Platform over civiele techniek, ondergrondse infra, energie, bouwmaterieel & bouwmachines
Bewustzijn en kennis over digitale veiligheid zijn belangrijk wanneer je kritieke kunstwerken ontwerpt of renoveert. Deze vormen kwetsbare objecten voor onze economie en veiligheid. Immers, de doorstroming in ons land wordt in sterke mate gegarandeerd door werkende bruggen en tunnels. En we houden droge voeten dankzij honderden sluizen, stuwen en keringen. Het aantal cyberaanvallen groeit, met recent nog een hackaanval die de Antwerpse haven trof. Bovendien komt de Cyberbeveiligingswet eraan! Wat kunnen bedrijven hiervan verwachten en welke stappen kunnen alvast genomen worden, zodat zij dadelijk niet voor verrassingen komen te staan? Wij vroegen het aan Patrick Spelt, Hoofd Toezicht Cybersecurity bij de Inspectie Leefomgeving en Transport (ILT) van het Ministerie van Infrastructuur en Waterstaat.
Het Agentschap van de Europese Unie voor Cyberbeveiliging onderzoekt jaarlijks hoe cybersecurity evolueert. Uit het rapport ‘Enisa Threat Landscape 2024’ blijkt dat ransomware en DDoS-aanvallen de grootste dreiging vormen. In beide gevallen wordt het bedrijfssysteem lam gelegd, maar bij de eerste wordt losgeld geëist. Uit het rapport valt eveneens op te maken dat de toegepaste technieken steeds complexer worden én er steeds vaker AI-tools door cybercriminelen worden ingezet. Deze tools maken de cyberaanvallen effectiever, maar ook toegankelijker voor aanvallers die minder technische kennis hebben.
Daarnaast komt social engineering, zoals phishing, nog steeds vaak voor. Hackers maken daarbij gebruik van menselijke zwakheden door misleidende e-mails te sturen om zo toegang te krijgen tot een applicatie of netwerk. Wanneer het personeel zich er onvoldoende van bewust is dat ze onveilig omgaan met data, bijvoorbeeld door het gebruiken van eigen apparaten of onveilige video-verbindingen, kan dat leiden tot datalekken en cyberaanvallen. Belangrijk is dus ook het bewustzijn dat ongeïnformeerd personeel de zwakke schakel binnen de digitale beveiliging van een bedrijf kan vormen.
De NIS2-richtlijn is per 17 oktober jl. in werking getreden en zal in Nederland geïmplementeerd worden in de vorm van de Cyberbeveiligingswet. Het betreft hier Europese wetgeving met als doel het algemene weerbaarheidsniveau van alle bedrijven in de EU te verhogen. De richtlijn is gericht op risico’s die netwerk- en informatiesystemen bedreigen, zoals cyberbeveiligingsrisico’s. Patrick werkt nu bijna twee jaar aan de implementatie van wetgeving rondom cybersecurity, de uitvoering ervan en het toezicht daarop. “De verwachting is dat de wet tijdens het derde kwartaal van 2025 in werking zal treden. Het is echter zeer belangrijk dat bedrijven direct aan de slag gaan! Immers, de risico’s die organisaties lopen, zijn er nu ook al. Bovendien komen veel bedrijven voor het eerst met deze regels in aanraking, aangezien de huidige wetgeving alleen de aanbieders van essentiële diensten treft. Bedenk ook dat wanneer jouw bedrijf niet aan de regelgeving hoeft te voldoen, je wellicht samenwerkt met organisaties die dat wel moeten en daarom eisen moeten gaan stellen aan hun ketenpartners.”
Patrick adviseert te starten met de NIS2 Zelfevaluatie. Deze online vragenlijst geeft antwoord op de vraag óf jouw organisatie onder de NIS2-richtlijn valt. Is dit het geval, dan kan men gebruikmaken van de online Quickscan NIS2-richtlijn. Deze geeft op hoofdlijnen inzicht in jouw verplichtingen en de huidige status van je cyberbeveiliging conform de strekking van de Europese NIS2-richtlijn.
Valt jouw organisatie onder de wet en in de categorie ‘essentieel’, dan word je proactief door de ILT bezocht. Bij de categorie ‘belangrijk’ vindt het toezicht achteraf plaats, dus pas nadat er een cybersecurity-incident heeft plaatsgevonden. “Je hoeft niet bang te zijn voor de toezichthouder en we gaan ook echt niet direct boetes uitdelen. We hebben een interventiestrategie en zetten boetes met name in voor bedrijven die zich echt niet aan de regels willen houden. Stel dat tijdens een inspectie zaken niet in orde blijken te zijn, dan krijg je eerst de tijd om deze op te lossen. We hebben er vooral baat bij dat bedrijven begrijpen wat er gevraagd wordt en daar mee aan de slag gaan. Dát draagt namelijk echt bij aan die weerbaarheid.” Overigens kan men ook met andere inspectiediensten te maken krijgen, zoals de Rijksinspectie Digitale Infrastructuur. “Inspectiediensten werken daarin samen, zodat men niet te maken krijgt met twee inspecties die langs elkaar heen werken.”
Om efficiënt met dit vraagstuk aan de slag te kunnen gaan, is het goed te weten dat er allerlei initiatieven bestaan, waaronder cyberweerbaarheidsnetwerken. Sluit je je aan bij dergelijke samenwerkingsverbanden dan kun je hulp en advies krijgen, maar ook samen optrekken. Bouwend Nederland ondersteunt haar leden bijvoorbeeld samen met het Digital Trust Center (DTC). En Aannemersfederatie Nederland heeft een samenwerkingsovereenkomst gesloten met het initiatief Samen Digitaal Veilig (SDV).
Patrick eindigt met een laatste tip voor wat betreft het invullen van de zorgplicht: “Onze inspectiekaders zijn gebaseerd op industry frameworks. Mijn tip is dan ook: ga aan de slag met ISO 27001 en 27002, de NEN of het NIST Cybersecurity Framework. Dat is nooit weggegooid geld, want wij gaan namelijk dezelfde kaders hanteren.”
De website www.ncsc.nl vormt een goed startpunt voor het vinden van informatie over de onderwerpen genoemd in dit artikel.
Louwers Mediagroep
Schatbeurderlaan 6
6002 ED Weert
© 1987 - 2025 Louwersmediagroep.
