De verantwoordelijkheid voor cybersecurity moet op bestuursniveau komen te liggen. Dat vinden de toezichthouders op de Wet beveiliging netwerk- en informatiesystemen (Wbni). “Hierin is nog een wereld te winnen”, schrijven ze in het Samenhangend Inspectiebeeld cybersecurity vitale processen 2024, dat de minister van Justitie en Veiligheid vorige week heeft aangeboden aan de Tweede Kamer. In dit Inspectiebeeld beschrijven de samenwerkende toezichthouders jaarlijks de stand van zaken met betrekking tot de cybersecurity van vitale processen en aanbieders.
Netwerk- en informatiesystemen zijn essentieel voor de continuïteit van de bedrijfsvoering en verdienen daarom de hoogste prioriteit. Volgens de toezichthouders is cybersecurity dan ook niet alleen iets voor de Chief Information Security Officer (CISO) en betrokken ICT-medewerkers, maar moeten bestuurders zich hier ook mee bezighouden. Bestuursaansprakelijkheid is ook een belangrijk onderdeel in de nieuwe wetgeving die voortkomt uit de Europese richtlijn NIS2.
Prioriteit geven aan informatieveiligheid
Ook zorginstellingen zijn in hoge mate afhankelijk van ICT en digitale producten, diensten en informatie. Tegelijkertijd nemen de bedreigingen, zoals gijzelsoftware, toe. En ook onverwachte gebeurtenissen, zoals stroomuitval, kunnen van invloed zijn op de continuïteit van de zorg. Daarom moeten ook bestuurders van zorginstellingen de hoogste prioriteit geven aan informatiebeveiliging.
Deze boodschap sluit naadloos aan bij de uitspraak van Sietske Rozie van ECP I Platform voor de InformatieSamenleving tijdens de ICT&Health World Conference in het MECC in Maastricht. Zij stelde dat cybersecurity meer vergt dan een werkgroepje. Informatieveiligheid is volgens haar een belangrijk thema en randvoorwaardelijk voor innovatie in de zorg. Maar het is niet iets wat je er zomaar even bij doet.
Risicobeheersing verbeteren
De gezamenlijke toezichthouders zien dat risicomanagementprocessen nog verder verbeterd kunnen worden. Het gaat dan met name om het stuk risicobeheersing en de koppeling tussen risico's op het gebied van informatiebeveiliging met het organisatiebrede risicomanagementproces. Een positieve ontwikkeling is wel dat steeds meer aanbieders van vitale diensten zich laten certificeren. Het procesmatig beschrijven van beveiligingsmaatregelen helpt risico's beheersbaar te maken.
Sinds de implementatie van de Netwerk- en informatiebeveiligingsrichtlijn (NIB-richtlijn) in de Wbni, zijn er zeven toezichthouders aangesteld. Dit zijn: Autoriteit Nucleaire Veiligheid en Stralingsbescherming (ANVS), Autoriteit Persoonsgegevens (AP), De Nederlandsche Bank (DNB), Inspectie Gezondheidszorg en Jeugd (IGJ), Inspectie Justitie en Veiligheid (IJenV), Inspectie Leefomgeving en Transport (ILT) en de Rijksinspectie Digitale Infrastructuur (RDI). Samen houden zij toezicht op de uitvoering van de richtlijn en stellen ze jaarlijks het Samenhangend Inspectiebeeld op.
Samenwerking toezichthouders
Deze samenwerking wordt nu verder uitgebreid zodat de toezichthouders doelgericht en doelmatig toezicht kunnen houden. Hiertoe is onlangs het ‘directeurenoverleg toezicht digitale weerbaarheid’ opgericht. Dit overleg fungeert als opdrachtgever van de werkgroep ‘samenwerkend toezicht digitale weerbaarheid’. Op deze manier willen de toezichthouders het toezicht zo effectief en efficiënt mogelijk inrichten en zorgen voor een zo laag mogelijke gezamenlijke werklast voor organisaties die onder toezicht staan.