Criminelen die databestanden versleutelen om gebruikers geld af te persen. Hackersgroepen die servers van bedrijven platleggen. En digitale spionage door China of Rusland. Europese lidstaten proberen het tegen te gaan met gezamenlijke wetgeving. Nederland vertaalt die momenteel door naar nationale wetgeving. De RDI bereidt zich voor op het toezicht op de naleving.
Jasper Nagtegaal is directeur Digitale Weerbaarheid bij de RDI. Hij ziet hoe we in onze samenleving maatschappelijk en economisch steeds afhankelijker worden van digitale dienstverlening. Daardoor is de digitale weerbaarheid van organisaties van groot belang. Die komt steeds verder onder druk te staan: “Het aantal cyberaanvallen neemt toe. En ook hun kracht, door de groeiende invloed van AI. Ik deel de zorgen van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) in hun Cybersecuritybeeld Nederland 2024. Om ons als samenleving te wapenen tegen deze dreigingen, moet de digitale weerbaarheid in Nederland omhoog.”
Bredere aanpak
Om de digitale weerbaarheid te verbeteren, bouwen Europese lidstaten samen aan wetgeving en aan de handhaving door toezichthouders. In juli 2016 nam het Europees Parlement de Europese richtlijn voor netwerk- en informatiebeveiliging aan. Ook wel bekend als de NIS. Deze richtlijn stelt eisen aan de beveiliging van netwerk- en informatiesystemen in de EU, met als doel de digitale infrastructuur te beschermen tegen cyberdreigingen. In Nederland werd de NIS doorvertaald naar de Wet beveiliging netwerk- en informatiesystemen (WBNI). De RDI houdt toezicht op de naleving van deze wet. De EU stelde op 27 december 2022 de uitgebreide NIS2 vast, die zorgt voor meer duidelijkheid en sturing. Nederland is bezig met de doorvertaling naar Nederlandse wetgeving.
“Als bedrijf kon je terugvallen op een overzichtelijk lijstje.”
De NIS was overzichtelijk, legt Nagtegaal uit. “Die gold alleen voor bedrijven die ‘vitaal’ zijn voor de samenleving, zoals energieleveranciers en telecom- en internetproviders. Als bedrijf kon je terugvallen op een overzichtelijk lijstje om te zien of je daarbij hoorde.” Met de NIS2 is het aantal organisaties dat aan de richtlijn moet voldoen flink uitgebreid. “Verleen je een essentiële dienst, zoals een ziekenhuis, en voldoe je aan de criteria uit de richtlijn? Dan geldt de NIS2. Het gaat om zo’n 8.000 tot 10.000 organisaties – van marktpartijen tot zorginstellingen en overheden. Voorlopig is dat een schatting. In het derde kwartaal van 2025 gaat er een registratieplicht gelden en krijgen we beter zicht op deze organisaties en de aantallen.”
Bij wet verantwoordelijk
Het grote voordeel van de nieuwe NIS2-richtlijn is dat die ook meer houvast biedt voor handhaving. Zo hebben ondertoezichtstaande organisaties een registratieplicht, zorgplicht en meldplicht. Organisaties moeten een groot incident altijd melden en verplicht de risico’s in kaart brengen en maatregelen nemen. Ook zijn bestuurders straks bij wet verantwoordelijk voor de digitale weerbaarheid van hun organisatie.
Samenwerking toezichthouders
De NIS2, of de Cyberbeveiligingswet, moest in elk EU-land per 17 oktober 2024 ingevoerd zijn. Niet alle landen zijn al zover. Ook Nederland niet. De invoering staat nu gepland voor het derde kwartaal van 2025. De RDI zit midden in een flinke samenwerkingsoperatie, stelt Nagtegaal. “We werken samen met de ministeries van Economische Zaken, Klimaat en Groene Groei en Binnenlandse Zaken en Koninkrijksrelaties samen om ons toezicht goed in te richten. Het ministerie van Justitie en Veiligheid coördineert de invoering van de gehele NIS2.”
“Door de registratieverplichting is het straks duidelijker met wie we moeten communiceren.”
Daarnaast coördineert RDI de samenwerking met alle andere toezichthouders waar organisaties onder kunnen vallen. Dat zijn de Nederlandse Voedsel- en Warenautoriteit, de Inspectie Leefomgeving en Transport, de Inspectie Gezondheidszorg en Jeugd, de Inspectie Justitie en Veiligheid, Staatstoezicht op de Mijnen en de Autoriteit Nucleaire Veiligheid en Straling. De Inspectie voor het Onderwijs wacht nog op duidelijkheid of zij verantwoordelijk wordt voor organisaties die onder de NIS2 vallen. “We hebben De Nederlandsche Bank aangehaakt om van hen te leren, zij hebben eigen Europese regelgeving DORA (Digital Operational Resilience Act)”, zegt Nagtegaal. “De Autoriteit Persoonsgegevens doet mee vanwege de Algemene Verordening Gegevensbescherming (AVG). Ook de NCSC neemt deel, vanwege de operationele samenwerking en onderlinge afstemming.”
Organisaties bereiken
Voor organisaties die aan de regels moeten voldoen, is de nieuwe wetgeving nog niet heel zichtbaar, geeft Nagtegaal toe. “Door de registratieverplichting is het straks duidelijker met wie we moeten communiceren. Ervan uitgaande dát organisaties zich registreren, natuurlijk. We zien een belangrijke rol weggelegd voor brancheorganisaties, ook om informatie te bieden over hoe organisaties de zorgplicht kunnen invullen.”
Elke organisatie in Nederland is zelf verantwoordelijk voor digitale weerbaarheid, benadrukt Nagtegaal. “Dat staat ook in de wet. Maar ze moeten wel meekrijgen wat er van hen verwacht wordt en hebben daar ook handvatten bij nodig. Daar gaan we voor zorgen.
De grootste uitdaging ligt bij de IT-afdelingen van organisaties die eerder niet onder de NIS vielen, maar straks wel onder de Cyberbeveiligingswet vallen. Hopelijk zijn zij al aan de slag met certificeringen, advies inwinnen en nieuwe mensen werven.”
Minder maatwerk
Met de overgang van NIS naar NIS2 verandert de manier waarop RDI toezicht gaat houden. Nagtegaal: “Eerder leverden we vooral maatwerk. Nu zetten we meer in op begeleiding en ondersteuning van organisaties om ze te helpen bij het naleven van wet- en regelgeving. Gedragsinzichten worden veel relevanter. We gaan voor een combinatie van proactief risicogericht en incidentgedreven toezicht. Ook komen we in actie bij meldingen. De goede voorbeelden van organisaties willen we gaan delen als inspiratie voor anderen.”
Onboarding medewerkers
Net als de organisaties waarop ze toezicht houdt, moet de directie Digitale Weerbaarheid van de RDI zich aanpassen aan de nieuwe werkelijkheid. De verwachting is dat die de komende twee jaar van 90 fte groeit naar zo’n 150 fte. Dat is niet alleen voor de NIS2, stelt Nagtegaal, maar ook voor andere opgaven zoals bijvoorbeeld de Europese AI Act. Nagtegaal: “Veel van onze nieuwe medewerkers hebben wel de juiste technische kennis, maar geen ervaring in het toezicht. Zij worden door ons opgeleid in het vak van toezichthouder. Dat maakt de onboarding nog belangrijker dan het al is.”
“Gedragsinzichten worden veel relevanter.”
Dat de formele invoering van NIS2 wat langer duurt, is volgens Nagtegaal geen ramp. “Het belangrijkste is dat we nu al werken aan een goede basis. Als toezichthouder zullen we niet meteen streng handhaven of boetes uitdelen als organisaties bezig zijn met de puntjes op de i. Wel letten we scherp op of ze voldoen aan de registratie- en meldplicht. We moeten ook realistisch zijn: enig geduld is nodig, voor sommige organisaties is dit echt nieuw. Maar feit blijft dat de digitale weerbaarheid snel beter moet. We moeten dus wel kunnen zien dat organisaties eraan werken en hun zorgplicht serieus nemen. Gelukkig is Nederland een cybervaardig landje met een sterk ontwikkelvermogen.”
Wat doet de RDI?
De Rijksinspectie Digitale Infrastructuur (RDI) houdt toezicht op de veiligheid en betrouwbaarheid van digitale netwerken en aan internet verbonden apparatuur. De inspectie controleert of bedrijven en overheidsinstanties zich aan de regels houden voor internet, telecommunicatie en datadiensten. Dit helpt om systemen en data te beveiligen, en storingen, cyberaanvallen en misbruik van gegevens te voorkomen. Ook ziet de RDI erop toe dat de juiste herstelplannen voorhanden zijn, als er onverhoopt toch storingen of uitval plaatsvindt. Zo zorgt de RDI voor een betrouwbare en veilige digitale infrastructuur en een veilig verbonden Nederland.
