Begin op tijd
In 2025 wordt de cyberbeveiligingswet ingevoerd. Tienduizenden Nederlandse bedrijven gaan hier direct of indirect mee te maken krijgen, ook in de procesindustrie. Bedrijven die al onder de huidige cyberbeveiligingswet Wbni vallen, krijgen te maken met een aantal nieuwe verplichtingen. Andere bedrijven worden voor het eerst verplicht aan de slag te gaan. Voorbereiding op de nieuwe wetgeving is nu al mogelijk. Ook de betrokken toezichthouders zijn daar op verschillende manieren en gezamenlijk al mee bezig.
Onze afhankelijkheid van de digitale infrastructuur is groot en zal de komende jaren alleen nog maar groter worden. Om de risico’s die dat met zich meebrengt te beperken zónder afbreuk te doen aan de kansen die de digitale transitie biedt, is in december 2022 de NIS2-richtlijn aangenomen. Het doel van deze Europese richtlijn is om de cyberveiligheid in de Europese Unie te versterken en te zorgen voor meer Europese harmonisatie. De NIS2-richtlijn wordt onder regie van het ministerie van Justitie en Veiligheid vertaald naar nationale wetgeving. De Cyberbeveiligingswet (Cbw) wordt volgend jaar de opvolger van de Wet beveiliging netwerk- en informatiesystemen (Wbni).
Belangrijke wijziging
Een belangrijke verandering is dat met de NIS2-richtlijn meer organisaties onder cyberwetgeving gaan vallen. Op basis van het belang voor de economie en de samenleving voegt men nieuwe sectoren, subsectoren en entiteiten toe. De Rijksinspectie Digitale Infrastructuur (RDI) is op dit moment een van de toezichthouders voor de Wbni. Zij zullen voor diverse sectoren ook toezichthouder worden voor de Cyberbeveiligingswet.
Het ministerie van EZK heeft de RDI onder meer aangewezen om toezicht te houden op de sectoren Energie, Digitale Infrastructuur, Onderzoek en Vervaardiging. “De omvang van een entiteit wordt in grote mate bepaald door het feit of deze onder de NIS2-richtlijn valt”, legt een inspecteur van de RDI uit. “Alle middelgrote en grote ondernemingen in bepaalde sectoren krijgen met verplichtingen te maken. Onder de Wbni werd nog onderscheid gemaakt tussen aanbieders van essentiële diensten (AED’s) en digitale service providers (DSP’s). Dat onderscheid vervalt. In plaats daarvan vallen organisaties onder essentiële aanbieders of belangrijke aanbieders.”
Gevolgen procesindustrie
Het bovenstaande heeft ook gevolgen voor de procesindustrie. Per 1 januari 2023 werd een aantal olie- en gasopslagbedrijven nog nieuw aangewezen als aanbieders van essentiële diensten binnen de Wbni. Met de inwerkingtreding van de Cyberbeveiligingswet zullen nog veel meer organisaties die werkzaam zijn in de procesindustrie aan wetgeving voor digitale weerbaarheid moeten gaan voldoen. “Deels gaat het daarbij om bedrijven die onder de Wbni nog niet boven de drempelwaarde uitkwamen, zoals bepaalde olie-opslagbedrijven. Soms gaat het ook om bedrijven in nieuwe subsectoren, zoals ‘stadsverwarming & koeling’ en ‘waterstof’. Deze bedrijven vallen onder de sector Energie en worden daardoor gezien als essentiële aanbieders.”
Sommige sectoren komen met de nieuwe cyberwet als geheel nieuw onder toezicht te vallen. Dat geldt binnen de procesindustrie onder meer voor de sector Levensmiddelen, waar bijvoorbeeld broodfabrieken onder vallen. Maar ook voor de maakindustrie, met fabrikanten van onder meer machines en elektrische apparatuur. “Met een door de Rijksoverheid ontwikkelde NIS2-zelfevaluatie kunnen bedrijven zelf inschatten of ze onder de nieuwe cyberwetgeving vallen en/of dat zij gezien worden als belangrijk of als essentieel.”
Verplicht beschermen
Essentiële entiteiten komen in de Cyberbeveiligingswet onder proactief toezicht te vallen. Dit wil zeggen dat er risicogericht toezicht gehouden wordt op het naleven van de verplichtingen, ook wanneer er geen sprake is van eventuele incidenten. Voor belangrijke entiteiten geldt dat toezicht achteraf plaatsvindt. Bijvoorbeeld als er signalen zijn voor het niet naleven van de wet, of als er een incident heeft plaatsgevonden. “Zowel belangrijke als essentiële aanbieders krijgen te maken met een zorgplicht, meldplicht, registratieplicht en toezicht”, vertelt de inspecteur. “De zorgplicht houdt in dat bedrijven zelf een risico-analyse moeten uitvoeren en passende en evenredige maatregelen moeten nemen om hun netwerk- en informatiesystemen te beveiligen en incidenten zoveel mogelijk te voorkomen. Ook moeten ze aandacht besteden aan de bedrijfscontinuïteit, via bijvoorbeeld backupbeheer en noodvoorzieningenplannen.”
Open normen
Hoewel dit soort verplichtingen in de Cyberbeveiligingswet in meer detail worden vastgelegd dan nu in de Wbni, blijft er ook onder de nieuwe wet sprake van ‘open normen’. Dat wil zeggen dat de wet wel het doel voorschrijft, maar niet hoe een bedrijf dat doel moet bereiken. “Organisaties hebben over hun eigen organisatie de meeste kennis en zijn daarom het beste in staat om te bepalen welke maatregelen het meest effectief zijn”, legt de inspecteur uit. “Als toezichthouder bepalen we of die maatregelen passend en evenredig zijn. Organisaties die al aan de voorwaarden van de Wbni voldoen, zullen in de meeste gevallen ook in grote mate voldoen aan de voorwaarden van de Cyberbeveiligingswet”, zegt de inspecteur.
“Wel verandert de verantwoordelijkheid voor bestuurders: zij worden wettelijk aansprakelijk voor het beleid van hun organisatie en hebben bijvoorbeeld ook een opleidingsplicht. Daarnaast is er in de Cyberbeveiligingswet meer aandacht voor ketenaansprakelijkheid. Dat wil zeggen dat organisaties verplicht worden de beveiliging van toeleveringsketens en relaties met leveranciers aan te pakken. In de praktijk zal dat betekenen dat ook bedrijven die zelf niet onder de nieuwe wet vallen te maken kunnen krijgen met vragen of eisen om de digitale risico’s in de keten te verkleinen.”
GROTE VERANDERINGEN OP KOMST”
Overlap
Eén van de andere toezichthouders voor de Cyberbeveiligingswet wordt de Inspectie Leefomgeving en Transport (ILT). Een cybersecurity-specialist van de ILT: “Op dit moment houden we namens het ministerie van IenW al toezicht voor de Wbni, onder meer op de sectoren Transport en Drinkwater. Daar komen onder meer Chemie en Afvalstoffen- en Afvalwaterverwerking bij.” In de praktijk zal het door de nieuwe wet ook vaker voor gaan komen dat organisaties te maken krijgen met meer dan één toezichthouder op cybersecurity. “Olie- en gasbedrijven bijvoorbeeld vallen zowel onder Chemie als onder Energie. En daarmee onder het toezicht van zowel de ILT als de RDI. Als zij daarnaast in het Rotterdamse havengebied zijn gevestigd, worden zij ook gezien als een ‘port facility’, die ook onder de verantwoordelijkheid van IenW valt.”
De RDI en ILT zijn al langer met elkaar in gesprek over dit soort overlap in activiteiten. De cybersecurityspecialist van de ILT: “Samenwerking is ‘key’. In de eerste plaats voor organisaties die onder toezicht staan: die willen niet de ene dag de RDI op de stoep hebben staan en de ander dag de ILT. Maar het mes snijdt aan twee kanten. Ook als toezichthouders willen en moeten we efficiënt met onze capaciteit omgaan. Bij de ILT gaan we van 34 naar zo’n 1800 entiteiten om toezicht op cybersecurity te houden. Daarom onderzoeken we op dit moment hoe we dat toezicht zo efficiënt mogelijk kunnen inrichten.”
Gezamenlijke inspectie
Bij dat onderzoek werken de ILT, de RDI en andere relevante toezichthouders nauw samen. Ze delen niet alleen kennis en expertise, maar nemen ook al gezamenlijke initiatieven. In november vorig jaar voerden ILT en RDI bijvoorbeeld een gezamenlijke inspectie uit bij twee raffinaderijen in het Rotterdamse havengebied Pernis. De cybersecurityspecialist van de ILT: “Een belangrijk doel was om te komen tot gelijkwaardige interpretatie en beoordeling van open normen. Daarnaast hebben we elkaar door de gezamenlijke inspectie beter leren kennen. Het is heel waardevol om te zien hoe men in andere sectoren op een andere wijze invulling geeft aan de Wbni. Die kennis kunnen we goed gebruiken bij de invulling van ons toezicht op de Cyberbeveiligingswet.” Uiteindelijk streven de ILT en de RDI als toezichthouders naar een zo compleet mogelijk risicobeeld.
Voor de sector Chemie betekent dit dat ook samenwerking met de Omgevingsdiensten gewenst is. “Want een cyberincident kan leiden tot een bedreiging voor de procesveiligheid”, weten ze bij de ILT. “Met bijvoorbeeld een brand of giftige wolk als mogelijke consequentie. Daarom gaan we ook de mogelijke overlap met het toezicht op ‘Seveso-inrichtingen’ onderzoeken: de bedrijven die eerder onder het Besluit Risico’s Zware Ongevallen (BRZO) vallen en nu als SEVESO-inrichting onder de nieuwe Omgevingswet. De samenwerking met de zes omgevingsdiensten die zich hiermee bezig houden willen we zoveel mogelijk langs bestaande lijnen inregelen; onze intentie is om als ILT aan te sluiten bij het bestaande BRZO+-overleg.”
Hoewel de Cyberbeveiligingswet een breed toepassingsgebied heeft, zijn en komen er nog meer wetten en regels op het gebied van cyberveiligheid. Ook hierop moe men toezicht houden, zoals de reeds in werking getreden ‘Cybersecurity Act’, de ‘Cyber Resiliance Act’ en een ‘Network Code on Cybersecurity’.
Digitale weerbaarheid
De snelle digitale ontwikkelingen en het grote maatschappelijke belang van digitale weerbaarheid zorgen op dit moment dan ook voor een complex toezichtlandschap. “Sinds dit jaar vindt daarom structureel overleg en samenwerking plaats tussen alle toezichthouders die zich bezighouden met digitale weerbaarheid”, vertelt de inspecteur van de RDI. “Wij spelen hierin een coördinerende rol. Samen met andere toezichthouders brengen we in beeld waar we gedeelde verantwoordelijkheden hebben en maken we plannen om te komen tot doelgericht toezicht. Daarbij hebben we het ook over thema’s als communicatie en informatiedeling.”
Innovatie
Naast meer samenwerking, vraagt de komst van de Cyberbeveiligingswet van toezichthouders ook innovatie. Want net als de ILT, zal ook de RDI op veel meer organisaties en sectoren toezicht moeten gaan houden. “Bij de aanwijzing van de olie- en gassector hebben we nog een groot aantal kennismakingsgesprekken gevoerd met bestuursleden. Dat is straks niet meer realistisch. Maar we willen wel benaderbaar blijven, en risico’s nog veel meer al aan de voorkant beperken. Daarvoor gaan we onder meer gedragsanalyses en data-analyses inzetten. Ook ontwikkelen we tools die het voor bedrijven makkelijker maken om aan het benodigde beveiligingsniveau te voldoen.”
Risico’s in kaart
Naast de eerdergenoemde NIS2-zelfevaluatie, lanceerde de RDI in samenwerking met andere toezichthouders dit jaar ook de NIS2-quickscan. “Dit is een hulpmiddel voor bedrijven die willen toetsen waar ze staan in de voorbereiding op de Cyberbeveiligingswet. Een goede score betekent nog niet dat je gegarandeerd aan de nieuwe wet voldoet. Maar de tool maakt wel duidelijk of je goed op weg bent en stelt technische en organisatorische verbetermaatregelen voor. Voorbereiding is namelijk nu al mogelijk.
Je kunt bijvoorbeeld de governance op orde brengen en al een start maken met het in kaart brengen van de risico’s in de keten.” Als onafhankelijk toezichthouder heeft de RDI, net als andere toezichthouders, de wettelijke bevoegdheid om interventies te plegen. “Maar ultieme dwangmiddelen als boetes willen we zoveel mogelijk voorkomen. We streven ernaar dat organisaties die onder het toezicht vallen vanuit een intrinsieke motivatie hun digitale weerbaarheid blijven verbeteren. Uiteindelijk hebben we hetzelfde belang: Nederland veilig verbonden houden.”
*Ton van Leeuwen, freelancer in opdracht van RDI.
Het magazine fysiek ontvangen? Klik hier om een kennismakingsabonnement af te sluiten.
Vacatures bekijk je via de vacaturepagina.
