Vitale aanbieders werken de laatste jaren hard aan het versterken van de digitale weerbaarheid. Meer dan vroeger is er aandacht voor de certificering van het information security management system (ISMS). Dat schrijven de samenwerkende toezichthouders op de Wet beveiliging netwerk- en informatiesystemen (Wbni). Jaarlijks beschrijven zij in het Inspectiebeeld hoe het ervoor staat met de cybersecurity van vitale processen en aanbieders. Ondanks de stijgende lijn is er nog wel een wereld te winnen als het gaat om bestuurlijke verantwoordelijkheid.
Van vitale aanbieders naar entiteiten
Vitale processen zijn processen die zo essentieel zijn voor de Nederlandse samenleving, dat uitval of verstoring ervan leidt tot grote maatschappelijke problemen en onveilige situaties. Denk aan de productie van elektriciteit, de verwerking van nucleair materiaal en drinkwatervoorzieningen. De vitale aanbieders zijn partijen die een dienst van vitaal belang aanbieden, zoals netbeheerders, banken en ziekenhuizen. Zo worden ze althans genoemd in de Wnbi. In de toekomst worden deze termen vervangen door de term ‘entiteit’, als in ‘essentiële entiteit’ en ‘belangrijke entiteit’ in de NIS2-richtlijn. Ook de CER-richtlijn heeft het over ‘(kritieke) entiteit’. Dan vallen ook gemeenten onder de essentiële entiteiten. Totdat de nieuwe wetten van kracht zijn, blijven de toezichthouders toezicht uitvoeren op basis van de huidige wetgeving en houden ze de oude termen aan.
Geen gevolgen continuïteit dienstverlening
Op naar het goede nieuws. In 2023 vonden er geen informatiebeveiligingsincidenten plaats met gevolgen voor de continuïteit van een dienstverlening. Er is bijvoorbeeld geen sprake geweest van een cyberaanval die de drinkwatervoorziening lamlegde. Incidenten met een bepaalde drempelwaarde moeten worden gemeld bij het NCSC en de toezichthouder in kwestie.
Risicomanagement
De focus van de inspecties van 2023 lag op risicomanagement. Daarover schrijven ze in het Samenhangend Inspectiebeeld cybersecurity vitale processen 2024 dat er verbetering mogelijk is op bestuursniveau. Zo zouden zij vanuit een risico-oogpunt actuele ontwikkelingen moeten volgen, zoals AI en kwantumcomputing. De toezichthouders noemen het daarnaast belangrijk dat het information security management system (ISMS) aansluit op het Enterprise Risk Management (ERM) van de organisatie. Het eerste systeem kijkt de risico’s rondom informatiebeveiliging, het tweede kijkt breder in de hele organisaties naar risico’s. Het vastleggen van de risicobereidheid bij het implementeren van beide is essentieel en in sommige sectoren verplicht. Verder vinden de toezichthouders het van belang dat organisaties een governancestructuur hebben.
Samenwerking toezichthouders
Het Inspectiebeeld is een een samenwerking tussen de Autoriteit Nucleaire Veiligheid en Stralingsbescherming (ANVS), Autoriteit Persoonsgegevens (AP), De Nederlandsche Bank (DNB), Inspectie Gezondheidszorg en Jeugd (IGJ), Inspectie Justitie en Veiligheid (IJenV), Inspectie Leefomgeving en Transport (ILT) en Rijksinspectie Digitale Infrastructuur (RDI).
Eigen governance verbeterd
In de toekomst zullen de toezichthouders op digitale weerbaarheid nog meer te doen krijgen door de komst van de CER-richtlijn en NIS2, die worden omgezet in nationale wet- en regelgeving. Daarom hebben ook de toezichthouders zelf een betere governance rondom de samenwerking nodig. Met dit doel is het zogeheten ‘directeurenoverleg toezicht digitale weerbaarheid’ opgericht, die dient als opdrachtgever van de werkgroep die zich op deze samenwerking richt.
Lees ook:
