Eén storing bij een cloudleverancier kan de zorg, voedselketen, het energienetwerk én de telecomsector raken. Digitale dreigingen trekken zich niets aan van sectorgrenzen. Om Nederland digitaal weerbaar te houden, zijn tien toezichthouders straks verantwoordelijk voor het toezicht op dezelfde cyberwetgeving. Zij bouwen al ruim 2,5 jaar aan samenwerking. Hoe doen zij dat en hoe blijven ze ook hun eigen koers varen?

Eén cybertoezichthouder voor heel Nederland? Die discussie speelde de afgelopen jaren regelmatig. Toch koos Nederland bij de invoering van de nieuwe cyberwetgeving (zie kader) voor een andere route. “Bij al dit soort sectoroverstijgende taken kiezen we in Nederland eigenlijk altijd voor sectoraal toezicht, waarbij elke toezichthouder binnen zijn eigen sector toezicht houdt op bepaalde wetgeving”, zegt Richard van Buuren, programmamanager cybersecurity bij de NVWA.
Waarom kiezen we in Nederland vaak voor sectoraal toezicht? Van Buuren: “Toezichthouders kennen hun eigen sector door en door. Want een cyberincident raakt een energieleverancier anders dan een voedselbedrijf of telecomaanbieder. Digitale weerbaarheid draait vooral om het beschermen van essentiële dienstverlening. Hoe dat het beste te doen, weet elke toezichthouder het beste voor de eigen sector. Daarom zijn er straks tien toezichthouders betrokken bij hetzelfde wettelijke kader.”
Unieke samenwerking
Toezichthouders vinden vaker samenwerking op gebied van één thema. Denk bijvoorbeeld aan Toezicht Sociaal Domein of Samenwerkingsplatform Digitale Toezichthouders. “Uniek in het geval van het toezicht op digitale weerbaarheid is de schaal”, stelt Van Buuren. “Binnen geen enkel ander domein werken tien toezichthouders zo intensief samen. Het is ook internationaal bijzonder; Denemarken, Zweden en België kijken met interesse hoe wij dit doen.”
Welke wetten en toezichthouders?
Met de Cyberbeveiligingswet (Cbw) en de Wet weerbaarheid kritieke entiteiten (Wwke) krijgt Nederland nieuwe regels voor digitale en fysieke weerbaarheid van organisaties. De wetten treden naar verwachting in de zomer van 2026 in werking.
Tien toezichthouders werken samen in het Samenwerkend Toezicht Digitale Weerbaarheid (STDW), aangestuurd door het Directeurenoverleg Toezicht Digitale Weerbaarheid (DTDW):
- Autoriteit Nucleaire Veiligheid en Stralingsbescherming (ANVS)
- Autoriteit Persoonsgegevens (AP)
- De Nederlandse Bank (DNB)
- Inspectie Gezondheidszorg en Jeugd (IGJ)
- Inspectie Leefomgeving en Transport (ILT)
- Inspectie Justitie en Veiligheid (Inspectie JenV)
- Inspectie van het Onderwijs
- Nederlandse Voedsel- en Warenautoriteit (NVWA)
- Rijksinspectie Digitale Infrastructuur (RDI)
- Staatstoezicht op de Mijnen (SodM)
Hun gezamenlijke doelen zijn: toezicht harmoniseren, informatie uitwisselen, toezichtlast beperken en een beter beeld krijgen van de digitale weerbaarheid van Nederland.
Geven en nemen
Sectoraal toezicht heeft ook een keerzijde. De tien toezichthouders moeten straks onder dezelfde wet werken, maar zijn allemaal zelfstandig georganiseerd. Ze hebben hun eigen werkwijzen, processen en toezichtcultuur. Hoe zorg je er dan toch voor dat ondertoezichtstaande organisaties overal op een vergelijkbare manier worden beoordeeld?
“Binnen geen enkel ander domein werken tien toezichthouders zo intensief samen.”
Volgens Isabel van der Leij manager Digitale Weerbaarheid van de Rijksinspectie Digitale Infrastructuur (RDI) en deelnemer aan het DTDW zit de uitdaging vooral in de afstemming. “Je bent ondertussen ook je eigen toezicht aan het inrichten. Soms heb je net een normenkader vastgesteld of een werkwijze uitgewerkt, en dan moet je die opnieuw gaan bespreken met de andere toezichthouders.” Dat vraagt volgens haar om geven en nemen. “Toezichthouders willen hun eigen identiteit behouden, maar moeten tegelijkertijd gezamenlijke afspraken maken over toezichtkaders, interventiebeleid en hoe zij organisaties beoordelen. Tot nu toe lukt het goed om die balans te vinden, omdat iedereen hetzelfde doel nastreeft. Verschillen in aanpak blijven er, maar die zijn eigenlijk altijd wel op te lossen.”
Bestaande samenwerking
De samenwerking in de vorm van het STDW tussen toezichthouders voor cyberweerbaarheid begon al in 2019, toen de Wet beveiliging netwerk- en informatiesystemen (Wbni) van kracht werd. Met de komst van nieuwe cyberwetgeving groeide die samenwerking snel en was alleen het STDW niet meer voldoende voor de omvang van de nieuwe opgave. Daarom nam de RDI eind 2023 het initiatief voor een eerste overleg tussen de betrokken directeuren van de deelnemende toezichthouders. “Een samenwerking opbouwen hoeft helemaal niet complex te zijn”, zegt Van der Leij. “Bel elkaar gewoon op, zo is het met het DTDW ook begonnen.”
“Samenwerken hoeft niet complex te zijn, bel elkaar gewoon op.”
In het DTDW dat hierna ontstond, nemen directeuren van aangesloten inspecties besluiten over voorstellen uit het STDW en bepalen zij de koers van de samenwerking. In het STDW werken toezichthouders ondertussen in verschillende werkgroepen aan concrete producten, zoals een samenwerkingsprotocol, toezichtkaders en afspraken over interventies.
Afspraken vooraf
Lies van Harten, senior adviseur Toezicht Digitale Weerbaarheid bij de RDI, is lid van het STDW. “Ik zit in verschillende werkgroepen. Als wij werken aan toezichtkaders en interventiebeleid, beantwoorden we vragen als: welke eisen stel je tijdens een audit, welke bewijzen vraag je om te beoordelen of een organisatie haar risico’s goed beheerst? Wanneer vind je een beveiligingsmaatregel passend? En hoe reageer je als een organisatie tekortschiet?”
Daarnaast onderzoeken de toezichthouders via zogenaamde ecosysteemanalyses welke organisaties, diensten en sectoren van elkaar afhankelijk zijn. Een cloud-leverancier of datacenter kan namelijk voor meerdere sectoren tegelijk belangrijk zijn. “Door dat vooraf in kaart te brengen, kunnen we afspreken wie het voortouw neemt en hoe we gezamenlijk optreden. In zulke gevallen spreken we af dat een van ons optreedt als de coördinerende toezichthouder, zodat toezichtactiviteiten op elkaar worden afgestemd.”
Van theorie naar praktijk
Alle praktische voorbereidingen en afspraken zijn nu nog theoretisch. Van der Leij: “Pas als de wetgeving in werking treedt, wordt duidelijk hoe de samenwerking in de praktijk standhoudt. Wat gebeurt er als zich een groot incident voordoet? Of als verschillende toezichthouders vanuit hun eigen sector tot andere afwegingen komen? De voorbereiding is goed, maar de uitvoering is altijd weerbarstig. Wat we nu doen is een stevig fundament leggen voor de komende jaren.”
Volledig ingebed
Over drie jaar moet de samenwerking veel verder zijn dan alleen gemaakte afspraken. Volgens Van Harten verschuift de aandacht dan van het organiseren van de samenwerken naar het uitvoeren ervan. Toezichthouders voeren samen risicoanalyses uit, bepalen op basis daarvan welke organisaties prioriteit krijgen qua toezicht en wie het voortouw neemt bij inspecties. Ook de rol van de coördinerende toezichthouder moet dan zijn ingebed. “Iedereen weet inmiddels zo goed als zeker wat zijn taak wordt”, zegt Van Harten. “Mijn verwachting is dat de samenwerking over een aantal jaar een vast onderdeel is geworden van het toezichtwerk van alle deelnemende organisaties.”
“Over een aantal jaar is de samenwerking een vast onderdeel van het toezichtwerk.”
Die ontwikkeling vraagt ook binnen de toezichthouders om forse investeringen. De RDI groeit met de komst van de nieuwe wetgeving van ongeveer tachtig naar duizenden organisaties onder toezicht. Dat komt mede doordat veel digitale dienstverleners, zoals cloud- en datacenterdiensten, onder haar toezicht vallen. De inspectie verdubbelde de afgelopen jaren daarom haar capaciteit op digitale weerbaarheid en zet inmiddels zo’n honderd inspecteurs en adviseurs in op dit thema.
Ook bij de NVWA krijgt digitale weerbaarheid steeds meer een vaste plek. Anderhalf jaar geleden werkte Van Buuren nog alleen aan de opbouw van dit toezicht, inmiddels is er een afdeling met zeven medewerkers die zich bezighoudt met toezicht op cybersecurity in de voedselketen.
Cybersecurity over grenzen
Nu is de samenwerking vooral nationaal georganiseerd. “Maar veel organisaties waarop we toezichthouden opereren internationaal. Bedrijven met vestigingen in meerdere landen vragen om samenwerking tussen internationale toezichthouders om de toezichtlast te beperken”, vertelt Van Buuren. Voor de NVWA is internationale afstemming rond voedselveiligheid al jaren gebruikelijk, maar dat geldt nog niet voor toezicht op cybersecurity. “Ik ben nu in gesprek met collega’s uit onder meer Duitsland en Hongarije hoe we gezamenlijke vraagstukken kunnen aanvliegen.”
“Andere landen laten zich inspireren door de sectorale samenwerking in Nederland.”
Op beleidsniveau speelt internationale afstemming rondom toezicht op digitale weerbaarheid al langer een belangrijke rol. Van der Leij: “Via Europese werkgroepen en sectorale netwerken werken we al samen aan wetgeving en uitgangspunten voor toezicht. De volgende stap zit in het daadwerkelijk samen optrekken met Europese toezichthouders. Digitale weerbaarheid overstijgt namelijk sectorale grenzen, maar ook zeker die van landen. De beweging die we in Nederland zien qua samenwerking, herhaalt zich nu op Europees niveau.”