Er is een tweede samenhangend inspectiebeeld uitgebracht waarin de betrokken toezichthouders inzicht geven in de huidige stand van de cybersecurity bij de vitale sectoren en processen in Nederland.
De digitale wereld biedt geweldige kansen voor onze samenleving en economie. Dat vraagt om een adequate cybersecurityaanpak en goed en effectief toezicht hierop. De samenwerkende toezichthouders bieden een samenhangend inspectiebeeld van de cybersecurity van de vitale processen in Nederland. De samenwerkende toezichthouders zijn Autoriteit Nucleaire Veiligheid en Stralingsbescherming (ANVS), Autoriteit Persoonsgegevens (AP), Agentschap Telecom (AT), De Nederlandsche Bank (DNB), Inspectie Gezondheidszorg en Jeugd (IGJ), Inspectie Justitie en Veiligheid (IJenV) en de Inspectie Leefomgeving en Transport (ILT).
Dit beeld bevat de huidige staat per toezichtveld, distilleert enkele rode draden en signaleert een aantal trends in relatie tot het toezicht. De individuele beelden per toezichtveld zijn terug te lezen in de bijlagen van dit inspectiebeeld. Het hoofddocument beschrijft een aantal rode draden die op basis van bespreking van de praktijkervaring en de individuele beelden tussen de toezichthouders is benoemd. De trends geven blik op een tweetal uitdagingen bij het houden van zicht op digitale risico’s.
De belangrijkste rode draad richt zich op het onderwerp risicomanagement. Op basis van toezichtresultaten zien we dat risicomanagement in algemene zin de aandacht krijgt, ook op bestuurlijk niveau. Op het inrichtingsniveau vraagt implementatie van een Information Security Management Systeem (ISMS) nog aandacht. Daarom doen de toezichthouders op risicomanagement
gezamenlijk de volgende aanbeveling met de belangrijkste aandachtspunten waarop ingezet zou moeten worden bij de verbetering van risicomanagement:
Twee andere rode draden liggen in de toezichtpraktijk. De ene ziet op het nut van de beschikbaarheid van passende standaarden of best practices. Dit in verband met regelgeving waarin wordt gewerkt met open normen, ook wel doelregelgeving genoemd. In de praktijk komen toezichthouders voor de IT-omgeving vaak de ISO 27001 tegen of in de zorg specifiek de NEN7510. Maar denk ook
aan normen op het gebied van OT, zoals de IEC 62443. Een passend aanbod van normen biedt de noodzakelijke handvatten om invulling te kunnen geven aan de verschillende beveiligingsdoelen die bedrijven wensen te halen.
De andere rode draad ziet op vorm en plaats van interventies. Gewenst gedrag ten aanzien van cybersecurity kan vaak het best worden bereikt met een mix van informele methoden en formele of sanctionerende interventies. Daarnaast is het voor toezichthouders relevant om op systeemniveau naar de risicovraagstukken in hun sector te kijken, waardoor mogelijk effectieve interventies zichtbaar worden die niet per definitie zijn gericht op de vitale dienstverlener zelf.
Terugkijkend op het vorige Inspectiebeeld zijn stappen vooruit gezet in de samenwerking en de toezichthouders kijken tevens alweer vooruit naar komende Europese regelgeving op het gebied van digitalisering zoals de NIB2-richtlijn en leveren daar ook actief bijdragen aan. Gezien de omvangrijke uitvoeringsvraag die bij de implementatie van de nieuwe wetgeving komt kijken, blijft samenwerking een aandachtspunt. Zo wordt vanuit de Inspectieraad ook samengewerkt, met de inzet van een brede groep van meer dan 20 rijksinspecties, markttoezichthouders en onderzoeksinstituten op het thema Artificial Intelligence (AI) als voorbeeld.
Tot slot wordt in dit beeld gewezen op twee trends met invloed op risico’s in cybersecurity. De eerste trend richt zich op vernauwing van scope bij risicomanagement, door te veel te focussen op bepaalde soorten dreigingen, bijvoorbeeld criminele actoren. Deze scopevernauwing draagt in zichzelf weer een risico met zich mee voor de continuïteit van dienstverlening. De andere trend richt zich op de ontwikkeling van digitale ecosystemen, waardoor risico’s duiden vanuit de klassieke supply chain benadering voor zowel toezichthouders als vitale dienstverleners en andere bedrijven een complexere uitdaging wordt. Sectoren en dienstverleners worden actief in meer verbanden en raken daardoor op steeds meer lagen en lijnen verbonden, waarmee risico’s ook verbonden raken.
Het Samenhangend Inspectiebeeld cybersecurity vitale processen 2023 vind je hier.