben vorig jaar veel gewerkt aan leveranciersmanagement, met name rond IT-dienstverleners. We hebben in kaart gebracht welke IT-dienstverleners we hebben, op welke cloudstructuren zij draaien en hoe belangrijk ze zijn voor onze primaire processen. Daarnaast werken we aan het verder verfijnen en formaliseren van ons risicomanagement. We doen al veel op dat gebied, maar willen het verder structureren. We zijn zeker niet perfect en blijven continu zoeken naar verbeteringen.

Wat ons helpt, is dat we een bestuur hebben dat zich zeer bewust is van cybersecurity. Er zit bijvoorbeeld een hoogleraar cybersecurity in onze bestuurslaag, en ook andere raadsleden hebben veel kennis en achtergrond op dit onderwerp. Daardoor wordt het belang van cybersecurity breed erkend binnen de organisatie.

De vraag is dan ook hoe dit bestuurlijk wordt vastgelegd en geagendeerd. Voor ons bestaan er al verantwoordingen op het gebied van security. We hebben maandrapportages over informatiebeveiliging en daarnaast halfjaarlijkse en jaarlijkse rapportages. Hoewel we als zelfstandig bestuursorgaan niet verplicht zijn om hierover verantwoording af te leggen aan het ministerie, hebben we ervoor gekozen om deze rapportages toch halfjaarlijks en jaarlijks te delen. Daarmee maken we de bestuurlijke verantwoordelijkheid, zoals genoemd in de wet, aantoonbaar.

Wat wij zien als een kritieke succesfactor voor goede cyberweerbaarheid, is dat de verantwoordelijkheid bij het bestuur echt wordt gevoeld en gedragen. Dat helpt niet alleen bij besluitvorming en het vrijmaken van budget, maar zorgt er ook voor dat cybersecurity blijvend op de agenda staat en wordt meegenomen in veranderingen binnen de organisatie.

Voor organisaties die net beginnen, hebben we een quickscan beschikbaar. Daarmee kun je inschatten in hoeverre je aan de Cyberbeveiligingswet voldoet. Daarnaast is het belangrijk om te starten met risicoanalyses. Vanuit de Baseline Informatiebeveiliging Overheid (BIO2) is dit ook al verplicht en er komen steeds meer hulpmiddelen beschikbaar.

Intern probeer ik teams en collega’s handvatten te geven, zodat zij zelf security-afwegingen kunnen maken. Cybersecurity is niet van IT of van één persoon; het is een gezamenlijke verantwoordelijkheid. Iedereen moet eraan bijdragen.

Mijn functie bij de RDI is manager toezicht op vertrouwensdiensten en inlogmiddelen. Het belang van digitale weerbaarheid is dat bedrijven en burgers vertrouwen kunnen hebben in het beschikbaar zijn en in de veiligheid van de digitale infrastructuur. Als medewerker bij de RDI werk ik eraan mee om die veiligheid ook te borgen.

Ook zijn we ons in ons team aan het voorbereiden op de veranderingen die de Cyberbeveiligingswet met zich meebrengt. Die wetgeving is er vanwege de realiteit waarin we leven. Die realiteit is dat we heel erg steunen op onze digitale infrastructuur voor onze economie, en eigenlijk voor alles wat we dagelijks doen. En dat die digitale infrastructuur dan ook betrouwbaar is. Dat is waarvoor wij het doen en waarvoor bedrijven het ook zouden moeten doen. Dat de regelgeving er nog niet is, betekent natuurlijk niet dat die realiteit er niet al is.
Wat typisch is aan de RDI, is dat hier mensen rondlopen met allemaal verschillende expertises en achtergronden. We zijn allemaal heel erg gedreven om Nederland veilig verbonden te houden. We werken veel samen om de verschillende toezichtsactiviteiten te kunnen ontplooien.

Ik denk dat het moeilijkste voor organisaties is dat er niet één recept is om te voldoen aan de wetgeving. Je moet namelijk de maatregelen nemen die passen bij jouw risico's en dat maakt het moeilijk. Zij zijn verantwoordelijk voor een goede inschatting van die risico's en de maatregelen die daarbij passen.

Mijn advies zou zijn: bescherm je bedrijf, begin vandaag nog. Krijg zicht op de risico's die er spelen en ga met ons in gesprek.
 

Ik ben Scott Tang. Ik ben specialistisch inspecteur binnen de RDI. Ik hou me voornamelijk bezig met toezicht op het gebied van cybersecurity op de energiesector en binnen de NIS1.
We zijn er om de digitale weerbaarheid te vergroten binnen Nederland. Het doel is niet om boetes te geven of te sanctioneren, maar om te kijken: waar zit de verbetering? Waar kunnen wij als Nederland de digitale weerbaarheid vergroten?

Ik denk dat het ook onderdeel is van je bedrijfsvoering als geheel. Om als organisatie in controle te zijn. Je doet het niet alleen maar voor de toezichthouder. Je doet het voor jezelf. Dus als er een incident is gebeurd, zal je ook digitaal weerbaar moeten zijn, zodat je de gevolgen van dat incident beperkt kunt houden.

Als iets vandaag goed genoeg is, betekent dat niet dat het morgen goed genoeg is. Het vraagt van de organisatie dat er continu verbeteringen plaatsvinden in het kader van cyberbeveiligingsmaatregelen.

Wij voeren periodieke gesprekken met organisaties, maar ook met brancheverenigingen. Enerzijds halen we daar informatie over sectorspecifieke risico's en ook over de uitvoering van de wet. Als daar knelpunten in zijn nemen we die mee en adresseren we ze bijvoorbeeld naar beleidsmakers of naar de sector zelf. Wat we binnenhalen proberen we ook weer te verspreiden. Zoals de specifieke cybersecurityrisico's. En nieuwe wet- en regelgeving die eraan komt. Zo is er een wisselwerking tussen de toezichthouder en de organisaties die onder toezicht vallen.

Mijn advies zou zijn: identificeer eerst je belangrijkste risico's. En neem ook de belangrijkste assets en leveranciers waar je afhankelijk van bent voor je diensten mee in je risico-inschatting. Zorg dat je de risico's vertaalt naar beheersmaatregelen en zorg dat het uitgevoerd wordt. Dat is de eerste stap die je kunt zetten.
 

Mijn naam is Arjan de Jong. Ik ben werkzaam bij de RDI als inspecteur en als jurist. Ik heb op twee wijzen te maken met de Cyberbeveiligingswet. Enerzijds omdat ik in de toekomst toezicht ga houden op de Cyberbeveiligingswet. Daarnaast werk ik nu aan de voorkant al mee aan de Cyberbeveiligingswet en ben ik dus betrokken bij de totstandkoming van die wetgeving. Ik heb daar vooral vanuit het perspectief van toezicht over geadviseerd.

Onze samenleving steunt op digitale techniek. Ja, dat biedt heel veel kansen. Heel veel innovatie. Mooie nieuwe dingen. Maar het maakt ons tegelijkertijd afhankelijk van die digitale technologie. Verstoringen in die digitale technologie zullen dus steeds vaker een impact hebben. Een mogelijk grote impact. In het bijzonder bij bedrijven die een belangrijke rol spelen in de maatschappij. Als zij een verstoring hebben, kan dat grote consequenties hebben. Niet alleen voor henzelf, maar ook voor de rest van de maatschappij.

De wetgeving is op punten open geformuleerd. Omdat digitale weerbaarheid zoveel aspecten omvat dat je het niet tot de punt en komma dicht kunt regelen. Enerzijds kun je nooit helemaal volledig zijn en anderzijds, als je het helemaal tot de punt en komma dicht regelt, kan het ook onnodig gaan knellen bij partijen. En het kan er natuurlijk ook voor zorgen dat ontwikkeling stil komt te staan.

Als bedrijf is het echt belangrijk dat je snel aan de slag gaat. Er is eigenlijk geen reden om als organisatie niet nu al een vliegende start te maken. Want ja, digitale weerbaarheid is niet alleen iets in het hier en nu. Daarbij moet je natuurlijk goed oog hebben voor de toekomst.
 

Ik ben Dewi van Hardeveld. Ik werk sinds februari van dit jaar bij de RDI als projectmanagement-ondersteuner van het programma Nieuwe Wetgeving Digitale Weerbaarheid, ofwel het programma NWDW. Cyberveiligheid is een breed vakgebied. Wat we bij de RDI doen is naar de wetgeving daarbinnen kijken, want daar houden we toezicht op. In mijn rol ben ik bezig met de nieuwe wetgevingen. Met de Cyberbeveiligingswet komen er heel veel nieuwe toezichtstaken bij. Wat ik daarin doe is binnen onze organisatie bekijken hoe we die toezichtstaken met elkaar aanpakken. Wat moeten we anders doen binnen onze organisatie om het uiteindelijk voor elkaar te krijgen?

We leven nu in een wereld met ontzettend veel innovatie. Dat is iets waar ik persoonlijk heel enthousiast van word. Maar het betekent ook dat hackers steeds meer kunnen. Aan de ene kant hebben we heel veel innovatie. En kunnen we heel veel nieuwe dingen doen met elkaar. Maar dit zorgt er ook voor dat er steeds meer deuren geopend worden. Naar onze persoonlijke informatie bijvoorbeeld. Ik vind het heel gaaf om op dat vlak te mogen werken. Aan de ene kant om te mogen stimuleren. Want ik vind het tof dat er zoveel nieuwe dingen aankomen. En gaaf dat er uitvindingen en technologieën bijkomen. Maar laten we wel kijken wat dit betekent voor ons als maatschappij, binnen Nederland. En wat het vraagt van ons.

Als toezichthouder hebben we natuurlijk verschillende middelen om ons werk te doen. Als een inspecteur bij jouw organisatie komt, dan gaat hij kijken of jij aan de regels voldoet. Maar naast gewoon kijken of alles klopt volgens de wetgeving, bekijken we ook wat je nodig hebt. Hoe kunnen we ervoor zorgen dat het werkt? En aan wie kunnen we jou wellicht koppelen die je meer informatie kan geven? Want wij zijn niet altijd de bron die die informatie kan verstrekken, maar we hebben hiervoor wel een enorm netwerk. En het mooie is dat we bij de RDI zo veel verschillende expertises hebben. Je kan niet alle kennis als mens in je eentje bezitten. Wat we bij de RDI hebben is al die kennis bij elkaar. Daar kun je een beroep op doen en op die manier kunnen we organisaties verder vooruithelpen. Zorg dat je nu aan de slag gaat, dat je organisatie beter beveiligd is.